Segurança: os 25 erros de programação mais perigosos: Os 25 erros de programação mais perigosos segundo a SANS Saiu no site da SANS a lista criada com o consenso entre varios profissionais e empresas do ramo de segurança e desenvolvimento descrevendo os 25 erros de programação mais perigosos para o desenvolvimento seguro. Eu vou traduzir os nomes e informação básicos mas o melhor é ler o artigo na íntegra , em inglês. Os erros estão separados em três categorias: Interação insegura entre componentes, Gerenciamento arriscado de recursos, Defensas porosas. Categoria: Interação insegura entre componentes Validação Imprópria de Entradas : Entradas que recebem dados e os aceitam mesmo sem certificar que eles são do tipo/formato esperado. Codificação ou Escape Impróprios de Saída : Saídas que não são codificadas ou escapadas corretamente são a maior fonte de ataques de injeção de código. Falha ao Preservar a Estrutura da Busca SQL (conhecido como Injeção de SQL) : Se os atacantes podem influenciar as procuras SQL do seu programa, então eles podem controlar o seu banco de dados. Falha ao Preservar a Estrutura do Código da Página (conhecido como “ Cross-site Scripting ”) : Assim como o anterior, se os atacantes podem injetar código ou scripts em sua página, eles podem controlar a página. Falha ao Preservar a Estrutura de Comandos do Sistema Operacional : Se você permitir que entradas ilegais sejam passadas para aplicativos do sistema operacional, o atacante pode controlar o servidor. Transmissão de Dados Sensíveis em Texto Puro : Senhas, dados de cartão e qualquer informação considerada sensível deve ser criptografada. Falsificação de Requisição Entre Sites : Um atacante pode criar uma requisição que é enviada a outro site forjando a origem e fazendo o mesmo partir de um usuário inocente, aproveitando credenciais de autenticação e acessos. Condição de Corrida : Atacantes vão sempre procurar por condições de corrida no software para conferir se alguma informação importante não é obtida no processo. Vazamento de Informações em Mensagens de Erro : Atacantes vão procurar por mensagens de erro que descrevam mais que o necessário, como nomes de campos SQL, objetos e bibliotecas sendo utilizadas. Categoria: Gerenciamento arriscado de recursos: Falha ao Limitar Operações aos Limites de um Buffer de Memória : O conhecido buffer overflow . Controle Externo de Dados Sensíveis : Informações críticas que são mantidas fora de um banco de dados por questões de performance não deviam ser facilmente acessíveis por atacantes. Controle Externo de de Caminho ou Nome de Arquivo : Quando você usa dados externos para montar um nome de arquivo ou caminho de gravação, você está se arriscando a ser atacado. Caminho de Procura Inseguro : Se o caminho de procura de recursos estiver em algum lugar sob controle de um atacante, bibliotecas ou código pode ser inserido a revelia. Falha ao Controlar a Geração de Código : Caso o atacante consiga influenciar a geração de código dinâmico (se geração de código dinâmico for utilizada no programa) ele poderá controlar todo seu código. Download de Código sem Verificação de Integridade : Se você executa código obtido por download, você confia na fonte. Atacantes podem aproveitar esta confiança. Desligamento ou Liberação Impróprias de Recursos : Arquivos, conexões e classes precisam ser corretamente encerradas. Inicialização Imprópria : Dados, bibliotecas e sistemas inicializados incorretamente podem abrir margens para problemas. Cálculos Incorretos : Quando o atacante tem algum controle sobre as entradas usadas em operações matemáticas, isso pode gerar vulnerabilidades. Categoria: Defensas porosas: Controle de Acesso Impróprio : Se você não garante que seus usuários estão fazendo apenas o que deviam, os atacantes irão se aproveitar de sua autenticação. Uso de um Algoritmo Criptográfico Quebrado ou Vulnerável : Utilização de algoritmos fracos ou comprometidos levam a falhas de criptografia e vulnerabilidades. Senha no Código : deixar um usuário e uma senha no próprio código traz inúmeros problemas. Permissão de Acesso Insegura para Recurso Crítico : Configurações, arquivos de dados e bancos de dados devem ter suas permissões de acesso protegidas. Uso de Valores Insuficientemente Aleatórios : Se você usa tipos de segurança que dependem de aleatoriedade, usar um gerador aleatório insuficiente só vai causar problemas. Execução com Privilégios Desnecessários : Se seu programa precisa de privilégios elevados para executar suas funções, ele deve abrir mão destes direitos assim que ele termina de executar as ações que precisavam dos privilégios. Aplicação de Segurança do Lado do Servidor pelo Cliente : Atacantes podem usar engenharia reversa em um cliente de software e escrever seus próprios clientes removendo testes e aplicações de segurança. Tradução: Core.eti.br , Mikhail , Tradutor do Google . Related articles: F-Secure provides details on Web site breach (news.cnet.com) OStatic Buffer Overflow..... (ostatic.com) Hacker site claims breach of third security firm Web site in a week (news.cnet.com) 500,000 Websites Hit by SQL Injection in '08 (pindebit.blogspot.com) Audit: No customer data exposed in Kaspersky breach (news.cnet.com) OStatic Buffer Overflow...... (ostatic.com) Microsoft Bringing SQL Server to the Cloud (blogs.msdn.com) Inserting DBCC CHECKDB Results Into A Table! (lockergnome.com) Microsoft's Staff Reductions Directly Related to Success of Netbooks (ostatic.com) Grab data from Zoho's software with Zoho CloudSQL (venturebeat.com)

