Я, как всегда, хочу странного Нужен десяток-другой популярных движков (желательно открытых, но можно и коммерческие, лишь была доступна разворачиваемая демка) на тему всего, чего угодно, лишь бы:
1. .ASP.NET/MVC (WebServices, WCF и прочие — тоже норм, лишь бы в качестве транспорта использовался HTTP)
2. реально популярные и известные, типа DotNetNuke, BlogEngine, ScrewTurnWiki и т.п.
3. это должно быть полноценное веб-приложение, не либа, фреймворк и т.п.
4. чем больше там будет говнокода и кривых архитектурных решений, тем лучше.
Движки нужны для поиска в них уязвимостей, поэтому вопросы юзабилити/идеологии/лицензии и прочих религий не интересуют. Лишь бы развернулась на виртуалке и отвечала на запросы. Все, что важно — перечислил выше.
Подскажете чего, кроме тех трех, которые уже назвал?
... << RSDN@Home 1.2.0 alpha 5 rev. 66>>
19.11.12 19:08: Перенесено модератором из '.NET' — kochetkov.vladimir
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Я, как всегда, хочу странного Нужен десяток-другой популярных движков KV>Подскажете чего, кроме тех трех, которые уже назвал?
Вот из того, что есть у меня, что-то на слуху, что-то нет:
Здравствуйте, rameel, Вы писали:
R>Вот из того, что есть у меня, что-то на слуху, что-то нет:
Кстати, еще SharePoint вот вспомнился.
Я вообще подозревал, что на форуме, полном ASP.NET-разработчиков, не так уж много людей в курсе сторонних движков, работали с ними или готовы поделиться на этот счет, но чтобы настолько
Поясню: я готовлю hands-on lab для веб-разработчиков на тему конструирования защищенного кода, подходов, практик и т.п. Очень хочется, рассматривая атаки на хотя бы самые популярные уязвимости, показывать их не в синтетическом коде, а в реальных и живых примерах, причем не многолетней давности, а 1-day на момент мероприятия. Какие-то уже нашел в движках, перечисленных выше (довольно много XSS, CSRF и XXE, несколько XPath-инъекций, вроде вот слепая SQL-инъекция нарисовалась и т.п., пока только один день этим занимался), но нужно больше движков для охвата всего спектра уязвимостей. Чтобы наглядно показать: это может быть атаковано вот так, последствия будут такими, в коде подобные места искать вот так, использовать вот такое правило для fxcop, при тестировании отправлять вот такие запросы, делать вот это, чтобы не допустить такие уязвимости и вот то, чтобы затруднить атаки на них.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Подскажете чего, кроме тех трех, которые уже назвал?
Могу добавить по коммерческим (но как достать демки — это вопрос):
SiteCore — довольная популярная на Западе CMS
Продукты Telligent (например, Community server) Microsoft Dynamics CRM
Web-доступ к Team Foundation Server
Пара отечественных ECM-систем (в добавлении к SharePoint): Docsvision и Directum. Первая это WinForms-клиент, у которого backend на вебсервисах (хотя сейчас может быть у них есть и чисто Web-решение), вторая написана на Delphi, но имеет сервис Web-доступа на ASP.Net, который обращается к COM API.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Кстати, еще SharePoint вот вспомнился.
