URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 69351
[ Назад ]

Исходное сообщение
"Новый инструмент web-аудита выявил, что большинство сайтов н..."

Отправлено opennews , 30-Июл-10 14:32 
Компания Qualys, специализирующаяся на безопасности, выпустила (http://news.qualys.com/2010/07/qualys-releases-blindelephant...) Open Source приложение Blind Elephant (http://blindelephant.sourceforge.net/) (Слепой Слон) главное назначение которого - анализ уязвимостей в веб-приложениях. Одной из основных проблем, которую призвана решить утилита, это точное определение установленных web-приложений и их версий, что порой сделать самому достаточно затруднительно.


С помощью Blind Elephant было проанализировано более миллиона веб-сайтов, и была собрана следующая статистика по уязвимостям:


- уязвимы 91% сайтов с blog-движком Movable Type;
- уязвимы 92% сайтов с CMS Joomla!;
- уязвимы 95% сайтов с CMS MediaWiki;
- уязвимы 85% сайтов с веб-приложением PHPMyAdmin для управления СУБД MySQL;
- уязвимы 74% сайтов с CMS Moodle;
- уязвимы 70% сайтов с CMS Drupal;
- уязвимы 65% сайтов с SPIP;


Самым небезопасным приложением в статистике оказался форумный движок phpBB - уязвимос...

URL: http://www.networkworld.com/news/2010/072910-open-source-web...
Новость: http://www.opennet.me/opennews/art.shtml?num=27480


Содержание

Сообщения в этом обсуждении
"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено a , 30-Июл-10 14:32 
Ничего удивительного.

"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено pavlinux , 30-Июл-10 14:46 
> Новый инструмент web-аудита выявил, что большинство сайтов не уделяют внимание безопасности

Новый инструмент web-аудита выявил, что большинство сайтов, как и всегда, не уделяют внимание безопасности


"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено аноним , 30-Июл-10 15:12 
#  Популярность языков программирования для создания web-приложений:
    * 74.6% - PHP;
    * 23.9% - ASP.NET;
    * 3.8% - Java;
    * 1.4% - ColdFusion;
    * 1.2% - Perl;
    * 0.5% - Ruby;
    * 0.3% - Python.
(c) OpenNet

Ничего удивительного, действительно.


"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено deboon , 30-Июл-10 15:54 
Какбэ и phpBB и WordPress на пхп написаны, не?

"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено User294 , 30-Июл-10 19:36 
Плохому танцору всегда что-то мешает :).То на си ругались - дескать переполнения буферов. Гадость, дескать! Ну ладно. Вот веб програминг появился. Буфера и правда там не переполняются. Зато новых классов уязвимостей понавылезло - мама не горюй. Стало лучше? :)

"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено Аноним , 31-Июл-10 02:16 
> Какбэ и phpBB и WordPress на пхп написаны, не?

О том и речь.

Наивная простота, слепо верящая, что чем больше народу, тем якобы лучше.
Помнится уже пробовали дасть землю и фабрики больше... нству. В итоге все развалили.

Качество и безопасность обычно обратно-пропорциональны популярности.


"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено aim , 30-Июл-10 16:22 
PHP конечно способствует... но виноваты _всегда_ руки

"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено аноним , 30-Июл-10 16:29 
PHP плодит и кривые руки в том числе.

"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено User294 , 31-Июл-10 01:50 
Мне кажется что если заменить PHP на [тут впишите ваш любимый язык программирования] - мало что изменится. Ну разве что если язык будет настолько сложен для освоения что идиоты в принципе окажутся не способны им пользоваться. Однако это автоматически урежет и популярность языка до мизерной и ... правильно. Идиоты всегда придумают как подстрелить себя в пятку. Надежная защита от дурака - миф. А уж в языке программирования - вообше фантастика.

"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено Аноним , 31-Июл-10 02:28 
> Мне кажется что если заменить PHP на

Если его заменить, то куча быдлокодеров начнет ныть и побросают свои "напильники". Вслед за ними начнут ныть быдлозаказчики, которые не хотят платить профессиональным разработчикам и хотят подешевле.

И так будет до тех пор, пока кто-нибудь из способных делать языки не наваяет очередное "чудо", которое способны осилить массы. И пищевая цепь снова восстановится.

А так ничего особенного. Профессионалы работают с хорошими заказчиками.
Остальные - с остальными.


"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено Александр , 02-Авг-10 10:40 
Это скорее говорит о "стоимости" вхождения в язык.

Но никак не говорит, что приложения на .NET  "в среднем по больнице" будут безопаснее, чем написанные на PHP. Это лишь говорит, что авторам исследования попалось меньше софта, написанного на одном языке, чем на другом.

Другой вопрос, что на Pyton-е гораздо меньше пишется в том числе и потому, что хостинг с ним дороже, и готового софта, подходящего для неискушенных начинающих веб-мастеров, поменьше будет.