Olá Dalanhese, blz?!? bompara permitir anonimos a enviar, basta dar-lhes permissão vá no módulo liase, clique em [b]editar formulário[/b] no formulário desejado, e depois em [b]Grupos permitidos a usar este formulário[/b] selecione o grupo vistantes... salve e pronto!!! ;-) No mais, por enquanto é isso ae... qualquer coisa dá um grito!!! Falows!!! T+... :hammer:

Falhas de segurança do antigo XOOPS 2.0 + módulos: -=[ XOOPS - SEGURANÇA ]=- -::DATA -::DESCRIÇÃO -::RELACIONADAS -::DESCARREGAR 2008-06-08 XOOPS Module Uploader 1.1 (filename) File Disclosure Vulnerability R D 2008-04-19 XOOPS Module Recipe (detail.php id) SQL Injection Vulnerability R D 2008-03-17 XOOPS Module Dictionary <= 0.94 Remote SQL Injection Vulnerability R D 2008-03-12 XOOPS Module Gallery 0.2.2 (gid) Remote SQL Injection Vulnerability R D 2008-03-12 XOOPS Module My_eGallery 3.04 (gid) SQL Injection Vulnerability R D 2008-03-12 XOOPS Module tutorials (printpage.php) SQL Injection Vulnerability R D 2008-03-06 XOOPS Module Glossario 2.2 (sid) Remote SQL Injection Vulnerability R D 2008-03-06 XOOPS Module wfdownloads (cid) Remote SQL Injection Vulnerability R D 2008-02-19 XOOPS Module eEmpregos (cid) Remote SQL Injection Vulnerability R D 2008-02-19 XOOPS Module classifieds (cid) Remote SQL Injection Vulnerability R D 2008-02-18 XOOPS Module myTopics (articleid) Remote SQL Injection Vulnerability R D 2008-02-04 XOOPS 2.0.18 Local File Inclusion / URL Redirecting Vulnerabilities R D 2008-01-06 XOOPS mod_gallery Zend_Hash_key + Extract RFI Vulnerability R D 2007-06-20 XOOPS Module WiwiMod 0.4 Remote File Inclusion Vulnerability R D 2007-06-13 XOOPS Module XFsection (modify.php) Remote File Inclusion Vulnerability R D 2007-06-13 XOOPS Module XT-Conteudo (spaw_root) RFI Vulnerability R D 2007-06-13 XOOPS Module Cjay Content 3 Remote File Inclusion Vulnerability R D 2007-06-12 XOOPS Module Horoscope <= 2.0 Remote File Inclusion Vulnerability R D 2007-06-01 XOOPS Module icontent 1.0/4.5 Remote File Inclusion Exploit R D 2007-05-15 XOOPS Module resmanager <= 1.21 BLIND SQL Injection Exploit R D 2007-05-15 XOOPS Module Glossarie <= 1.7 (sid) Remote SQL Injection Exploit R D 2007-05-15 XOOPS Module MyConference 1.0 (index.php) SQL Injection Exploit R D 2007-05-06 XOOPS Module wfquotes 1.0 0 Remote SQL Injection Vulnerability R D 2007-05-04 XOOPS Flashgames Module 1.0.1 