Где арендовать толкового спеца по-безопасности для CMF?

Question

[dreamerz]

Где арендовать толкового спеца по-безопасности для CMF (в частности Сифонии).

Вкратце суть проблемы -
sql > update roles = "ROLES_ADMIN" where username = 'hacker';

site.com/admin

Welkome admin Hacker! Whatsup.

И это видимо только вершина айсберга безопасности для CMF

Comments

[Stalker_RED]

Правильно ли я понимаю, что суть проблемы в том, что злоумышленник имея доступ на измнение БД поменял кому-то роль?

На самом деле, имея такой доступ хакеру эта роль не очень то и нужна.
Лучше задать вопрос откуда у него вообще этот доступ взялся.

[dreamerz]

Stalker_RED, несовсем.
Я привёл лишь пример 1 дыры, которую сам нашёл, но сколько их ещё потенциально может быть, может ответить только спец по данной системе.
Тем более смешно, что лишь сделав 1 запрос к БД вся тонна хвалёной защиты данных из официальной доки CMF просто летит `к-чёрту` )

[Vitaliy Orlov]

dreamerz, ахаха, ну ты и дыру нашел... по твоей логике на всех сайтах с базами данных, есть возможность выполнить DROP DATABASE, т.к. существует такая команда?

[Дмитрий Шицков]

Приведенный пример уязвимости связан с уязвимостью вашей инфраструктуры.

[sts]

Т.е. если у меня роль "ROLES_ADMIN", то при переходе по ссылке site.com/admin меня автоматом пускает в админку без авторизации и аутентификации? Так это твои кривые руки, а не симфони виновата. Сам пару недель назад закончил проект на симфони, так всё огонь там и работает как надо

Answer 1

[ТыжСисАдмин]

А причем тут CMF?
CMF это не более чем скелет для web приложения и дыры которыен в результате образуются, зависят от пряморукости разработчика спмого приложения.
Если вам нужен аудит ГОТОВОГО! WEB приложения то и ищите компании предоставляющие таковые услуги - дорого, долго, работает до первого вмешательства кривых рук в код.

Comments

[dreamerz]

Спасибо за ответ.
дыры которыен в результате образуются, зависят от пряморукости разработчика спмого приложения - мы здесь это неучитываем, ибо предполагаем сразу, что проэкт собирался исключительно по-докумментации без своего кривого кода.

[ТыжСисАдмин]

dreamerz, исключительно по документации и без кривого кода - CMS.
CMS является уже готовым к употреблению продуктом - wordpress, DLE, ну и ещё 100500 всяких.
CMF это набор базовых библиотек и не имеет никакого функционала из каропки и предполагает что данный функционал будет написан вами (GoBuffalo, Rails, Symfony, Yii и т.д.).
Некоторые CMF имеют базовые зачатки админки и т.п. но не более чем demo для упращения разработчику жизни и показать как сделать базовые вещи.

[dreamerz]

ТыжСисАдмин, я понял Вашу точку зрения. Предлагаете prod строить исключительно на CMS? =)

[ipokos]

Предлагаете prod строить исключительно на CMS

Я почему-то думал, что CMS для этого и нужны, если для приложения нужен стандартный функционал )

[Александр]

dreamerz,

А причем тут CMF?

... готовым к употреблению продуктом - wordpress, DLE, ну и ещё 100500 всяких.

...CMF это набор базовых библиотек...

Направление намеков на ответ мне кажется верным )))

Где арендовать толкового спеца по-безопасности ...

1. CMS которая написана на CMF
2. CMF которая написана на PHP, JS, Python, PERL .....
3. Язык программирования который привязан к операционной системе...
4. Базы данных ...
5. Операционная система ...
6. Ядро операционной системы ...
Наверно еще можно чего добавить....

Даже если рассматривать только 2 пункт ...
Если найдете специалиста - не верь ему )))
Тут нужна хорошая фирма и в голове держим что программный продукт обновляется, а также неожиданно всегда находятся бреши. В любом случае вы получите ответ: Все нормально на дату такую в версии такой .

Предлагаете prod строить исключительно на CMS? =)

Строить на всем ))), но не перегибайте палку с паранойей. А то сервер окажется на Луне ))) Упс.... надо подальше - метеориты летают )))

[dreamerz]

Ясно. Всем спасибо за беседу. Она помогла понять что здесь толкового спеца я точно ненайду. Извините что отнял Ваше время. Снимаю тему с обсуждения)

Answer 2

[Denis]

Как было сказано это не проблема симфони, практически защита любого сайта летит `к-чёрту` когда у злоумышленника есть доступ к базе или к коду. Хотите заморочится создайте еще одно поле хеш которое будет подтверждать текущую роль и сделать подписчик который будет срабатывать на каждом запросе к сайту. Симфони прежде всего инструмент разработки предоставляющий базовые возможности а Вы (программист) исходя из мании преследования заказчика и глобального заговора реализуете свои идеи.

Comments

[dreamerz]

Благодарю. Скорее всего я так и сделаю, но повторюсь мне кажется это неединственная уязвимость подобных систем.