0 Пользователей и 1 Гость просматривают эту тему.
  • 11 Ответов
  • 1735 Просмотров
*

dmtn

  • Захожу иногда
  • 379
  • 25 / 2
Взято здесь: http://www.opennet.ru/opennews/art.shtml?num=44205

Издание Forbes не исключило, что утечка конфиденциальных документов панамской юридической компании Mossack Fonseca, вскрывшая скрытые активы многих известных политических деятелей, могла произойти вследствие взлома сайта компании, на котором применялись устаревшие версии открытых платформ WordPress и Drupal, содержащие ряд серьёзных уязвимостей.

В частности, основной сайт компании работал на движке WordPress 4.1, выпущенном в декабре 2014 года, и использовал несколько устаревших скриптов и плагинов. Тема оформления для WordPress была основана на пакете Twenty Eleven 1.5, выпущенном три года назад. Портал для клиентов компании работал на движке Drupal 7.23 (информация о версии получена на основе размещённого для публичного доступа файла CHANGELOG.txt). Движок Drupal на сайте portal.mossfon.com не обновлялся уже три года, за которые было выпущено 25 обновлений с устранением проблем с безопасностью.

Например, в движке Drupal оставались неисправленным уязвимости, позволяющие войти под другим пользователем, получить полный доступ к системе и осуществить подстановку SQL-кода. В WordPress наблюдались уязвимости, позволяющие осуществить подстановку на страницу кода JavaScript, который мог использоваться для перехвата параметров доступа к интерфейс администратора. Из возможных векторов атаки также рассматривается применение сотрудниками компании устаревшей версии Microsoft Outlook Web Access, выпущенной в 2009 году, без применения шифрования переписки.

Выводы можно сделать разные, думаю, вывод относительно движков имеет смысл делать в последнюю очередь   ^-^
*

zomby6888

  • Завсегдатай
  • 1473
  • 171 / 3
Вот что бывает когда экономишь на разработке) Такая контора могла себе позволить индивидуальный движок.
интернет-блог: http://websiteprog.ru
*

Taatshi

  • Глобальный модератор
  • 5259
  • 481 / 2
  • Верстаем и кодим. Обращайтесь ;)
C сугубо индивидуальными уязвимостями) Обновляться надо вовремя.
ВЕРСТКА, САЙТЫ ПОД КЛЮЧ, УДАЛЕНИЕ ВИРУСОВ, МИГРАЦИЯ НА JOOMLA 3, ОБНОВЛЕНИЕ  |  ОТЗЫВЫ 
Связь: telegram - Taatshi, почта - Taatshi на яндексе, Skype - Taatshi
*

zomby6888

  • Завсегдатай
  • 1473
  • 171 / 3
Они судя по всему на всей it инфраструктуре сэкономили. А индивидуальные уязвимости, они если и есть, то обнаружить их не так просто. Когда движок в открытом доступе да еще и напичкан расширениями популярными, то тут сам бог велел  ::)
« Последнее редактирование: 08.04.2016, 13:28:39 от zomby6888 »
интернет-блог: http://websiteprog.ru
*

Sulpher

  • Живу я здесь
  • 2112
  • 401 / 16
  • Шаблоны и расширения Joomla
Да ну... Тут целенаправленный слив инфы. С трудом верится, что информацию такого толка обрабатывают при помощи CMS.
*

dmtn

  • Захожу иногда
  • 379
  • 25 / 2
Да ну... Тут целенаправленный слив инфы. С трудом верится, что информацию такого толка обрабатывают при помощи CMS.
должны же быть крайние! ))))
а обновляться - 146,5999% надо во время
*

flyingspook

  • Живу я здесь
  • 3590
  • 247 / 9
Да ну... Тут целенаправленный слив инфы. С трудом верится, что информацию такого толка обрабатывают при помощи CMS.
Вас умоляю  ^-^, еще не такие крутятся на CMS
*

effrit

  • Легенда
  • 10132
  • 1118 / 13
  • effrit.com
на Комьютерре статья по теме есть.
там намекают на странную однобокость: больше всего слито по российским подданным и прочим участникам БРИКС, что наводит на мысль о планомерном сливе.
типа, спецслужбы заклятых друзей сработали.
а если это так, то всякие выпады в сторону друпалов неуместны. эти могли тупо трафик перехватывать или хостеров за одно место взять ).
*

Sulpher

  • Живу я здесь
  • 2112
  • 401 / 16
  • Шаблоны и расширения Joomla
Я думал, что такие документы хранятся не на сайтах, а в специализированных защищенных системах и базах данных...
*

Aleks.Denezh

  • Живу я здесь
  • 3406
  • 428 / 4
главное что бы лохи поверили в тупую попытку отмыться...
*

flyingspook

  • Живу я здесь
  • 3590
  • 247 / 9
Я думал, что такие документы хранятся не на сайтах, а в специализированных защищенных системах и базах данных...
Не всегда, вот то что многие так думают это и есть 99% безопасного хранения на CMS а не в какой либо другой защищенной базе.
В целом и хрен на них, на чем хранят и как добыли, нам то что от этого.
*

SDKiller

  • Живу я здесь
  • 2706
  • 329 / 5
  • ...ergo sum
Я думал, что такие документы хранятся не на сайтах, а в специализированных защищенных системах и базах данных...

Ну если к примеру у них эта самая БД на том же сервере/в той же сети что и публичный сайт и/или если эксплуатируемая уязвимость публичного сайта позволяет получить привилегии, достаточные для того чтобы добраться до этой БД и/или например файлов конфига где хранятся логин/пароль, папки с сертификатами для доступа к этой БД и т.д. и т.п...
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Кто в Drupal играл, признавайтеся!

Автор effrit

Ответов: 8
Просмотров: 1866
Последний ответ 17.04.2020, 23:25:32
от Шмайсер
Какие версии модулей лучше выставить в настройках Open Server?

Автор Paradox

Ответов: 5
Просмотров: 3070
Последний ответ 18.04.2017, 18:00:43
от Paradox
Linux в России перестал быть свободнораспространяемым?

Автор KKAAZZOO

Ответов: 7
Просмотров: 1272
Последний ответ 23.05.2016, 18:17:27
от ABTOP
Как быть, если админ сайта умер?

Автор PashkaRu

Ответов: 8
Просмотров: 1615
Последний ответ 09.12.2014, 21:25:11
от PashkaRu
Ограничен доступ к домену (сайту) в Российской Федерации. В чем может быть причина?

Автор romanzorin

Ответов: 19
Просмотров: 3241
Последний ответ 11.12.2013, 22:15:00
от romanzorin