Witam.
Tak się ostatnio zastanawiałem nad CMS`ami open source takimi jak: Joomla, WordPress, Drupal.
Czy istnieje możliwość, że ściągniemy cms`a któregoś z wymienionych ze strony nie oficjalnej i nadaży się taka sytuacja, że ten ktoś umieści część swojego kodu, który miał by za zadanie wysyłać dane do jego bazy danych?
Np: w czasie instalacji jak podajemy login oraz hasło do serwera SQL, albo w czasie rejestracji użytkowników.
Mogło być to wielkie uproszczenie dla hakerów.
Pozdrawiam.
Pełna wersja: CMS open source. Hakowanie.
@Fluke to pytasz o coś, czy przedstawiasz nam swoje przemyślenia 
Wiadomo że jedynym pewnym źródłem jest oficjalna strona. Często laicy pobierają ze stron na których jest już zintegrowany język polski, bo wydaje im się że jest to nie do ogarnięcia po instalacji, a w takiej dystrybucji owszem może kryć się jakiś niebezpieczny kod, ale nie musi.
Wiadomo że jedynym pewnym źródłem jest oficjalna strona. Często laicy pobierają ze stron na których jest już zintegrowany język polski, bo wydaje im się że jest to nie do ogarnięcia po instalacji, a w takiej dystrybucji owszem może kryć się jakiś niebezpieczny kod, ale nie musi.
W sumie zapomniałem zadać pytania 
Pytanie czy jest jakaś możliwość napisania ewentualnie skryptu(oczywiście jakimś cudem bo nie mam pojęcia jakim) żeby zabronić wysyłanie jakiegoś innego zapytania do innej bazy danych niż jest wskazana.
Albo może czy jest jakiś system który gotowy kod zabezpiecza przed zmianami.
Pytanie czy jest jakaś możliwość napisania ewentualnie skryptu(oczywiście jakimś cudem bo nie mam pojęcia jakim) żeby zabronić wysyłanie jakiegoś innego zapytania do innej bazy danych niż jest wskazana.
Albo może czy jest jakiś system który gotowy kod zabezpiecza przed zmianami.
Jest taki sposób. Na czas instalacji, odciąć maszynę od internetu 
szybko, skutecznie, nie trzeba być fachowcem aby odpiąć wtyczkę. Inaczej to się ma w przypadku zdalnych serwerów.. Wąskim gardłem tak czy inaczej jest tutaj użytkownik. Im mniej świadomy, tym większe zagrożenie. To jest tak jak z windowsami. Niektórzy muszą dość często coś zrobić ze swoim systemem, bo go albo zasyfił, albo zawirusował. Osobiście nie miałem takich problemów. Raz w tygodniu/miesiącu robiłem obraz całej partycji systemowej i efekt jest taki, że na windowsie 7 jadę już bez nowej instalacji koło 3 lat.
szybko, skutecznie, nie trzeba być fachowcem aby odpiąć wtyczkę. Inaczej to się ma w przypadku zdalnych serwerów.. Wąskim gardłem tak czy inaczej jest tutaj użytkownik. Im mniej świadomy, tym większe zagrożenie. To jest tak jak z windowsami. Niektórzy muszą dość często coś zrobić ze swoim systemem, bo go albo zasyfił, albo zawirusował. Osobiście nie miałem takich problemów. Raz w tygodniu/miesiącu robiłem obraz całej partycji systemowej i efekt jest taki, że na windowsie 7 jadę już bez nowej instalacji koło 3 lat.
Cytat
żeby zabronić wysyłanie jakiegoś innego zapytania do innej bazy danych niż jest wskazana
No po to się używa autentykacji do bazy danych.
Cytat
Jest taki sposób. Na czas instalacji, odciąć maszynę od internetu szybko, skutecznie, nie trzeba być fachowcem aby odpiąć wtyczkę. Inaczej to się ma w przypadku zdalnych serwerów.
E, to o co innego chodzi.
Dokładniej mi chodzi o to, że chce udostępnić CMS`a darmowego ale żeby nikt nie mógł zobaczyć pełnego źródła. Trafiłem raz chyba na taki system i był chyba zakodowany czy coś w tym stylu bo nie było żadnych funkcji tylko tak jak by w md5 zaszyfrowany.
http://roundcube.net/ tyle że to jest bezsensu szczerze mówiąc
Cytat(by_ikar @ 4.01.2012, 12:46:10 ) 
http://roundcube.net/ tyle że to jest bezsensu szczerze mówiąc
A czemu tak sądzisz ? Spowalnia proces kompilacji?
