Rozpoznanie nazwy CMS'a

[DarkSilver]

Witam

Tak się zastanawiam, w jaki sposób hackerzy rozpoznają z jakim CMS'em maja do czynienia. Bo przecież przecież aby zrobić włam na CMS's to trzeba wiedzieć jaki to jest CMS (tak myslę) Więc skoro na stronie nigdzie nie ma podanego "Powered by..." To jak hacker może włamac na CMS? Czy są jakieś narzędzia dzieki którym mozna sprawdzic co toz a CMS?

Pozdrawiam

[TQM]

hmmmm...

specyficzna struktura katalogow
specyficzne nazwy plikow (nawet jesli nie podlinkowane moga byc nadal na serwerze - README.txt, INSTALL.txt, VERSION.txt itd)
favicon.ico - czesto ludzie zostawiaja defaultowy (!!!)
czasami specyficznie wygenerowany html ale to bardzo sliskie zalozenie...

[DarkSilver]

A jak można sie przed tym najlepiej zabezpieczyć (przed wykryciem nazwy)? Chociaż ja wychodze z zalożenia ze jeli hacker bedzie bardzo chciał zrobił włamanie to i tak zrobi, a lamer może pojechac z jakiegoś gotowca.

[TQM]

Wiesz... w pewnym sensie to problem z gotowcami w sensie CMS to gotowiec. Nie mozesz pozmieniac nazw plikow ot tak bo przestanie chodzic pozostaja tylko "najlepsze praktyki" - aktualizowac ja tylko sie da najwczesniej, zatrzec maksymalnie slady po tym co bylo uzyte do generowania contentu. Jesli CMS generuje HTML w locie to masz przewalone - musialbys zmieniac kod CMSa, do tego dochodza czasami kwestie licencji (w GPL to nie problem) no i po aktualizacji zaczynasz od nowa... jesli w ogole aktualizacja sie uda :P

Tak czy inaczej nie jest latwo. Mozesz dodac cos w rodzaju firewall'a aplikacyjnego - jesli wiesz ze sa pewne dziury w CMSie to mozna dosc czesto zabezpieczyc sie uzywajac zestawu regul do mod_rewrite - taki prosty application firewall. Nazwy nie ukryje, znawca tematu i tak rozpozna na czym stoi strona ale moze uda sie utrudnic eksploitacje

[DarkSilver]

Tak pytałem bo ostatnio testowałem Quick CMS Lite, jest to darmowy, banalny w obsłudze CMS, w sam raz dla prostej strony www, ale mam wrażenie że jest dziurawy jak sito

Z tego co piszesz to wychodiz na to że najlepsze sa strony w czystym HTML/Dynamiczne

[TQM]

Z tego co piszesz to wychodiz na to że najlepsze sa strony w czystym HTML/Dynamiczne

A czy to jakies zaskoczenie? Jesli nie masz dynamicznego generowania contentu to nie masz wielkiego problemu - co mozna zrobic za pomoca requestu GET (zakladam ze pozostale zostaly zablokowane)? ... poza tym czas odpowiedzi serwera jest nieporownywalnie lepszy dla statycznego contentu niz dla czegokolwiek dynamicznego.

Jesli nie potrzebujesz koniecznie miec dynamicznego contentu nie widze powodu aby miec dynamiczny :-) Do blogowania czesto uzywa sie wordpress'a ale moje doswiadczenia sa co najmniej mieszane - bylem swiadkiem jak wieksze blogi siadaly pod wplywem obciazenia serwera (tzw. slashdot effect) i to byl taki DDoS przez ludzi chcacych zobaczyc strone. Popularnosc bloga moze stac sie jednoczesnie jego przeklenstwem... a wszystko dlatego ze kazde wejscie to odpalenie kodu PHP, polaczenie z baza, itd. Dlatego wlasnie staram sie unikac dynamicznego contentu jesli nie mam 100% pewnosci ze go na prawde potrzebuje

[DarkSilver]

No ja posiadam stronke, której index jest w php a działy w html, i CMS maja nad nia przewage poniewaz CMS zazwyczaj posiada SEO wiec mozna sobie sobie ustawic tytul strony i przyjazne Linki, a ja mam non stop taki sam Tytuł i linki w stylu ?show=nazwa_dzialu , w sumie adresy linkow mozna sobie jakos w .htaccess ustawic na bardzie "przyjane" ale to nie na moja głowe.

[TQM]

Jesli masz w URLu ?show=dzial to nie masz przyjaznych linkow... Poza tym jaki jest sens miec index w php po to aby ladowac statyczny content? Sadze ze daloby rade to spoooro uproscic, przyspieszyc i przy uzyciu .htaccess i mod_rewrite nieco uporzadkowac URLe

[DarkSilver]

No niestety nie mam przyjaznych linków ;/ Wczoraj troche czytałem o .htaccess i mod_rewrite odnośnie tych przujaznych linkow, ale niestety nie skumałem tego za bardzo ;/ Co do index.php to chodziło mi o to że mam w indexie skrypt, który ładuje mi w tabelke działy, przez co nie musze miec strony na ramkach.
Na pm Ci zaraz wysle dokladnie o co mi chodzi.