[Typo3-UG Russia] аудит информационной безопасности системы управления сайтом

[Michael Shigorin]

On Wed, Jun 01, 2005 at 09:38:04AM +0400, Igor Timofeev wrote:
> Интересно, какие бы выводы сделали относительно системы TYPO3.
> Наверное, тоже проводили какие-то тесты на секьюрность? Было бы
> весомым аргументом в пользу выбора системы при разговоре с
> заказчиком.

Когда выбирали себе следующую CMS -- рыл и по этому направлению.
На счету TYPO3 была одна старая и (IIRC) быстро исправленная
проблема, больше ничего в архиве bugtraq и окрестностях не
нашлось.

Не сильно давние анонсы -- это про 3rd party расширение,
и то в тот же день исправление было.

Помогает изолирование работы с базой -- наиболее критичные
проблемы (SQL injection) вылазят от того, что ввод не фильтруется
и можно в запрос подставить вместо ожидаемого "nnn" (для &id=nnn 
=> WHERE `id` = nnn) нечто вроде "nnn; DROP TABLE zzz").

Лекарство очевидно, квотить надо, что дают (и/или проверять).

Про XSS не скажу, тут не копался.

Рекомендую статью "Study In Scarlet" (гуглится с добавлением
php development security, помнится).

PS: да, я понимаю, что это ответ на чуточку другой вопрос, 
но конкретно на поставленный -- видимо, PT и надо спрашивать. :)

-- 
 ---- WBR, Michael Shigorin <mike at altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/