кто может сказать, где именно прочитать об архитектуре Drupal

Главные вкладки

Комментарии

Аватар пользователя Enemy Enemy 28 декабря 2011 в 3:01

думаю тут скорее гугл или яндекс, т.к. информации много и никто не соберётся собрать всё в одну кучу ) решение проблема и поиск проблемы по мере её появления, вот так работают с друпалом

Аватар пользователя HACTEHbKA HACTEHbKA 28 декабря 2011 в 4:02

Enemy wrote:
думаю тут скорее гугл или яндекс, т.к. информации много и никто не соберётся собрать всё в одну кучу ) решение проблема и поиск проблемы по мере её появления, вот так работают с друпалом

гугл всегда в помощь, просто слишком много лишнего там...но за это время что-то вроде насобирала))))
просто думала,что мало ли есть какой ни то хороший сайт в заначке..=)
конечно с нахождениями уязвимостей Drupal'a, чувствую, что будет еще хуже...

Аватар пользователя boneg boneg 28 декабря 2011 в 10:14

"HACTEHbKA" wrote:
по всем версиям надо .... 12-13 страницы

Реферат по друпалу задали?

Надо и себе какой-нибудь второй аккаунт создать, "Аленушка" или "Катюшенька". Как все шустренько забегались сразу дамочке с милой мордашкой на фото помочь - прям душа не нарадуется))

Аватар пользователя HACTEHbKA HACTEHbKA 28 декабря 2011 в 10:30

boneg wrote:
"HACTEHbKA" wrote:
по всем версиям надо .... 12-13 страницы

Реферат по друпалу задали?

Надо и себе какой-нибудь второй аккаунт создать, "Аленушка" или "Катюшенька". Как все шустренько забегались сразу дамочке с милой мордашкой на фото помочь - прям душа не нарадуется))

Нет,курсовик: найти уязвимости друпала!(просмотреть несколько версий, и найти уязвимости 10 разными способами)

хочешь сказать,что типа эта не моя фотография, или что?
ты мне предлагаешь, тратить время на придумывания какого-то сраного ника, вставить какую-нибудь картинку,зато я буду как все....бред, ты пишешь, уважаемый! просто,что именно хотела найти, реально не получилось...решила спросить, или нельзя????

Аватар пользователя boneg boneg 28 декабря 2011 в 10:48

"HACTEHbKA" wrote:
ты мне предлагаешь, тратить время на придумывания какого-то сраного ника, вставить какую-нибудь картинку,зато я буду как все....бред, ты пишешь, уважаемый!

Уважаемая, я вам лично никаких претензий не предьявлял. Это были мысли вслух о сообществе, которое часто голодное на женскую ласку, поэтому на вопросы по API простых смертных не отвечают, хотя знают ответы, а на вопросы дам (какими бы они не были ("они" - вопросы, а не дамы)) сразу рвут клавиатуру на части, стараясь угодить. Ваша естественная красота не подвергается сомнению, она подвержена интересу тех форумчан, у которых уже наступило половое созревание. Это природно, не волнуйтесь.

Уязвимости в существующем ядре друпала кроме вас ищут постоянно еще сами разработчики Drupal, поэтому трудно представить, что вы их так просто найдете до того момента, когда будет нужно защищать ваш курсовик. Уязвимости появляются, когда непосредственно разработчики сайтов криво настраивают систему прав, криво работают с DB Abstraction Layer и криво пишут валидацию для форм и вывод информации своими шаблонами, забывая резать потенциально опасные данные.

Аватар пользователя HACTEHbKA HACTEHbKA 28 декабря 2011 в 11:41

boneg wrote:

Уязвимости в существующем ядре друпала кроме вас ищут постоянно еще сами разработчики Drupal, поэтому трудно представить, что вы их так просто найдете до того момента, когда будет нужно защищать ваш курсовик. Уязвимости появляются, когда непосредственно разработчики сайтов криво настраивают систему прав, криво работают с DB Abstraction Layer и криво пишут валидацию для форм и вывод информации своими шаблонами, забывая резать потенциально опасные данные.

знаю,что найти сложно, но мне же можно уязвимости старых версий, в которых разработчики уже нашли что-то...самое ужасное,что надо провести не меньше 10 различных тестирований...хотя бы теоретическую часть нормальную найти (пример, анализ материалов, касающихся уязвимости)

Аватар пользователя HACTEHbKA HACTEHbKA 7 января 2012 в 3:59

boneg][quote="HACTEHbKA" wrote:

Уязвимости в существующем ядре друпала кроме вас ищут постоянно еще сами разработчики Drupal, поэтому трудно представить, что вы их так просто найдете до того момента, когда будет нужно защищать ваш курсовик. Уязвимости появляются, когда непосредственно разработчики сайтов криво настраивают систему прав, криво работают с DB Abstraction Layer и криво пишут валидацию для форм и вывод информации своими шаблонами, забывая резать потенциально опасные данные.

нашла я уязвимость, и взломать даже получилось..ну естесственно, у себя на компе)

Аватар пользователя HACTEHbKA HACTEHbKA 29 декабря 2011 в 2:14

boneg wrote:
http://drupal.org/node/3060/release - тут все есть.

