Вряд ли это можно назвать серьезной дырой, но все же это есть:

• Уровень опасности: низкий
• Тип: раскрытие имени пользователя (аккаунта) на сервере
• Версии движка, которые подвержены данной опасности: все, начиная с LS 0.4

Чтоооо?..

Читать дальше →

Для начала преамбула.
Мы начали разработку сайта на livestreet. Работаем с этой CMS в первый раз. И по этому мы начали изучать саму CMS. Второй день изучения и возникло несколько неприятных моментов в плане безопасности движка и самого сайта.

Читать дальше →

В LiveStreet 0.5.1 (и в 0.4 ) обнаружены уязвимости.

Для версии LS 1.0 патч на гитхабе — github.com/livestreet/livestreet/commit/a5b7cd5979a9a20fe100a5cd1a748603b1159680

Фиксы для других версий

Хотел спросить у знающих людей, как обезопасить LS от взлома, я не говорю о 100% защите которой не существует, просто хотелось бы услышать пару советов для относительно спокойной жизни сайта.

Ссылка на пациента: tydysh.tv

Совпадение?!?..



1. Предложение по проведению аудита безопасности (20.05.2011)

2. Взломан сайт (24.05.2011)

Никому ничего не хочу навязывать, просто пришла в голову идея и решил с вами ей поделится. Как вы поняли по заголовку, речь пойдет о безопасности нашего обще-любимого движка. На сколько я знаю существуют серьезные конторы занимающиеся проверкой безопасности и устранению всевозможных дырок и уязвимостей. Еще я знаю что стоит это не маленьких денег. Собственно идея в том чтобы «скинуться» всем порталом на такую проверку. Администрация может установить счетчий сбора пожертвований отдельно для этой цели на главной странице, типо как было на википедии.
P.S: Напоминаю что это всеголишь идея поэтому не нужно устраивать палемику, просто спокойно выскажите свое мнение.

11 дней назад на контактный емейл пришло письмо:

from	Почтовик LiveStreet <noreply@livestreet.ru>
to	
date	Sun, Dec 19, 2010 at 2:48 PM
subject	Оповещение безопасности
mailed-by	livestreet.ru
	
hide details Dec 19 (11 days ago)
	
Здравствуйте!

Уведомляем вас о закрытии в LiveStreet 0.4.2 уязвимости, с помощью которой потенциально можно было получить права администратора сайта.
Для исправления этой уязвимости вы можете скачать обновленный архив LiveStreet 0.4.2 - http://livestreetcms.com/download/get/
Либо внести изменения вручную:
1. Откройте файл /classes/actions/ActionProfile.class.php
2. Найдите строчку №522: protected function SubmitAddFriend($oUser,$sUserText,$oFriend=null) {
3. Сразу после нее вставьте строчку (только если её у вас еще там нет) : $sUserText=$this->Text_Parser($sUserText);
В итоге должно получиться следующее:
protected function SubmitAddFriend($oUser,$sUserText,$oFriend=null) {
$sUserText=$this->Text_Parser($sUserText);
$oFriendNew=Engine::GetEntity('User_Friend');


Мы настоятельно рекомендуем вам выполнить эти действия.
Спасибо за понимание.

С уважением, команда LiveStreet CMS 

Это письмо было действительно разослано администрацией сайта? Почему я не могу найти подтверждающей информации об этом тут на сайте?

PROBezopasnost.com — коллективный блог по теме безопасности на движке Livestreet.
Проекту всего несколько месяцев, однако он уже вызывает немалый интерес. Что не удивительно, ведь тема безопасности в интернете представлена довольно слабо и раздроблено по направлениям. У нас же, в хабро-подомном формате, люди делятся полезной информацией и новостями по теме безопасности без лишних ограничений. Среди популярных тем следует отметить автомобильную безопасность, личную безопасность, экология, а так же IT безопасность.
Будем рады видеть вас на нашем сайте.

PS Немного обновили дизайн

Как изветсно LS хранит пароли в очень простом виде — md5(password), обладая некоторым количеством паранойи я решил добавить к нему соль, после ниже описанных изменений пароль будет храниться в виде: sha1(salt+md5(password))

Читать дальше →