Remote SQL Injection Vulnerability R D 2007-04-16 XOOPS Module tsdisplay4xoops 0.1 Remote File Inclusion Vulnerability R D 2007-04-05 XOOPS Module WF-Links <= 1.03 (cid) Remote SQL Injection Exploit R D 2007-04-05 XOOPS Module Jobs <= 2.4 (cid) Remote SQL Injection Exploit R D 2007-04-04 XOOPS Module WF-Snippets <= 1.02 (c) BLIND SQL Injection Exploit R D 2007-04-04 XOOPS Module Rha7 Downloads 1.0 (visit.php) SQL Injection Exploit R D 2007-04-03 XOOPS Module PopnupBlog <= 2.52 (postid) BLIND SQL Injection Exploit R D 2007-04-02 XOOPS Module WF-Section <= 1.01 (articleid) SQL Injection Exploit R D 2007-04-02 XOOPS Module XFsection <= 1.07 (articleid) BLIND SQL Injection Exploit R D 2007-04-02 XOOPS Module Zmagazine 1.0 (print.php) Remote SQL Injection Exploit R D 2007-04-01 XOOPS Module eCal <= 2.24 (display.php) Remote SQL Injection Exploit R D 2007-04-01 XOOPS Module Tiny Event <= 1.01 (id) Remote SQL Injection Exploit R D 2007-04-01 XOOPS Module Kshop <= 1.17 (id) Remote SQL Injection Exploit R D 2007-04-01 XOOPS Module Camportail <= 1.1 (camid) Remote SQL Injection Exploit R D 2007-04-01 XOOPS Module debaser <= 0.92 (genre.php) BLIND SQL Injection Exploit R D 2007-04-01 XOOPS Module myAlbum-P <= 2.0 (cid) Remote SQL Injection Exploit R D 2007-04-01 XOOPS Module RM+Soft Gallery 1.0 BLIND SQL Injection Exploit R D 2007-03-31 XOOPS Module Lykos Reviews 1.00 (index.php) SQL Injection Exploit R D 2007-03-31 XOOPS Module Library (viewcat.php) Remote SQL Injection Exploit R D 2007-03-31 XOOPS Module Core (viewcat.php) Remote SQL Injection Exploit R D 2007-03-31 XOOPS Module Tutoriais (viewcat.php) Remote SQL Injection Exploit R D 2007-03-30 XOOPS Module Repository (viewcat.php) Remote SQL Injection Exploit R D 2007-03-29 XOOPS Module MyAds Bug Fix <= 2.04jp (index.php) SQL Injection Exploit R D 2007-03-28 XOOPS module Articles <= 1.03 (index.php cat_id) SQL Injection Exploit R D 2007-03-28 XOOPS Module Friendfinder <= 3.3 (view.php id) SQL Injection Exploit R D 2007-03-27 XOOPS module Articles <= 1.02 (print.php id) SQL Injection Exploit R D 2006-06-28 XOOPS myAds Module (lid) Remote SQL Injection Vulnerability R D 2006-05-21 XOOPS <= 2.0.13.2 xoopsOption[nocommon] Remote Exploit R D 2005-11-12 XOOPS (wfdownloads) 2.05 Module Multiple Vulnerabilities Exploit R D 2005-07-04 XOOPS <= 2.0.11 xmlrpc.php SQL Injection Exploit R M D