эта была первая моя ссылка, вот сегодня вечером надо было сдать на проверку,сдам рано утром....надеюсь за ночь накалякаю что ни то
сейчас пытаюсь протестить Drupal через hydra, она зараза консольная, еще с установкой ее запары будут)

Аватар пользователя ihappy ihappy 29 декабря 2011 в 6:49

"HACTEHbKA" wrote:

У вандюка есть книги по 5, 6 и вроде уже есть по 7 друпалу.
Там описывается отлично архитектура друпала.
конечно читать надо на английском. Русский перевод, страшен также как и баба яга.
По безопасности надо читать http://drupal.org/.
Там все есть. Готовых текстов нет.

Аватар пользователя Semantics Semantics 30 декабря 2011 в 20:37

"HACTEHbKA" wrote:

эта была первая моя ссылка, вот сегодня вечером надо было сдать на проверку,сдам рано утром....надеюсь за ночь накалякаю что ни то
сейчас пытаюсь протестить Drupal через hydra, она зараза консольная, еще с установкой ее запары будут)


Никоим образом не хочу поставить ваши действия под сомнения, но что вы собрались тестить гидрой?
Гидра это брутфорсилка, кагбе она совсем не для тестов и работает на более низком уровне чем друпал.

Аватар пользователя HACTEHbKA HACTEHbKA 2 января 2012 в 21:18

у меня ей не получилось, посоветовали, но ничего не вышло...вот ищу тесты,которые подойдут для друпал...во время курсовик не сдала, приходится в праздники делать

Аватар пользователя boneg boneg 7 января 2012 в 16:52

"HACTEHbKA" wrote:
нашла я уязвимость, и взломать даже получилось..ну естесственно, у себя на компе)

покажите, похвалитесь.

Аватар пользователя HACTEHbKA HACTEHbKA 8 января 2012 в 19:21

boneg wrote:
"HACTEHbKA" wrote:
нашла я уязвимость, и взломать даже получилось..ну естесственно, у себя на компе)

покажите, похвалитесь.

видео преподу сняла, как взламывала, ток там мой противный голос...сюда точно скидывать не буду)))

Аватар пользователя boneg boneg 8 января 2012 в 20:03

А не нужно видео. Уязвимость саму покажите и метод взлома опишите. Что-то как-то не очень на правду похоже.

Аватар пользователя HACTEHbKA HACTEHbKA 26 января 2012 в 12:26

для Drupal6, если аккаун имеет доступ на создание материалов и на доступ на создание истории с Full HTML форматом. и он знает о XSS, то можно написать небольшой java.script. Вставим его в описание истории.
описание кода: код забирает все пользовательские cookie, которые хранятся в одном img и помещает в одну пиксельную картинку( на java написала маленькое web приложение...куда сохранялись cookie). То есть скрипт php - принимает на вход один параметр, в который мы записываем cookie. Этот скрипт делает очень простую вещь: все, что приходит в get параметре, обрабатывается страницей test.jsp и выводится в консоль eclipse.
потом копируем ссылку эту и отправляем администратору..когда он зайдет на эту страницу, у меня появятся его куки.... потом со своего пользователя открываешь все куки и там есть одна анонимная сессионная cookie, в Drupal 6х она ставиться по умолчанию.
Зная, что cookie можно отредактировать, мы открываем eclipse, находим в конселе cookie администратора, копируем ее содержимое, вставляем данные в поля Name и Value, нажимаем ОК, обновляем сайт и мы автоматически заходим под администратором root
вот вкратце)

Аватар пользователя Виктор Степаньков ака RxB Виктор Степаньк... 26 января 2012 в 12:28

"HACTEHbKA" wrote:
для Drupal6, если аккаун имеет доступ на создание материалов и на доступ на создание истории с Full HTML форматом. и он знает о XSS, то можно написать небольшой java.script. Вставим его в описание истории.

Настя, у вас фамилия не Капитан?

Аватар пользователя 0legka 0legka 26 января 2012 в 12:52

"HACTEHbKA" wrote:
для Drupal6, если аккаун имеет доступ на создание материалов и на доступ на создание истории с Full HTML форматом. и он знает о XSS, то можно написать небольшой java.script. Вставим его в описание истории.
описание кода: код забирает все пользовательские cookie, которые хранятся в одном img и помещает в одну пиксельную картинку( на java написала маленькое web приложение...куда сохранялись cookie). То есть скрипт php - принимает на вход один параметр, в который мы записываем cookie. Этот скрипт делает очень простую вещь: все, что приходит в get параметре, обрабатывается страницей test.jsp и выводится в консоль eclipse.
потом копируем ссылку эту и отправляем администратору..когда он зайдет на эту страницу, у меня появятся его куки.... потом со своего пользователя открываешь все куки и там есть одна анонимная сессионная cookie, в Drupal 6х она ставиться по умолчанию.
Зная, что cookie можно отредактировать, мы открываем eclipse, находим в конселе cookie администратора, копируем ее содержимое, вставляем данные в поля Name и Value, нажимаем ОК, обновляем сайт и мы автоматически заходим под администратором root
вот вкратце)

boneg ведь писал вам уже по этому поводу
"boneg" wrote:
Уязвимости появляются, когда непосредственно разработчики сайтов криво настраивают систему прав, криво работают с DB Abstraction Layer и криво пишут валидацию для форм и вывод информации своими шаблонами, забывая резать потенциально опасные данные.

какая же это уязвимость... это кривые руки разработчика=))

Аватар пользователя ihappy ihappy 26 января 2012 в 14:30

"HACTEHbKA" wrote:
вот вкратце)

Настя, это хухня полная. С таким же успехом, можно заявить, что я взломал друпал, удалил бд, имея пароли от сервера.
Это не взлом.