А то слышно порой: "мне нужно быстро поднять сайт, что бы такое взять? куплю хостинг за 30 руб в месяц и поставлю туда "хакерскую" сборку какой-нибудь CMS-ки", а что и хостинг дырявый, и сборка неофициальная, и содержит компоненты, давно не поддерживаемые, и дырявые - это уже никто не смотрит. А анонимусы потом кричат, аж слюной исходят, что PHP дырявый.


"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено Аноним , 30-Июл-10 15:14 
Нет, это реклама WordPress.

"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено Zenitur , 30-Июл-10 17:37 
Иногда на опеннете пишут страшные вещи про WordPress. Что уязвимости находятся редко, но зато какие!!! Поэтому его, наверно, и обновляют на 96% проверенных сайтов.

"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено Александр , 02-Авг-10 10:42 
>Иногда на опеннете пишут страшные вещи про WordPress. Что уязвимости находятся редко,
>но зато какие!!! Поэтому его, наверно, и обновляют на 96% проверенных
>сайтов.

Многие владельцы сайтов на WP не читают опеннет, которые и на сразу кстати пишет о дырах в WP.

Но об этих дырах сам WP обязательно предупреждает владельцев, и обновление делается одним нажатием кнопки, что играет на безопасность платформы в целом.


"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено runoverheads , 30-Июл-10 18:28 
дык самый вменяемый движок.
секьюрность на высоте. маштабируемость выше некуда, вместе с системами кеширования и Multi Site архитектурой.

"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено anonymous , 30-Июл-10 16:04 
>подсчёте HASH (контрольных) сумм файлов, установленных на веб-сервере

Чушь какая-то. У этих британских ученых был доступ к файловым системам "более миллиона веб-сайтов"? Как они иначе могли подсчитать контрольные суммы?


"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено Харон , 05-Авг-10 02:11 
>>подсчёте HASH (контрольных) сумм файлов, установленных на веб-сервере
>
>Чушь какая-то. У этих британских ученых был доступ к файловым системам "более
>миллиона веб-сайтов"? Как они иначе могли подсчитать контрольные суммы?

у вас он тоже есть. Чтобы определить версию движка, необязательно все исходники на РНР лопатить. Достаточно составить уникальную сигнатуру. Например, changelog.txt или еще что-нибудь. Если взять несколько таких файлов, то надёжность определения повышается.


"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено 82500 , 30-Июл-10 16:17 
Получается, если внес изменения в OpenSource прокет, он тут же становится уязвимым? Отличный метод анализа.

"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено Zenitur , 30-Июл-10 17:38 
>Получается, если внес изменения в OpenSource прокет, он тут же становится уязвимым?
>Отличный метод анализа.

Уверен, если в базе контрольной суммы нет, сайт пропускается.


"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено Аноним , 30-Июл-10 16:50 
Эээ подождите она всеголиш версии движка выясняет. Надо было так и писать, что большинство доже и  не знает, что их надо обновлять.

"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено KERNEL_PANIC , 30-Июл-10 17:14 
А мне вот интересно, как они это проверяли? Взламывали, что ли?

"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено auk , 30-Июл-10 17:19 
идём на сайт и читаем:
The BlindElephant Web Application Fingerprinter attempts to discover the version of a (known) web application by comparing static files at known locations against precomputed hashes for versions of those files in all all available releases.
Обращаем внимание на "attempts to discover the version", что переводится никак не "анализ уязвимостей в веб-приложениях".

"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено klalafuda , 30-Июл-10 17:41 

Имея базу уязвимостей по продукту-версии их можно сопоставить. Выявление потенциальных жертв, с которым можно работать - это первый шаг. Если поиск и идентификация производятся автоматически и в массово порядке - это уже интересно. Ну а как оно или кто-то другой будут использовать полученные данные - это уже другой вопрос.

"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено zazik , 30-Июл-10 19:24 
>
>Имея базу уязвимостей по продукту-версии их можно сопоставить. Выявление потенциальных жертв, с
>которым можно работать - это первый шаг. Если поиск и идентификация
>производятся автоматически и в массово порядке - это уже интересно. Ну
>а как оно или кто-то другой будут использовать полученные данные -
>это уже другой вопрос.

Да нифига не интересно, статические файлы(картинки, стили, ява-скрипты и т.п.) меняются редко, в отличие от серверных скриптов(которые и содержат уязвимости). Поэтому может смениться много версий продукта, прежде чем хэш такого файла изменится.


"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено klalafuda , 30-Июл-10 23:56 
http://geocoder.us/blog/wp-admin/
http://kbiscu1t.com/blog/wp-admin/
http://peakheight.com/home/wp-admin/
http://www.post23.org/ALR/wp-admin/
http://www.mhnconline.org/wordpress/wp-admin/
http://justnoone.com/blog/wp-admin/

И таких - миллион. Это искалось руками за 5 минут. Если поставить умного бота, то буквально за сутки он нароет бесконечное облако чайников, с которых можно снять пресловутые 'скрипты' и, как минимум, точно определить версию движка.


