Компания Qualys, специализирующаяся на безопасности, выпустила (http://news.qualys.com/2010/07/qualys-releases-blindelephant...) Open Source приложение Blind Elephant (http://blindelephant.sourceforge.net/) (Слепой Слон) главное назначение которого - анализ уязвимостей в веб-приложениях. Одной из основных проблем, которую призвана решить утилита, это точное определение установленных web-приложений и их версий, что порой сделать самому достаточно затруднительно.
С помощью Blind Elephant было проанализировано более миллиона веб-сайтов, и была собрана следующая статистика по уязвимостям:
- уязвимы 91% сайтов с blog-движком Movable Type;
- уязвимы 92% сайтов с CMS Joomla!;
- уязвимы 95% сайтов с CMS MediaWiki;
- уязвимы 85% сайтов с веб-приложением PHPMyAdmin для управления СУБД MySQL;
- уязвимы 74% сайтов с CMS Moodle;
- уязвимы 70% сайтов с CMS Drupal;
- уязвимы 65% сайтов с SPIP;
Самым небезопасным приложением в статистике оказался форумный движок phpBB - уязвимос...URL: http://www.networkworld.com/news/2010/072910-open-source-web...
Новость: http://www.opennet.me/opennews/art.shtml?num=27480
Ничего удивительного.
> Новый инструмент web-аудита выявил, что большинство сайтов не уделяют внимание безопасностиНовый инструмент web-аудита выявил, что большинство сайтов, как и всегда, не уделяют внимание безопасности
# Популярность языков программирования для создания web-приложений:
* 74.6% - PHP;
* 23.9% - ASP.NET;
* 3.8% - Java;
* 1.4% - ColdFusion;
* 1.2% - Perl;
* 0.5% - Ruby;
* 0.3% - Python.
(c) OpenNetНичего удивительного, действительно.
Какбэ и phpBB и WordPress на пхп написаны, не?
Плохому танцору всегда что-то мешает :).То на си ругались - дескать переполнения буферов. Гадость, дескать! Ну ладно. Вот веб програминг появился. Буфера и правда там не переполняются. Зато новых классов уязвимостей понавылезло - мама не горюй. Стало лучше? :)
> Какбэ и phpBB и WordPress на пхп написаны, не?О том и речь.
Наивная простота, слепо верящая, что чем больше народу, тем якобы лучше.
Помнится уже пробовали дасть землю и фабрики больше... нству. В итоге все развалили.Качество и безопасность обычно обратно-пропорциональны популярности.
PHP конечно способствует... но виноваты _всегда_ руки
PHP плодит и кривые руки в том числе.
Мне кажется что если заменить PHP на [тут впишите ваш любимый язык программирования] - мало что изменится. Ну разве что если язык будет настолько сложен для освоения что идиоты в принципе окажутся не способны им пользоваться. Однако это автоматически урежет и популярность языка до мизерной и ... правильно. Идиоты всегда придумают как подстрелить себя в пятку. Надежная защита от дурака - миф. А уж в языке программирования - вообше фантастика.
> Мне кажется что если заменить PHP наЕсли его заменить, то куча быдлокодеров начнет ныть и побросают свои "напильники". Вслед за ними начнут ныть быдлозаказчики, которые не хотят платить профессиональным разработчикам и хотят подешевле.
И так будет до тех пор, пока кто-нибудь из способных делать языки не наваяет очередное "чудо", которое способны осилить массы. И пищевая цепь снова восстановится.
А так ничего особенного. Профессионалы работают с хорошими заказчиками.
Остальные - с остальными.
Это скорее говорит о "стоимости" вхождения в язык.Но никак не говорит, что приложения на .NET "в среднем по больнице" будут безопаснее, чем написанные на PHP. Это лишь говорит, что авторам исследования попалось меньше софта, написанного на одном языке, чем на другом.
Другой вопрос, что на Pyton-е гораздо меньше пишется в том числе и потому, что хостинг с ним дороже, и готового софта, подходящего для неискушенных начинающих веб-мастеров, поменьше будет.
