Вход • Регистрация

Всего найдено: 5735

  • 25 декабря 2012 г.
  • А это, какбэ, хороший хостинг должен сам помогать бороть. На ISP, например, вот и вот сотрудник техподдержке даже в своем блоге писал на эту тему. Там одна команда из командной строки на хостинге по удалению этого кода.
  • 30 января 2013 г.
  • Начиная с 5.2 мы будем скрывать пароли к базе и фтп, забитые в параметры сайта, зведочками. Потому как пароль в админку оставляют 123:123 или admin:admin, заходишь, а там все как на ладони...
  • 02 декабря 2016 г.
  • Цитата
    нашел в админке 2 критические баги

    Цитата
    Произвольное выполнение кода!

    Отпишусь тут, чтобы народ не переживал, мне кое-что известно.
    Да, кое-что косячное есть. Но во-первых, оно действительно в админке, для авторизованного администратора. Например, в админке модуля "Баннеры" можно загрузить JPG с РНР-кодом внутри и он исполнится, т.к. баннеры мы не обрабатываем, а даем админу грузить исходники. То есть, можно загрузить шелл через РНР в JPG через баннеры. Страшно это или нет, решайте сами, но я считаю, что если кто-то упёр название папки администрирования, логин и пароль админа и залогинился, то шелл можно закачать и через "Файловый менеджер", и не валять дурака с загрузкой инфицированных JPG.
    Основной косяк был в том, что "Файловый менеджер" в нашей деме на нашем сервере отключен, т.е. шелл не загрузить. Но по схеме FLYNSTROOL-а это было можно сделать. Тут мы сами лохи: даем админский доступ к своему серверу.
    Эту дыру у себя мы закрыли, конечно, кое-какие выводы сделаем и в коробку DIAFAN.CMS, так что спасибо FLYNSTROOL-у, что сообщил.
    А всем пользователям DIAFAN.CMS мы как всегда рекомендуем делать сложные пароли, прятать папку админа и не записывать пин-код от банковской карты на ней же
Показывать по:

Новости

  • 19 сентября 2025 г.
  • Мы внесли изменения в лицензию и объявляем, что прекращаем техническую консультационную поддержку сайтов на DIAFAN.CMS версий старше 7.0. А это все минорные версии платформы, предшествующие актуальной линейке, а именно: версии серии 4.x, 5.x, 6.x.
  • 15 сентября 2025 г.
  • У нас отличные новости! Мы выпустили новую сборку DIAFAN.CMS 7.3, которая включает встроенные нейросети непосредственно в административной панели. Это значит, что создание контента для вашего сайта больше не будет проблемой — искусственный интеллект возьмет эту задачу на себя, избавляя вас от необходимости привлекать копирайтеров или тратить время на написание текстов самостоятельно.
  • 25 марта 2025 г.
  • Мы обновили систему тарифов, учитывая опыт работы с клиентами и современные рыночные условия. Новая тарифная сетка разработана специально для того, чтобы лучше отвечать вашим потребностям. Резкого повышения цен не произошло. Более того, некоторые тарифы даже стали выгоднее и доступнее. 

Блоги

  • 10.09.2025
  • DIAFAN.CMS славится нагрузоустойчивостью и безопасностью, про инциденты со взломом сайта на нашей системе давненько не слышали, но недавно получили мы письмо от fstec.ru такого характера:

    Обнаружена уязвимость в CMS-системе DIAFAN, позволяющая нарушителю, действующему удалённо, красть сессионные куки через XSS-атаку.

Форум