Tenho um site de vídeo streaming com o xoops...os vídeos serão em Dvix...estou com dificuldades na parte de segurança... quero evitar que os usuários possam fazer o download dos vídeos...já vi alguma coisa parecida em outro site com o sistema "asp" ou "aspa"...se alguém poder me ajudar...muito obrigado!!! Meu site: www.japaotv.com/tv Japão Tv (Bruno)

Valeu RedEye. Eu reparei porque meu portal sempre da problemas de segurança. Pior que meu servidor não pode colocar OFF para as variaveis globais.

[color=000033][font=Verdana]Realmente isso é muuuuuito estranho !! Eu mudei hoje cedo é está normal até agora a galera do suporte do host foi muito prestativa... mas não detctou nenhum problema.. Sobre as pastas eu verifiquei todas elas e nada de anormal foi encontrado.. Bem passado o SUSTO!! espero que fique por ae mesmo.... Mas o problema mais um pra variar é que eu não consigo instalar o Protector... Rapaz desde cedo eu tento (tudo em localhost) e venho levando uma baita de uma surra miserável :-D, e aqui estou eu de novo.. como pelo amor de cristo eu instalo esse mod haihiahaiuhaiuahiah.... Rapaz eu li e re-li dois artigos aqui mas ainda não consegui... o esquema do [b]XOOPS_TRUST_PATH[/b] Realmente me quebro :-o Uma que eu já me perdi na hora de colocar as pastas no lugar... veja [img]http://24br.net/zika/protector.jpg[/img] viu... intão qual é a pasta que eu envio para o pasta de modules? eu enviei a primeira mas acho que é a segunda mudei também não funciono, mas deve de ser a primeira ,pois segundo o artigo o que fica na pasta module são so "atalhos" sendo a segunda a ser enviada pra fora eu renomiaria ali onde esta protector e meteria XOOPS (como no exemplo) Agora a duvida mas >>>>> isso mesmo a pior!!! [b]XOOPS_TRUST_PATH[/b] no mainfile ... meu eu li demais pra ver mas não entendi tudo esse sãos os artigos que estou lendo [url=http://xoopscube.com.br/modules/wfsection/article.php?articleid=86]XOOPS_TRUST_PATH como usar[/url] [url=http://xoopscube.com.br/modules/newbb/viewtopic.php?topic_id=7726&forum;=1&post;_id=45479#forumpost45479]XOOPS_TRUST_PATH e o jeito certo de usar![/url] Tipo eu tenho que criar essa linha no [b]Mainfile[/b] define('XOOPS_TRUST_PATH','/home/kurumin/arquivos/xt'); editando o final ali.... é isso mesmo Ou já existe e eu so tenho que indicar a pasta que esta fora do alcance da web..... Deu pra perceber que eu me perdi por ae .. mas Mais uma X conto com todos vocês !!!! Como a Gisa_Iagami diz: Duas cabeças pensão melhor que uma!!! [/font][/color]

anti-spam em 50%: parabéns pela iniciativa! :-)

Colegas, como sou adepto de uma boa pesquisa. Segue o link para vocês pesquisarem sobre .htaccess Tem muita coisa boa por aí!!! http://xoopscube.com.br/modules/newbb/viewtopic.php?topic_id=4964&forum;=16&viewmode;=flatℴ=ASC&start;=0 Até mais

Olá Henrique. Cara, acredita que alguém estava invadindo e apagando as tabelas do BD. Instalei o protetor e coloquei arquivos .htaccess Acho que resolveu...também mudei todas as senhas!!! Será que fiz certo?