А то слышно порой: "мне нужно быстро поднять сайт, что бы такое взять? куплю хостинг за 30 руб в месяц и поставлю туда "хакерскую" сборку какой-нибудь CMS-ки", а что и хостинг дырявый, и сборка неофициальная, и содержит компоненты, давно не поддерживаемые, и дырявые - это уже никто не смотрит. А анонимусы потом кричат, аж слюной исходят, что PHP дырявый.
Нет, это реклама WordPress.
Иногда на опеннете пишут страшные вещи про WordPress. Что уязвимости находятся редко, но зато какие!!! Поэтому его, наверно, и обновляют на 96% проверенных сайтов.
>Иногда на опеннете пишут страшные вещи про WordPress. Что уязвимости находятся редко,
>но зато какие!!! Поэтому его, наверно, и обновляют на 96% проверенных
>сайтов.Многие владельцы сайтов на WP не читают опеннет, которые и на сразу кстати пишет о дырах в WP.
Но об этих дырах сам WP обязательно предупреждает владельцев, и обновление делается одним нажатием кнопки, что играет на безопасность платформы в целом.
дык самый вменяемый движок.
секьюрность на высоте. маштабируемость выше некуда, вместе с системами кеширования и Multi Site архитектурой.
>подсчёте HASH (контрольных) сумм файлов, установленных на веб-сервереЧушь какая-то. У этих британских ученых был доступ к файловым системам "более миллиона веб-сайтов"? Как они иначе могли подсчитать контрольные суммы?
>>подсчёте HASH (контрольных) сумм файлов, установленных на веб-сервере
>
>Чушь какая-то. У этих британских ученых был доступ к файловым системам "более
>миллиона веб-сайтов"? Как они иначе могли подсчитать контрольные суммы?у вас он тоже есть. Чтобы определить версию движка, необязательно все исходники на РНР лопатить. Достаточно составить уникальную сигнатуру. Например, changelog.txt или еще что-нибудь. Если взять несколько таких файлов, то надёжность определения повышается.
Получается, если внес изменения в OpenSource прокет, он тут же становится уязвимым? Отличный метод анализа.
>Получается, если внес изменения в OpenSource прокет, он тут же становится уязвимым?
>Отличный метод анализа.Уверен, если в базе контрольной суммы нет, сайт пропускается.
Эээ подождите она всеголиш версии движка выясняет. Надо было так и писать, что большинство доже и не знает, что их надо обновлять.
А мне вот интересно, как они это проверяли? Взламывали, что ли?
идём на сайт и читаем:
The BlindElephant Web Application Fingerprinter attempts to discover the version of a (known) web application by comparing static files at known locations against precomputed hashes for versions of those files in all all available releases.
Обращаем внимание на "attempts to discover the version", что переводится никак не "анализ уязвимостей в веб-приложениях".
Имея базу уязвимостей по продукту-версии их можно сопоставить. Выявление потенциальных жертв, с которым можно работать - это первый шаг. Если поиск и идентификация производятся автоматически и в массово порядке - это уже интересно. Ну а как оно или кто-то другой будут использовать полученные данные - это уже другой вопрос.
>
>Имея базу уязвимостей по продукту-версии их можно сопоставить. Выявление потенциальных жертв, с
>которым можно работать - это первый шаг. Если поиск и идентификация
>производятся автоматически и в массово порядке - это уже интересно. Ну
>а как оно или кто-то другой будут использовать полученные данные -
>это уже другой вопрос.Да нифига не интересно, статические файлы(картинки, стили, ява-скрипты и т.п.) меняются редко, в отличие от серверных скриптов(которые и содержат уязвимости). Поэтому может смениться много версий продукта, прежде чем хэш такого файла изменится.
http://geocoder.us/blog/wp-admin/
http://kbiscu1t.com/blog/wp-admin/
http://peakheight.com/home/wp-admin/
http://www.post23.org/ALR/wp-admin/
http://www.mhnconline.org/wordpress/wp-admin/
http://justnoone.com/blog/wp-admin/И таких - миллион. Это искалось руками за 5 минут. Если поставить умного бота, то буквально за сутки он нароет бесконечное облако чайников, с которых можно снять пресловутые 'скрипты' и, как минимум, точно определить версию движка.