Ja się w ogóle na tym nie znam więc proszę o opinie. Zależy mi na tym, żeby raczej nikt nie miał dostępu do kodu źródłowego.
Bezsensu jest moim zdaniem szyfrowanie kodu tak żeby nikt nie miał dostępu. Poza tym nie spojrzałem nawet co ci dałem.. ta końcówka "cube" mi się tylko kojarzyła, wpisałem w pasku adresu i dostałem webowego klienta poczty.. A miało być to: http://www.ioncube.com/
Edit: chyba za dużo rzeczy robię na razi nawet nie napisałem dlaczego to jest bezsensu. Bezsensu jest np dlatego że również w przypadku takiego szyfrowania, można nie tyle co deszyfrować (nie wiem czy te szyfrowanie to nie zostało jakoś już złamane, poprzednie wersje tego encodera wiem że można było odkodować i to było praktycznie żadne zabezpieczenie), co można obejść całe te szyfrowanie i dopisać tak czy inaczej swój kod, który przy instalacji czy ogólnym użytkowaniu będzie przesyłał informację do osoby która go zmodyfikowała. Także to jest utrudnienie, ale nie jest to według mnie żadne zabezpieczenie. I nie wiem czy taki encoder jest w ogóle w wersji darmowej. Drugą sprawą jest to że nie każdy serwer ma moduł takiego encodera zainstalowany.
Edit: chyba za dużo rzeczy robię na razi nawet nie napisałem dlaczego to jest bezsensu. Bezsensu jest np dlatego że również w przypadku takiego szyfrowania, można nie tyle co deszyfrować (nie wiem czy te szyfrowanie to nie zostało jakoś już złamane, poprzednie wersje tego encodera wiem że można było odkodować i to było praktycznie żadne zabezpieczenie), co można obejść całe te szyfrowanie i dopisać tak czy inaczej swój kod, który przy instalacji czy ogólnym użytkowaniu będzie przesyłał informację do osoby która go zmodyfikowała. Także to jest utrudnienie, ale nie jest to według mnie żadne zabezpieczenie. I nie wiem czy taki encoder jest w ogóle w wersji darmowej. Drugą sprawą jest to że nie każdy serwer ma moduł takiego encodera zainstalowany.
Cytat
I nie wiem czy taki encoder jest w ogóle w wersji darmowej.
Nie. Ale w przypadku ionCube'a możesz kodować per pliki, za kilkanaście centów.
Cytat
Drugą sprawą jest to że nie każdy serwer ma moduł takiego encodera zainstalowany.
Mało który nie ma.
Cytat
(nie wiem czy te szyfrowanie to nie zostało jakoś już złamane, poprzednie wersje tego encodera wiem że można było odkodować i to było praktycznie żadne zabezpieczenie)
Nie do końca. Ale obecne też da się odtworzyć, choć ciężko dorwać dekoder. Nazwy zmiennych są tracone. Ale to nie zmienia faktu, że i tak trzeba się nieco napocić, aby coś z tego wyłuskać.
Choć masz rację - enkodery na nie za wiele się zdadzą...
Cytat
Nie do końca. Ale obecne też da się odtworzyć, choć ciężko dorwać dekoder. Nazwy zmiennych są tracone. Ale to nie zmienia faktu, że i tak trzeba się nieco napocić, aby coś z tego wyłuskać.
Nie nie, ja tutaj nie mówię kompletnie o jakim kolwiek łamaniu tego szyfrowania, czy też próbie wyłuskania nazw zmiennych czy coś. Chodzi o to że możesz przed lub za takim zakodowanym kodem umieścić swój kod. Wystarczy przejrzeć jak działa cms, jakie dane post są wysyłane i napisać swoją ukrytą usługę która takie dane będzie zbierać i wysyłać tam gdzie chcemy. Takie szyfrowanie nic nie daje właśnie w przypadku kiedy miałoby to nas chronić przed kodem którego nie chcemy. Co innego chronienie kodu, żeby ktoś sobie pewnych funkcjonalności nie podebrał, a co innego ochrona przed kodem który może ktoś dodatkowo dołożyć. Bezsensu się w ogóle pocić. Udostępniasz na swojej stronie, piszesz info że dostępny tylko na twojej stronie do pobrania i nie odpowiadasz za pobrane z innego źródła. A jak ludzie pobierać będą z nieznanego źródła i testować nie zasięgając informacji - sami są sobie winni.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.