[Plone-IT] uhm...
Riccardo Lemmi
riccardo a reflab.it
Mar 20 Ott 2009 15:50:46 UTC
On Tuesday 20 October 2009, Edgar wrote:
> Visto che non pensavo di scatenare un interesse simile , avendo
> probabilmente scambiato per vulnerabilita', una serie di accessi come
> utente non autorizzato a due siti plone , e considerato anche che plone
> non lo uso, e non ne conosco le varie possibilita' e particolarita' di
> gestione, sarei comunque interessato a conoscere come ci si possa
> registrare ed attivare una serie di pagine con link a falsi motori di
> ricerca,come utente ai due siti, dato che in entrami i casi non mi pare
> esista un form di registrazione ...
Ciao,
hanno tolto il link a 'join_form' ma non hanno tolto il permesso 'add portal
member' all'utente anonimo, quindi chiamando la form dal browser si può
ancora creare un utente.
Come ulteriore errore di configurazione non hanno disattivato la creazione
della home, unico posto in cui un utente con il solo ruolo Member possa
creare dei contenuti.
Il motivo per cui i contenuti sono visibili è dovuto al fatto che
l'amministratore del sito ha alterato il workflow standard di quella versione
(mi pare la 2.5) o ha dato il permesso 'review portal content' agli utenti
con ruolo Member (o Owner) in modo che possano pubblicarsi i contenuti, per
default in quella versione i contenuti sono visibili ma non ricercabili cioè
per un utente anonimo sapendo la url sono in grado di vederli ma non facendo
una ricerca.
> .... Quando si scrive di captcha e
> login vi riferite forse ad un accesso eseguito inviando qualche comando
> diretto al server e non da pagina web ??
Esiste un prodotto che modifica la join_form aggiungendo un campo captcha (una
immagine con dei numeri o una frase che va copiato nella form) in modo da
evitare che un bot possa crearsi in automatico una serie di account, in ogni
caso deve passare via web.
Nota che zope/plone non sono soggetti ad attacchi di tipo sql injection. Ti
rimando qui per ulteriori info:
http://zope2.zope.org/about-zope-2/six-reasons-for-using-zope/zodb
http://zope2.zope.org/about-zope-2/six-reasons-for-using-zope/zope-is-secure
> Per completezza riporto le 2 URL complete incriminate...
>
> sito 1
> http://www.comune.cene.bg.it/Members/Insurance/renters-insurance-davis-cali
>fornia/
>
> sito 2
> http://intranet.comune.argenta.fe.it/PoloScolastico/Members/Rosetta/rosetta
>-stone-discovery-site
>
>
> Saluti
>
> Edgar from Bangkok
--
Riccardo Lemmi Email: riccardo a reflab.it
Reflab S.r.l. - Plone Design, Development and Consulting
Phone: +39 349 4620820 http://www.reflab.it
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome: signature.asc
Tipo: application/pgp-signature
Dimensione: 189 bytes
Descrizione: This is a digitally signed message part.
URL: <http://lists.plone.org/pipermail/plone-plone-it/attachments/20091020/4579c50c/attachment.asc>
Maggiori informazioni sulla lista
Plone-IT