Аудит DiafanCMS

Буквально пару недель назад я закончил проводить анализ платного движка DiafanCMS. Вначале, увидев очень низкую стоимость продукта, я решил что уязвимостей здесь должно быть много. Но в последствии оказалось что я ошибся. Разработчикам DiafanCMS удалось создать очень хороший продукт с понятным, хорошо структурированным кодом, и отличной защитой. Но я не был бы собой еслиб мне не удалось найти несколько изъянов :), хоть и не критичного уровня риска. Кстати все баги были исправлены достаточно быстро, чего я от платных продуктов в последнее время перестал ожидать.
Теперь я знаю какую CMS выбрать если встанет необходимость поднятия какого-нибудь сайта в короткий срок. Однозначно Diafan. И документация есть, и внутри всё грамотно устроено, и в защищённости сам убедился.А платность продукта, при их цене, вообще никакой проблемы не делает.

Аудит NgCMS

До нового года удалось познакомиться с проектом NgCMS. Это очень не плохой движок с приличным набором пользовательского функционала. Разочаровало одно — нет документации для разработчиков, из-за чего пришлось разбираться в NgCMS практически с нуля. Код внутри оказался достаточно простым и интуитивно понятным, но только тогда когда я хоть чуть-чуть стал понимать азы устройства этой системы. Кстати, такое положение вещей очень редко встречается в бесплатных CMS. Мне чаще попадается очень запутанный код, который с трудом поддаётся анализу (это если исключить очень популярные движки, хотя тут же на ум приходит WordPress… Вообщем вы меня поняли 🙂 ).
В процессе анализа я был сильно удивлён. Дело в том, что были прикрыты практически все места где была хотя бы малейшая вероятность обнаружения уязвимости. Всё грамотно экранировалось, приводилось к нужному типу и т.д. Видно разработчики NgCMS очень хорошие программисты.
Кончилось всё тем что меня поблагодарили и пригласили провести аудит следующей версии, которая должна выйти в ближайшее время 🙂

Аудит KasselerCMS

Несколько месяцев назад провёл аудит KasselerCMS. Почему пишут об этом только сейчас? Здесь есть несколько причин. Самая первая — данный блог у меня ведётся по типу портфолио, поэтому заносить я сюда буду сообщения о любых аудитах, переводах и прочем. Вторая — выход исправлений. На самом деле если бы я захотел опубликовать данную информацию сразу, то просто не смог бы т.к. обязался перед разглашением факта проверки ждать выхода патчей. Патчи выпускались довольно долго, потому что некоторые найденные проблемы были достаточно не простыми, и разработчикам пришлось много чего переписать. Но несколько дней назад мне всё же дали добро и вот пишу данное сообщение 🙂
Вообщем в итоге все остались довольны — я нашёл несколько уязвимостей, как и хотел, а разработчики повысили безопасность своего продукта.