Fala Gisa_Iagami. Eu uso o 2.0.16 Assustei com essas mensagens pois há 2 semanas estavam apagando as tabelas do meu bd. Corrigi os erros, mas ainda aparece isso no protector.

Não utilizar o xoopseditor ?

problema na atualização do xoops: Você deve ter alterado manualmente o arquivo partners_block_list.html porque ou está faltando um {/foreach} ou tem um {/if} a mais. Na linha 39 foi aberto um {foreach}, então ele deve ser fechado com um {/foreach}. Então pode ter um {/if} antes do {/foreach} que não deveria estar ali, ou o próprio {/foreach} foi apagado. Seria bom você colocar aqui o que tem da linha 38 para baixo nesse arquivo (se não for muito grande, pode colocar o HTML inteiro). Se for colocar aqui, coloca dentro da tag CODE: [*code]código aqui[*code] sem o * (coloquei o * para não ser interpretado a marcação code aqui)

spam/robôs mesmo após código de segurança?: Olá,! Puxa, essa passou batido... Foi mal, acabei não vendo a resposta. :-( Na verdade, pelo que percebi, foram pessoas mal intencionadas, mesmo, não robôs. Mas está tudo sob controle...rs. Valeu pela ajuda. :-)

banir ip: Putz! Acho que é a primeira vez que clico "pop-up", e lá realmente aparecem...e qual seria o IP do utilizador XPTO que está bagunçando por cá ? Se eu não pegar ele online? Valeu Luix! Vlad

backup de banco de dados: olá Dilson , Atualmente conheço dois módulos que tem essa função. Os módulos: [u]XOOPS Backup & Restore 3.0 BackPack 0.04[/u] Pesquisa no fórum de traduções para o XOOPS, que acredito que lá você vai encontrá-los. Os dois módulo colocam o arquivo gerado na pasta upload. Ainda, para backup você pode utilizar o próprio PhpMyAdmin que está instalado na maioria dos hosts. é isso

sem acesso a área de administração: E aí Dilson? Bom, você postou 2 vezes sobre o mesmo assunto e eu já respondi ele [url=http://www.xoopscube.com.br/modules/newbb/viewtopic.php?topic_id=7122&forum;=16&post;_id=40641#forumpost40641]aqui[/url]. Não adianta postar várias vezes sobre o mesmo assunto, o mais aconselhado é postar e aguardar uma resposta. Mas, de qualquer forma, siga os passos do post mencionado e volte para nos dar um retorno. Rodrigo

monitoração de portal - verificador de compatibilidade: Um que uso no meu portal é este aqui oh. http://siteuptime.com/ Free, e ainda permite que seus utilizadores tenha acesso ao uptime do seu site, bem legal mesmo, JJ

monitoração do portal (status site/estatística): sites free de monitoramento. ---------------------------- http://scan.com.br/ (site on/offline, etc) http://statcounter.com/ (utilizadores/visitas, etc). Mas para utilizadores você pode instalar o iStats também que é um bom módulo de estatísticas

senha do root no mainfile: Rapaz, Até hoje não vi nenhuma maneira de mascarar isso, mas existem outras alternativas para segurança, a primeira delas é porque utilizar a senha de root para acesso corriqueiro ao banco de dados? Não é mais interessante criar um usuário com acesso somente ao banco específico do xoops? Acredito que isso é mais um erro do PHP, que precisa do login e senha para acessar o banco, do que problema do XOOPS. Da hora

segurança - xoops: Jhonjhon escreveu: Amigos, Acredito que isso aqui seja algo importante: http://xoops.org/modules/news/article.php?storyid=2905 Alguém pode ajudar traduzindo, Jhonjhon [url=http://www.xoopscube.com.br/modules/newbb/viewtopic.php?topic_id=6189&forum;=1&post;_id=36132#forumpost36132]Veja aqui [/url]