Luki w bezpieczenstwie na stronie, http://www.romero.com.pl |
Luki w bezpieczenstwie na stronie, http://www.romero.com.pl |
6.08.2014, 01:57:04
Post
#1
|
|
Grupa: Zarejestrowani Postów: 159 Pomógł: 0 Dołączył: 21.08.2011 Ostrzeżenie: (0%) |
Witam.
Czy jestescie w stanie zweryfikowac ponizsze uwagi, dotyczace bezpieczenstwa witryny http://www.romero.com.pl ? Ktos przeslal maila, a w nim takie oto informacje (jest sie czym przejmowac?). 1. http://www.xxx.romero.com.pl http://www.romero.com.pl/?page_id=-1 2. Sciezka nawigacyjna nie dziala jak nalezy. Po wybraniu z menu bocznego kategorii "Drobny sprzet masarski", a nastepnie "kloce masarskie i krajalnice" 'breadcrumbs' nie wskazuja niczego, a powinno to sie prezentowac mniej wiecej tak: :: Drobny sprzet masarski :: kloce masarskie i krajalnice. Ponadto po wyborze kategorii produktow zawsze 'breadcrumbs' wskazuja nazwe produktu pierwszego na liscie, zamiast stosownych nazw kategorii 3. Brak tagow title oraz alt dla wiekszosci grafik umieszczonych na stronie - wplywa to ujemnie na pozycje w wyszukiwarkach. 4. Brak optymalizacji oraz "Leverage browser caching - expiration" dla grafik pochodzacych z templatki - wp-includes/themes/klient/ Przykladowo plik graficzny http://www.romero.com.pl/wp-content/themes...es/menuBtn2.png powinien byc zoptymalizowany do takiej postaci: http://gtmetrix.com/reports/romero.com.pl/...8187767ab66.png 5. Strona nie jest w nalezyty sposob zoptymalizowana pod katem wydajnosci - http://gtmetrix.com/reports/romero.com.pl/v1Oa2cNO 6. Brak stosownej informacji, gdy uzytkownik wylaczy obsluge JavaScript w swojej przegladarce. 7. http://www.romero.com.pl/author/admin/ 8. site:romero.com.pl/author/admin/ Wyszukiwarka Google zaindeksowala administratora systemu 9. http://www.romero.com.pl/wp-includes/themes/klient/page.php 10. Brak poprawnej walidacji HTML, CSS 11. Zbyt latwy dostep do panelu administratora, jak rowniez formularza odzyskiwania hasla. Dopisujac do nazwy domeny wp-admin naszym oczom ukazuje sie formularz, ktory moze stac sie w latwy sposob celem atakow typu Brute Force. Ponadto mozna przy uzyciu skanera exploitow dokonywac zmian w adresie url, co w konsekwencji moze prowadzic do zmian w bazie danych: http://www.romero.com.pl/wp-login.php?acti...amp;login=admin 12. Brak odpowiednich wpisow w pliku .htaccess, blokujacych potencjalnie niebezpieczne boty. 13. Nie ma zabezpieczenia kluczowych folderow przed indeksacja - robots.txt, istnieje rowniez mozliwosc dostepu z zewnatrz do katalogu wp-admin. 14. Możliwosc ataku na witryne poprzez cookies sluzace do uwierzytelniania oraz XSS. 15. Atak typu SQL Injection jest mozliwy - http://www.romero.com.pl/?page_id=-1 union select 1,2,3,4,5,6,group_concat(user_login,----,user_pass),7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,262,7,28,29,30 ,31,32,33,34,35,36,37,38,39,40 from wp_users 16. Brak blokady dla katalogu skorek: http://romero.com.pl/wp-content/themes/klient/ 17. Po instalacji CMS Wordpress nie wykasowano nastepujacych plikow: http://www.romero.com.pl/license.txt http://www.romero.com.pl/readme.html 18. Nie ma blokady dla katalogu wp-includes, mozna wyswietlic zawartosc dokumentu: http://www.romero.com.pl/wp-includes/version.php 19. Zainstalowane wtyczki sa nieaktualne, jak rowniez sam CMS Wordpress. W tej chwili na serwerze jest zainstalowana wersja 3.7.3 (http://www.romero.com.pl/readme.html), podczas gdy aktualnie obowiazuje wersja 3.9.1. |
|
|
6.08.2014, 08:46:55
Post
#2
|
|
Grupa: Zarejestrowani Postów: 8 068 Pomógł: 1414 Dołączył: 26.10.2005 Ostrzeżenie: (0%) |
Za audyty się płaci grube pieniążki
|
|
|
13.08.2014, 09:47:34
Post
#3
|
|
Grupa: Zarejestrowani Postów: 50 Pomógł: 0 Dołączył: 26.03.2014 Ostrzeżenie: (0%) |
Cóż, firmy próbują w ten sposób zarobić, wyhaczają błedy i starają się zyskać klienta To niczym politycy w rzadzie, jedni drugim błędy wytykają by zyskać władze. Tak jak kolega napisał wyżej, trzeba za to grube pieniązki zapłacić
|
|
|
13.08.2014, 10:39:20
Post
#4
|
|
Grupa: Zarejestrowani Postów: 675 Pomógł: 58 Dołączył: 17.12.2013 Ostrzeżenie: (10%) |
No to może zamiast popierać rządy które chcą tylko władzy wyjdźcie im na przeciw i róbcie darmowe audyty? Usługa za usługę np? Szybciej klienta zdobędziecie a korzyści też mogą być ciekawe.
|
|
|
13.08.2014, 14:35:35
Post
#5
|
|
Grupa: Zarejestrowani Postów: 8 068 Pomógł: 1414 Dołączył: 26.10.2005 Ostrzeżenie: (0%) |
No to rób.
|
|
|
Wersja Lo-Fi | Aktualny czas: 27.04.2024 - 01:57 |