"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено zazik , 31-Июл-10 00:31 
>[оверквотинг удален]
>http://kbiscu1t.com/blog/wp-admin/
>http://peakheight.com/home/wp-admin/
>http://www.post23.org/ALR/wp-admin/
>http://www.mhnconline.org/wordpress/wp-admin/
>http://justnoone.com/blog/wp-admin/
>
>И таких - миллион. Это искалось руками за 5 минут. Если поставить
>умного бота, то буквально за сутки он нароет бесконечное облако чайников,
>с которых можно снять пресловутые 'скрипты' и, как минимум, точно определить
>версию движка.

Да уж. Что-то я отвык от такого.


"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено demimurych , 31-Июл-10 04:05 
как бэ информация о том
кто привык обновляться а кто нет.

ворд пресс - сплошное решето. не идущее ни в какое сравнение ни с дурпалом
ни с тем же пхпбб последней ветки.

тем не менее аудитория ворд пресса привыкла чаще обновляться.


"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено Аноним , 31-Июл-10 18:04 
Да мы верим. Конечно же. А уж с самой то последней - так вообще! Вот только одна проблема - как только ея зарелизят ... всё повторяется снова, и снова оказывается что уж в самой то последней - ну уж точно уже ... :)

В общем - BB для извращенцев, выставляющих голый анус в интернет в ожидании посетителей :)

PS: Про друпал - не в курсе, потому - молчу.


"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено ВалераСНевы , 31-Июл-10 12:51 
Дело не в PHP! Товарищи! Дело в контроле HASH сумм! Вы понимаете, я качаю Opera с русского сервера и качаю через прокси идентичную версию и сравнию контрольные суммы... ОНИ РАЗНЫЕ! Для чистоты эксперимента качал несколько раз! Для россии одна версия дистриба, для других стран другая версия. Что они там меняют в коде?

"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено mef , 01-Авг-10 00:49 
Т.е. если качнуть через прокси, то поменяется контрольная сумма?

"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено kressh , 01-Авг-10 01:38 
Наверное, хэш-суммы разные из-за локализации, нет?

"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено ВалераСНевы , 01-Авг-10 04:11 
"Наверное, хэш-суммы разные из-за локализации, нет?"
- Нет, дистриб многоязыковой, там при инсталяции сам выбираешь какую локаль надо. Сам подумай какие порядочные разумные разрабы станут делать разные дистрибы для разных локалей? Общепринято предоставить для в схех пользователей один дистрибутив с возможностью менять локализацию в настройках при инсталяции.

"Т.е. если качнуть через прокси, то поменяется контрольная сумма?"
Да. Когда через забугорный прокси заходишь на оффициальный сайт Оперы, то загружается англоязычная версия сайта по умолчанию и когда выбираешь загрузку дистрибы то там автоматом также отдается файл в зависимости от дислокации твоего IP и если ты из россии то тебе один файл суют, а если ты например из США то тебе другой файл суют... Но это не со всех прокси так получится, только с тех которые реально за бугром физически.


"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено ВалераСНевы , 01-Авг-10 04:13 
То есть это к размышлению на досуге... ;)

"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено ВалераСНевы , 01-Авг-10 20:50 
кстати если в практику ввести обязательную дисциплину публикации контрольных сумм всех файлов входящих в дистрибы, то фактически отпадает необходимость в антивирусах...

"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено SkyRanger , 02-Авг-10 09:58 
>кстати если в практику ввести обязательную дисциплину публикации контрольных сумм всех файлов
>входящих в дистрибы, то фактически отпадает необходимость в антивирусах...

Угу, кто бы еще их использовал, эти контрольные суммы :) Тем более что можно хакнуть страничку и повесить свои :)


"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено ВалераСНевы , 02-Авг-10 12:51 
Можно всё что угодно сделать, речь о другом, речь о том что с помощью контрольных сумм можно очень малыми усилиями создать существенные трудности вирусописателям. Сайт переодически проверяют и легко заметить подмену.

"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено ВалераСНевы , 02-Авг-10 13:14 
Это конечно касается только тех, кто заинтересован в том чтобы его софт был защищен максимально надежно.

"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено ВалераСНевы , 02-Авг-10 18:45 
То есть я тут подумал на досуге и пришел к выводу, что фактически можно ликвидировать всю нишу антивирусного софта лёгкими манипуляциями по предоставлению в открытый доступ хэш-суммы файлов программных продуктов.

"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Отправлено ВалераСНевы , 02-Авг-10 18:47 
Точнее не совсем конечно ликвидировать, но совершенно точно реформировать инструментарий коренным образом можно.