«Айкон» сделала пятую версию своей CMS
Компания «Айкон», занявшая в первом рейтинге новосибирских разработчиков сайтов пятое место, завершила разработку пятой версии собственной CMS.
Эта система управления сайтом используется не только на ресурсах клиентов «Айкона», но и у крупных телекоммуникационных компаний. (Причём до сих пор.)
А не связано ли это со взломом сайта банка левобережный?
http://svtol.1nsk.ru/blog/post10053.html
Какое любопытное дополнение. Спасибо, ДжейТи.
Ага с безопастностью у них похоже плохо.
Если судить по форме авторизации тут http://hnet.ru/admin/
То:
1) неверно идёт работа с magic quotes (отсюда возможен sql injection) – хотя здесь возможно просто не верная настройка php под данную CMS, но по идее коробочный продукт должен автоматом определять настройки и работать соответствующим образом.
2) данные пришедшие из вне и выводимые потом в html выводяться как есть, без обработки. Вернее обработка там есть, но не верная (отсюда возможен cross site sсriрting).
Это можно увидеть если ввести в поле логина что нибуть типа:
bla’bla”bla>bla
Этично ли воровать CMS – вот в чем вопрос? Почему-то кажется, что у нас скорее да, чем нет. Кино смотрим, mp3 слушаем, нелицинзионный софт используем – CMS из той же области, сомнительно, что должно быть исключением.
Кхм. Айкон последний абзац своего анонса явно под утро (после нескольких бессоных перед завершением проекта ночей) дописывала.
“В новой версии системы по сравнению с Icon CMS четвертого поколения, новая обладает повышенной информационной безопасностью, что немаловажно для расущего числа крупных корпаративных клиентов нашей компании.”
“В новой новая”, “расущего”, “корпаративных”.
Миша, демо будет? :)
Отвечу всем по порядку:
2ДжейТи
Во первых, чтобы не было слухов, подтверждаю, что взлом был. И мы сейчас помогаем в его расследовании компетентным органам. Сломали на самом деле не сильно (гордиться там абсолютно нечем) и доступ то получили лишь к первой страницу, но именно по этому и заметно.
Как вы знаете ошибки искать тяжело тем более 4х летней давности, тем более в системе управления давным давно устаревшей и не поддерживаемой.
Но обновление никак с этим инцидентом не связано, обновляли CMS далеко ушедшую от использованной в банковском сайте.
Вообще это наша больная тема которая еще подпортит нервов утешает лишь одно – не ошибается тот кто ничего не делает.
2serge
Не надо обобщать. Здесь вообще чистейшей воды воровство причем сотрудником клиента у которого естественно были полные доступы к системе, та версия никак не защищалась. Но и не это причина обновления CMS, это лишь подтолкнуло нас встроить систему проверки подлинности.
что касается коробочности – никто и никогда не говорил что мы делаем коробочную версию CMS! Нет у нас такой цели – это другой бизнес и мы пока им не занимаемся. Соответственно все косяки ворованной системы к нам не относятся.
Кстати Home Net таки и пропала…. Может правда времени нет…
2VK не было у нас никакого аврала и сроков не было. просто написали некрасиво. Бывает. Вроде и люди не творческие, а пишем не всегда литературно.
2Максим
Ну как бы есть для клиентов, но боюсь при ее представлении критики много будет притом не конструктивной а именно эмоциональной. А я человек чувствительный:) Да и наполнения нет и литиратура хромает. В общем не покажем пока…