Прячьте дампы БД плагинов

Разработка под LiveStreet CMS
Почти во всех плагинах разработчики оставляют файлы дампов (структуры) БД в корневой папке плагина, тем самым делая возможным получение информации о структуре таблиц плагина, что само по себе ничего плохого не означает, но лучше потенциальному взломщику ничего не знать о полях таблиц.

Прячьте дампы БД плагинов →

Фикс безопасности № 5 одним файлом

Безопасность LiveStreet CMS
В свете выхода 4-х публикаций о проблемах с безопасностью в последней версии ЛС (1.0., 1.0.1):

Часть 2
Часть 3
Часть 4
Часть 5

(Нумерация начинается с 2-й части т.к. уже была 1-я часть и чтобы не путать читателей)

Все изменения в файле, в котором обнаружены проблемы с безопасностью, я внес в этот файл. Его можно скачать и установить, тем самым не внося все правки ручками.

Данный файл предназначен для официального релиза LiveStreet CMS 1.0.1.

Расположение исходного файла относительно корня сайта:
/classes/actions/ActionAjax.class.php

файл с исправлениями безопасности уже есть в самом движке.

Раскрытие директорий в ЛС. Часть 2

Безопасность LiveStreet CMS
Понедельник — день хороший. За окном мокрый снег и дождь, ну а LiveStreet CMS Guide вещает о проблемах с безопасностью в LiveStreet CMS.

В предыдущем топике уязвимость была связана с отсутствием файла, который закрывал системную директорию. В этом выпуске да и в многих следующих все баги будем искать в коде.

Чай и печеньки

Раскрытие директорий в ЛС

Безопасность LiveStreet CMS
Размышляя как-то о том, что директория engine в ЛС лишь частично закрыта извне, я подумал что это дает какие-то потенциальные возможности злоумышленнику. И сразу же был найден пробел в системе безопасности.

Пробееел? У меня сайты на ЛС! Скорее рассказывай!