Да, точно, про него я и забыл, но забыл так как давно уже к нему не обращался
KV>Я вообще подозревал, что на форуме, полном ASP.NET-разработчиков, не так уж много людей в курсе сторонних движков, работали с ними или готовы поделиться на этот счет, но чтобы настолько
Этот форум вообще какой-то полуживой стал, к сожалению
KV>Поясню: я готовлю hands-on lab для веб-разработчиков на тему конструирования защищенного кода, подходов, практик и т.п. Очень хочется, рассматривая атаки на хотя бы самые популярные уязвимости, показывать их не в синтетическом коде, а в реальных и живых примерах, причем не многолетней давности, а 1-day на момент мероприятия. Какие-то уже нашел в движках, перечисленных выше (довольно много XSS, CSRF и XXE, несколько XPath-инъекций, вроде вот слепая SQL-инъекция нарисовалась и т.п., пока только один день этим занимался), но нужно больше движков для охвата всего спектра уязвимостей. Чтобы наглядно показать: это может быть атаковано вот так, последствия будут такими, в коде подобные места искать вот так, использовать вот такое правило для fxcop, при тестировании отправлять вот такие запросы, делать вот это, чтобы не допустить такие уязвимости и вот то, чтобы затруднить атаки на них.
В Orchard что-нибудь нашлось? Подозреваю, что в каждом что-то да нашлось, но больше интересен orchard. Если можно, хотя бы вкратце
Здравствуйте, rameel, Вы писали:
R>В Orchard что-нибудь нашлось? Подозреваю, что в каждом что-то да нашлось, но больше интересен orchard. Если можно, хотя бы вкратце
До него я еще не дошел и дойду в следующем году, скорее всего. Это не основная моя деятельность на работе (основной она станет ближе к конференции ), поэтому пока по часу-два в день занимаюсь. Пока полностью закончил только с BlogEngine.NET, там есть серьезные вещи =/ Раскрыть уязвимости смогу только после того, как вендор их пропатчит либо даст официальный ответ, что не будет этого делать.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Подскажете чего, кроме тех трех, которые уже назвал?
Sitefinity. Счас собираемся использовать это на работе. Было б интересно глянуть на результат.
не совсем понимаю как это framework влияет на security в контексте вэб запросов. есть например aspnet mvc oxite движок. достаточно его опутать паутиной всяких antiforgery token, tampery proofing link, encrypted view state которые зависят не от framework а от самого прикладного кода. и мы получаем пуленепробиваемую защиту.
KV>Я, как всегда, хочу странного Нужен десяток-другой популярных движков (желательно открытых, но можно и коммерческие, лишь была доступна разворачиваемая демка) на тему всего, чего угодно, лишь бы:
KV>1. .ASP.NET/MVC (WebServices, WCF и прочие — тоже норм, лишь бы в качестве транспорта использовался HTTP) KV>2. реально популярные и известные, типа DotNetNuke, BlogEngine, ScrewTurnWiki и т.п. KV>3. это должно быть полноценное веб-приложение, не либа, фреймворк и т.п. KV>4. чем больше там будет говнокода и кривых архитектурных решений, тем лучше.
KV>Движки нужны для поиска в них уязвимостей, поэтому вопросы юзабилити/идеологии/лицензии и прочих религий не интересуют. Лишь бы развернулась на виртуалке и отвечала на запросы. Все, что важно — перечислил выше.
KV>Подскажете чего, кроме тех трех, которые уже назвал?
Здравствуйте, Neco, Вы писали:
N>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Подскажете чего, кроме тех трех, которые уже назвал? N>Sitefinity. Счас собираемся использовать это на работе. Было б интересно глянуть на результат.
Он не opensource, к сожалению Это критично, т.к. нужны в итоге фрагменты реального кода, чтобы показать на публике, как делать на стоит и как это находить и исправлять.
О! Подходит, спасибо, гляну.
P>достаточно его опутать паутиной всяких antiforgery token, tampery proofing link, encrypted view state которые зависят не от framework а от самого прикладного кода. и мы получаем пуленепробиваемую защиту.
Перечисленное — покрывает примерно четверть всех угроз, актуальных для веб-приложения. Т.е. уже недостаточно, к сожалению, да и не всегда целесообразно, т.к. говорит о стремлении разработчика боротьтся с атаками в то время, как бороться надо с уязвимостями. Из повсеместного непонимания различий между этими двумя подходами, как раз и выросла идея рассказать о них веб-разработчикам на реальных примерах.