Мы будем Вам признательны, если Вы поддержите проект Open SLAED и используя Ваши возможности, разместите наш пресс-релиз на страницах своих сайтов, проектов, форумов, блогов. Текст пресс-релиза, возможно, видоизменить под Ваш формат, не искажая смысл. Пресс-релиз можно взять на данной странице.
В плане функционала, безопасности и стабильной работы системы, следующие параметры и настройки сервера являются оптимальными.
PHP: 5.* или выше
PHP GD: 2.* или выше
MySQL: 5.* или выше
Post size: 8 MB или выше
Upload file size: 2 MB или выше
Memory limit: 32 MB или выше
Execution time: 30 сек. или выше
Mod Rewrite: On
GZip compression: On
BZip2 compression: On
Register globals: Off
Safe mode: On
Magic quotes gpc: On
Данная информация доступна на главной панели администратора в блоке «Системная информация». Если у Вас нет данного блока, активируйте его в конфигурациях системы.
Параметры: Register globals, Safe mode и Magic quotes gpc можно изменить если они не соответствуют оптимальным.
1. Войдите в панель управления системой, отдел: Панель администратора >> Редактор
2. В файл конфигураций правил преобразований ЧПУ на серверном уровне: .htaccess
Найдите следующую запись:
Измените её, сняв знак # комментария. В изменённом состоянии она должна выглядеть так:
Для работы этого метода, сервер Вашего хостера должен поддерживать работу с .htaccess и разрешать смену данных параметров. При возникновении проблем, проконсультируйтесь у хостера.
Гостевая книга этой версии содержит несколько полезных функций от спамеров/флудеров и других "нехороших людей". Имеются возможности изменения внешного вида гостевой книги. Считаю скрипт компактной и удобной гостевой книгой. Скрипт корректно работает при error_reporting=E_ALL и register_globals=off. Данные хранятся в одном файле, что позволяет легко установить/перенести скрипт без потери данных в любую папку на сервере.
Размер гостевой с учётом всех файлов - 75 Кб.
Новый релиз от omega-th и WR-Script!
Гостевая книга с навороченной системой безопасности.
Основные фичи
1. Защита от спама
2. ЦифроТекст
3. Загадки
4. Математические операции (ну типа 2 2 4х5)
5. Можно ставить время между добавлением сообщений
6. Удобня панель админа
7. Смена "Скина" на ходу
8. В скинах можно использовать CSS 2.0 и 1.0
Установка
Полная установка в ReadMe.htm в Архиве.
Забыл там дописать - нужно изменить файлы под вас!
Хотелось бы обратить Ваше внимание на выход новой, финальной версии SLAED CMS 2.6 Lite. Основные изменения данной версии были произведены в участках, которые являлись потенциально уязвимыми. Тем самым был максимально поднят уровень безопасности системы. Так же были решены найденные ранее ошибки и проблемы. Для всех пользователей Lite версий настоятельно рекомендуем обновиться до SLAED CMS 2.6 Lite.
Краткий обзор основных изменений
1. Исправлена ошибка, связанная с не корректным определением секретного графического кода при регистрации новых пользователей.
2. В модуле пользователя удалена возможность загрузки аватара с удалённого сервера в виду потенциальной уязвимости данного метода.
3. В целях повышения безопасности в модуле файлов удалена возможность загрузки удалённого файла с сервера, таким образом, устранена возможность подмены или манипуляции загружаемого файла.
4. Модифицирована функция определения главного администратора, системы, повышен уровень безопасности её использования.
5. Проработаны все модули системы, имеющие потенциально опасные участки кода, установлены соответствующие фильтры, препятствующие инъекциям и вредоносным внедрениям.
Инструкция по установке системы находится в директории архива: doc/
Инструкции по обновлению системы находятся в директории архива: update/
Для корректного обновления системы с версии SLAED CMS 2.5 Lite достаточно заменить данные файлы:
Вышла новая версия широко применяемого локального сервера предназначенного для установки, использования, написания и отладки скриптов на своём персональном компьютере. XAMPP - это очень простой в установке дистрибутив Apache для систем Linux, Solaris и Windows. Программа содержит в себе все известные программные пакеты, которые используются на сервере и удовлетворят спрос и потребности как опытных, так и начинающих разработчиков, программистов и дизайнеров. Подробная информация о содержании дистрибутива в подробном просмотре.
Основными отличиями данного пакета от других ему подобных являются
1. Простота в установке, даже для начинающих.
2. Большой пакет программ, их актуальность.
3. Мультиязычьность проекта разработчиков.
4. Многолетний опыт разработки и тестирования пакета.
5. Поддержка программы и проекта на актуальном уровне.
В стандартный пакет данной версии вошли
Apache HTTPD 2.2.4, MySQL 5.0.33, PHP 5.2.1 + 4.4.5 + PEAR + Switch, MiniPerl 5.8.7, Openssl 0.9.8d, PHPMyAdmin 2.9.2, XAMPP Control Panel 2.4, Webalizer 2.01-10, Mercury Mail Transport System for Win32 und NetWare Systems v4.01a, FileZilla FTP Server 0.9.22, SQLite 2.8.15, ADODB 4.93a, Zend Optimizer 3.2.2, XAMPP Security for Windows 98, 2000, XP.
