2nkeynkey
Коли уже случилось, давай тогда под шумок:
Отпиши им (ведь с тобой пошли на контакт), чтобы понавтыкали проверки на ВСЕ входящие параметры (со стороны посетителя), которые передаются и постом, и гетом, и которые тянуться из кук.
1.Обычно достаточно вырезать (более-менее универсально):
; + | .. ' " / \ ` *
и преобразовывать (если без этого никак):
< > % & # , те-же кавычки, ` (он больше от XSS под IE)
Но тут с % & и # спорно.
2.Чтобы была возможность самому без болезнено админку переместить в любую папку
3.Пароли шифровать не просто md5(пароль), а даже будет пока достаточно md5(md5(пароль)) или двойным md5, но + еще и с солью (как у IPB)
4.Чтобы при установке указав свой префикс таблиц - все и везде работало нормально (тут надо проверить. может щас все Ок. Когда пробовал - Куби вываливался с ошибками)
Вообщем пусть выпустят секурити-пак не только на твою найденую дыру, а вообще прошлись по движку.
Добавлено:
Цитата:
Куби и так уже можно продавать как дилер (http://dream4.de/static,reseller,1.htm). Т.е. можно стать оффициальным ресселером. Тока наверное уже лучше cpengine толкать. Правда - необходимо обеспечивать и граммотную техподдержку. А техподдержка движка - это надо кучу свободного времени. И баги прикрывать, и модули писать.
Коли уже случилось, давай тогда под шумок:
Отпиши им (ведь с тобой пошли на контакт), чтобы понавтыкали проверки на ВСЕ входящие параметры (со стороны посетителя), которые передаются и постом, и гетом, и которые тянуться из кук.
1.Обычно достаточно вырезать (более-менее универсально):
; + | .. ' " / \ ` *
и преобразовывать (если без этого никак):
< > % & # , те-же кавычки, ` (он больше от XSS под IE)
Но тут с % & и # спорно.
2.Чтобы была возможность самому без болезнено админку переместить в любую папку
3.Пароли шифровать не просто md5(пароль), а даже будет пока достаточно md5(md5(пароль)) или двойным md5, но + еще и с солью (как у IPB)
4.Чтобы при установке указав свой префикс таблиц - все и везде работало нормально (тут надо проверить. может щас все Ок. Когда пробовал - Куби вываливался с ошибками)
Вообщем пусть выпустят секурити-пак не только на твою найденую дыру, а вообще прошлись по движку.
Добавлено:
Цитата:
У меня тут идея есть (для всех кто волочет в koobi), давайте объединимся в группу. Откроем сайт (хотя их уже достаточно)! Предложения в асю 22567249
Куби и так уже можно продавать как дилер (http://dream4.de/static,reseller,1.htm). Т.е. можно стать оффициальным ресселером. Тока наверное уже лучше cpengine толкать. Правда - необходимо обеспечивать и граммотную техподдержку. А техподдержка движка - это надо кучу свободного времени. И баги прикрывать, и модули писать.