CMS open source. Hakowanie., Możliwość pobierania danych od klienta. Opcje

[Fluke]

Witam.

Tak się ostatnio zastanawiałem nad CMS`ami open source takimi jak: Joomla, WordPress, Drupal.

Czy istnieje możliwość, że ściągniemy cms`a któregoś z wymienionych ze strony nie oficjalnej i nadaży się taka sytuacja, że ten ktoś umieści część swojego kodu, który miał by za zadanie wysyłać dane do jego bazy danych?

Np: w czasie instalacji jak podajemy login oraz hasło do serwera SQL, albo w czasie rejestracji użytkowników.

Mogło być to wielkie uproszczenie dla hakerów.

Pozdrawiam.

[by_ikar]

Nie do końca. Ale obecne też da się odtworzyć, choć ciężko dorwać dekoder. Nazwy zmiennych są tracone. Ale to nie zmienia faktu, że i tak trzeba się nieco napocić, aby coś z tego wyłuskać.

Nie nie, ja tutaj nie mówię kompletnie o jakim kolwiek łamaniu tego szyfrowania, czy też próbie wyłuskania nazw zmiennych czy coś. Chodzi o to że możesz przed lub za takim zakodowanym kodem umieścić swój kod. Wystarczy przejrzeć jak działa cms, jakie dane post są wysyłane i napisać swoją ukrytą usługę która takie dane będzie zbierać i wysyłać tam gdzie chcemy. Takie szyfrowanie nic nie daje właśnie w przypadku kiedy miałoby to nas chronić przed kodem którego nie chcemy. Co innego chronienie kodu, żeby ktoś sobie pewnych funkcjonalności nie podebrał, a co innego ochrona przed kodem który może ktoś dodatkowo dołożyć. Bezsensu się w ogóle pocić. Udostępniasz na swojej stronie, piszesz info że dostępny tylko na twojej stronie do pobrania i nie odpowiadasz za pobrane z innego źródła. A jak ludzie pobierać będą z nieznanego źródła i testować nie zasięgając informacji - sami są sobie winni.