InstantCMS 1.10.1
Хочется отметить, что аудит безопасности прошел успешно и не зря. Уязвимости были найдены, в том числе одна серьезная, однако для ее эксплуатации нужны хорошие знания sql, поэтому большого повода для паники нет. В целом, по словам исполнителя тестирования, система достаточно хорошо защищена.
Мы поработали и закрыли все, что было найдено и выполнили все рекомендации по увеличению степени защищенности.
Что исправлено и дополнено:
перебор паролей для авторизации исключен, добавлена каптча, которая появляется при второй попытке авторизации;
исправлена фильтрация тегов при добавлении;
исправлена фильтрация поисковых запросов в компоненте "поиск";
сессия php теперь привязана к ip;
вывод модулей оптимизирован, выполняется один запрос к БД с выборкой модулей для данной страницы;
SEOURL теперь не может состоять только из цифр;
скомпилированные шаблоны формируются с префиксом, корректная смена шаблона "на лету";
исправлены проблемы при импорте из excel.
Комментариев 0