Задача данного анализа
В ходе исследования ставилась задача оценить степень защищенности SLAED CMS от возможных внешних сетевых атак. Другими словами, оценивалась "хакероустойчивость" системы. Вся информация о попытках взлома записывалась в лог-файл.
Настройки системы безопасности
Не использовались никакие дополнительные варианты защиты по средствам сервера. Были установлены стандартные настройки системы безопасности SLAED CMS.
• Запретить передачу ссылок через GET? - Нет
• Запретить передачу ссылок через POST? - Нет
• Сообщать о нападениях на E-Mail? - Да
• Вести статистику нападений? - Да
• Блокировать нападающих? - Нет
Общий анализ защищённости
Анализ проводился в автоматическом режиме с использованием базы данных актуальных уязвимостей используемых в сети. Сканирование и манипуляция атак производилась по средствам переменных GET, POST, с использованием Cookies, а так же с попытками загрузки сторонних скриптов в директорию сайта. В общей сложности было произведено порядка 300 всевозможных вариантов атак.
Статистика нападений
Привожу примеры некоторых видов атак, которые были использованы при манипуляции нападений.
---
Запрещенное действие: HTML in GET - file = viewtopicXSS@<xscript>XSS</xscript>.com
IP Адрес: 84.136.253.95
Пользователь: Гость
Ссылка: /index.php?name=Forums&file=viewtopicXSS@<xscript>XSS</xscript>.com&t=3112&start=0
Браузер: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 7.0) Security
Дата размещения: 31.01.06 - 09:30:56
---
---
Запрещенное действие: HTML in GET - op = poll_result" and "1"="1
IP Адрес: 84.136.253.95
Пользователь: Гость
Ссылка: /index.php?name=Voting&op=poll%5Fresult"%20and%20"1"="1&poll_id=11&pagenum=2
Браузер: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 7.0) Security
Дата размещения: 31.01.06 - 09:38:00
---
---
Запрещенное действие: HTML in POST - user_password = XSS@<xscript>XSS</xscript>
IP Адрес: 84.136.253.95
Пользователь: Гость
Ссылка: /index.php?name=Account
Браузер: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 7.0) Security
Дата размещения: 31.01.06 - 09:56:16
---
Результат анализа
В результате анализа удалось с достоверностью определить высокий уровень защищенности системы. Не одна из попыток взлома не увенчалась успехом. Все попытки были отслежены, блокированы и записаны в файл статистики нападений. Администратор системы был уведомлён о каждом нападении по средствам E-Mail.
В серии статей "Ten Security Checks for PHP" кратко рассматриваются 10 наиболее часто совершаемых PHP программистами ошибок, приводящих к проблемам с безопасностью скриптов.
Избегайте использования переменных сформированных на основании данных пользователя в функции включения файла (include, require) или доступа к файлу (readfile, fopen, file). Например: include($lib_dir . "functions.inc"); include($page); переменные $lib_dir и $page перед этим нужно проверить либо на предмет наличия запрещенных символов, либо сопоставить с заранее определенным массивом допустимых значений.
if (!(eregi("^[a-z_./]*$", $page) && !eregi("..", $page))) {
die("Invalid request");
}
Необходимо экранировать опасные символы ( и ') в переменных участвующих в SQL запросах. Например, злоумышленник может передать переменную вида "password=a%27+OR+1%3Di%271" которая будет использована в SQL запросе как "Password='a' or 1='1'". Решение: включить magic_quotes_gpc в php.ini или экранировать переменные самостоятельно через addslashes();
Никогда не нужно доверять глобальным переменным, при включенном в php.ini режиме register_globals злоумышленник может подменить значение глобальной переменной. Используйте ассоциативные массивы $HTTP_GET_VARS и $HTTP_POST_VARS с выключенным register_globals и в начале скрипта явно инициализируйте все глобальные переменные.
Определяйте местонахождение закаченного файла только через is_uploaded_file() или используя move_uploaded_file(), но не доверяйте глобальной переменной с путем к закаченному файлу, значение которой злоумышленник может подменить.
Используйте функции htmlspecialchars(), htmlentities() для экранирования HTML тэгов присутствующих в данных полученных от пользователя.
Защищайте библиотеки функций от просмотра их исходных текстов пользователем (расширения .inc, .class). Решение: снабжайте библиотеки расширением .php, помещайте в закрытую директорию или настройте хэндлер для парсинга расширения файлов с вашими библиотеками.
Помещайте файлы данных вне дерева файловой системы доступной через web (уровнем ниже htdocs, или "document root") или защищайте директории через .htaccess.
mod_php запускайте в режиме safe_mode.
Проверяйте наличие запрещенных символов в переменные используемых в функциях eval, preg_replace, exec, passthru, system, popen, ``.
При использовании не mod_php, а CGI варианта php.cgi не забывайте, что через php.cgi можно получить доступ к любому файлу в директориях защищенных через .htaccess, так как доступ в этом случае ограничен только для прямых запросов, но не для запросов через CGI скрипт php.cgi.
