Основные блоги b.Z » Все блоги » Про интернет » Техподдержка уязвимостей: CMS. Часть 1

Техподдержка уязвимостей: CMS. Часть 1

Все блоги / Про интернет 11 апреля 2017 438   
Смотреть в Telegram Поделиться в TG


1С-Битрикс — одна их самых популярных систем CMS. Включает в себя много интересных решений, начиная от сайта визитки, заканчивая высоконагруженными системами. Мы часто встречаем во время пентестов данный продукт и отмечаем, что большинство обнаруживаемых проблем безопасности можно увидеть в самописных модулях, а не в самом ядре Битрикса. Однажды, анализируя защищенность одной системы, построенной на основе коробочного решения, мы задетектили ряд любопытных уязвимостей. Жаль, но про все рассказывать нельзя, а вот про удаленное выполнение кода и повышение привилегий на сервере — уже можно.

Кстати, разработчики RCE исправлять отказались.
Читать дальше →

Источник: Хабрахабр

  • Оцените публикацию
  • 0

💬 Комментарии

В связи с новыми требованиями законодательства РФ (ФЗ-152, ФЗ «О рекламе») и ужесточением контроля со стороны РКН, мы отключили систему комментариев на сайте.

🔒 Важно Теперь мы не собираем и не храним ваши персональные данные — даже если очень захотим.

💡 Хотите обсудить материал?

Присоединяйтесь к нашему Telegram-каналу:

https://t.me/blogssmartz

Нажмите кнопку ниже — и вы сразу попадёте в чат с комментариями

предыдущая статья
следующая статья

Похожие публикации

Критическая уязвимость антивируса Symantec Endpoint позволяет осуществлять удаленное выполнение кода

Исследователи из Google Project Zero Team в своем блоге опубликовали подробный разбор ошибок безопасности, содержащихся в антивирусном «движке» Symantec Endpoint Protection. По словам экспертов, продукт содержит множество критических уязвимостей, некоторые из которых могут приводить к удаленному

подробнее »
1 июля 2016
Критически опасные уязвимости в популярных 3G- и 4G-модемах или как построить Большого Брата

Данный отчет является логическим продолжением исследования «#root via SMS», завершенного в 2014 году командой SCADA Strangelove. Исследование затрагивало уязвимости модемов лишь частично, в рамках более широкого описания уязвимостей оборудования телеком-операторов. В настоящем документе

подробнее »
2 декабря 2015
Подбираем пароли с помощью Google Chrome

Согласно многочисленным исследованиям в области компьютерной безопасности, в ТОП-3 уязвимостей информационных систем входит подбор пароля. Почти для каждой информационной системы сегодня существуют свои дефолтные учётные записи, которые широко распространены в сети Интернет. Например, их можно

подробнее »
9 января 2018
LTS Webinar — Топ-5 интересных уязвимостей или как Вас могли взломать за последний год

15 июня пройдёт онлайн-конференция со спикером Luxoft. Тема — Топ-5 интересных уязвимостей или как Вас могли взломать за последний год. Читать дальше →

подробнее »
13 июня 2017
Критические уязвимости в Drupal: подробности и эксплоиты

Команда безопасности проекта Drupal опубликовала исправления для целого ряда критических уязвимостей. Ошибки безопасности затрагивают как популярные плагины, так и ядро системы. Уязвимости обнаружены в модулях RESTful Web Services (используется для предоставления REST API к функциям Drupal), Coder

подробнее »
26 июля 2016
Использование Tomoyo Linux

Заблокировать подозрительное поведение программы? Смягчить последствия от эксплуатации уязвимостей? Исключить выполнение несанкционированного кода? TOMOYO Linux — реализация мандатного управления доступом для операционной системы Linux. Встроена в ядро по умолчанию. Позволяет взять под контроль

подробнее »
28 мая 2014
Меню сайта
ТОП-10
Архив публикаций
Авторизация
Комментарии