>[оверквотинг удален]
>http://kbiscu1t.com/blog/wp-admin/
>http://peakheight.com/home/wp-admin/
>http://www.post23.org/ALR/wp-admin/
>http://www.mhnconline.org/wordpress/wp-admin/
>http://justnoone.com/blog/wp-admin/
>
>И таких - миллион. Это искалось руками за 5 минут. Если поставить
>умного бота, то буквально за сутки он нароет бесконечное облако чайников,
>с которых можно снять пресловутые 'скрипты' и, как минимум, точно определить
>версию движка.Да уж. Что-то я отвык от такого.
как бэ информация о том
кто привык обновляться а кто нет.ворд пресс - сплошное решето. не идущее ни в какое сравнение ни с дурпалом
ни с тем же пхпбб последней ветки.тем не менее аудитория ворд пресса привыкла чаще обновляться.
Да мы верим. Конечно же. А уж с самой то последней - так вообще! Вот только одна проблема - как только ея зарелизят ... всё повторяется снова, и снова оказывается что уж в самой то последней - ну уж точно уже ... :)В общем - BB для извращенцев, выставляющих голый анус в интернет в ожидании посетителей :)
PS: Про друпал - не в курсе, потому - молчу.
Дело не в PHP! Товарищи! Дело в контроле HASH сумм! Вы понимаете, я качаю Opera с русского сервера и качаю через прокси идентичную версию и сравнию контрольные суммы... ОНИ РАЗНЫЕ! Для чистоты эксперимента качал несколько раз! Для россии одна версия дистриба, для других стран другая версия. Что они там меняют в коде?
Т.е. если качнуть через прокси, то поменяется контрольная сумма?
Наверное, хэш-суммы разные из-за локализации, нет?
"Наверное, хэш-суммы разные из-за локализации, нет?"
- Нет, дистриб многоязыковой, там при инсталяции сам выбираешь какую локаль надо. Сам подумай какие порядочные разумные разрабы станут делать разные дистрибы для разных локалей? Общепринято предоставить для в схех пользователей один дистрибутив с возможностью менять локализацию в настройках при инсталяции."Т.е. если качнуть через прокси, то поменяется контрольная сумма?"
Да. Когда через забугорный прокси заходишь на оффициальный сайт Оперы, то загружается англоязычная версия сайта по умолчанию и когда выбираешь загрузку дистрибы то там автоматом также отдается файл в зависимости от дислокации твоего IP и если ты из россии то тебе один файл суют, а если ты например из США то тебе другой файл суют... Но это не со всех прокси так получится, только с тех которые реально за бугром физически.
То есть это к размышлению на досуге... ;)
кстати если в практику ввести обязательную дисциплину публикации контрольных сумм всех файлов входящих в дистрибы, то фактически отпадает необходимость в антивирусах...
>кстати если в практику ввести обязательную дисциплину публикации контрольных сумм всех файлов
>входящих в дистрибы, то фактически отпадает необходимость в антивирусах...Угу, кто бы еще их использовал, эти контрольные суммы :) Тем более что можно хакнуть страничку и повесить свои :)
Можно всё что угодно сделать, речь о другом, речь о том что с помощью контрольных сумм можно очень малыми усилиями создать существенные трудности вирусописателям. Сайт переодически проверяют и легко заметить подмену.
Это конечно касается только тех, кто заинтересован в том чтобы его софт был защищен максимально надежно.
То есть я тут подумал на досуге и пришел к выводу, что фактически можно ликвидировать всю нишу антивирусного софта лёгкими манипуляциями по предоставлению в открытый доступ хэш-суммы файлов программных продуктов.
Точнее не совсем конечно ликвидировать, но совершенно точно реформировать инструментарий коренным образом можно.