The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Новый инструмент web-аудита выявил, что большинство сайтов не уделяют внимание безопасности

30.07.2010 13:55

Компания Qualys, специализирующаяся на безопасности, выпустила Open Source приложение Blind Elephant (Слепой Слон) главное назначение которого - анализ уязвимостей в веб-приложениях. Одной из основных проблем, которую призвана решить утилита, это точное определение установленных web-приложений и их версий, что порой сделать самому достаточно затруднительно.

С помощью Blind Elephant было проанализировано более миллиона веб-сайтов, и была собрана следующая статистика по уязвимостям:

  • уязвимы 91% сайтов с blog-движком Movable Type;
  • уязвимы 92% сайтов с CMS Joomla!;
  • уязвимы 95% сайтов с CMS MediaWiki;
  • уязвимы 85% сайтов с веб-приложением PHPMyAdmin для управления СУБД MySQL;
  • уязвимы 74% сайтов с CMS Moodle;
  • уязвимы 70% сайтов с CMS Drupal;
  • уязвимы 65% сайтов с SPIP;

Самым небезопасным приложением в статистике оказался форумный движок phpBB - уязвимости были обнаружены на всех исследованных сайтах. Самым безопасным оказался движок для блогов WordPress - уязвимости были найдены только на 4% инсталляций.

Принцип работы Blind Elephant заключается не в поиске уязвимостей как таковых, а подсчёте HASH (контрольных) сумм файлов, установленных на веб-сервере, и сравнение их с базой уже известных файлов.

  1. Главная ссылка к новости (http://www.networkworld.com/ne...)
  2. OpenNews: Компания Google открыла программу для проверки безопасности web-приложений
  3. OpenNews: Переработанный вариант классификации угроз безопасности web-приложений
  4. OpenNews: Анализ механизмов для обеспечения безопасности в web-браузерах
  5. OpenNews: Компания Google выпустила прокси для контроля безопасности web-приложений
  6. OpenNews: Новые версии IDS для web-приложений: CGI-IDS 1.0212 и PHPIDS 0.6.4
Автор новости: Artem S. Tashkinov
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/27480-security
Ключевые слова: security, www
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (39) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, a (??), 14:32, 30/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ничего удивительного.
     
  • 1.2, pavlinux (ok), 14:46, 30/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > Новый инструмент web-аудита выявил, что большинство сайтов не уделяют внимание безопасности

    Новый инструмент web-аудита выявил, что большинство сайтов, как и всегда, не уделяют внимание безопасности

     
  • 1.3, аноним (?), 15:12, 30/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    #  Популярность языков программирования для создания web-приложений:
        * 74.6% - PHP;
        * 23.9% - ASP.NET;
        * 3.8% - Java;
        * 1.4% - ColdFusion;
        * 1.2% - Perl;
        * 0.5% - Ruby;
        * 0.3% - Python.
    (c) OpenNet

    Ничего удивительного, действительно.

     
     
  • 2.6, deboon (?), 15:54, 30/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Какбэ и phpBB и WordPress на пхп написаны, не?
     
     
  • 3.20, User294 (ok), 19:36, 30/07/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Плохому танцору всегда что-то мешает :).То на си ругались - дескать переполнения буферов. Гадость, дескать! Ну ладно. Вот веб програминг появился. Буфера и правда там не переполняются. Зато новых классов уязвимостей понавылезло - мама не горюй. Стало лучше? :)
     
  • 3.24, Аноним (-), 02:16, 31/07/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Какбэ и phpBB и WordPress на пхп написаны, не?

    О том и речь.

    Наивная простота, слепо верящая, что чем больше народу, тем якобы лучше.
    Помнится уже пробовали дасть землю и фабрики больше... нству. В итоге все развалили.

    Качество и безопасность обычно обратно-пропорциональны популярности.

     
  • 2.9, aim (ok), 16:22, 30/07/2010 [^] [^^] [^^^] [ответить]  
  • +5 +/
    PHP конечно способствует... но виноваты _всегда_ руки
     
     
  • 3.10, аноним (?), 16:29, 30/07/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    PHP плодит и кривые руки в том числе.
     
     
  • 4.23, User294 (ok), 01:50, 31/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Мне кажется что если заменить PHP на [тут впишите ваш любимый язык программирования] - мало что изменится. Ну разве что если язык будет настолько сложен для освоения что идиоты в принципе окажутся не способны им пользоваться. Однако это автоматически урежет и популярность языка до мизерной и ... правильно. Идиоты всегда придумают как подстрелить себя в пятку. Надежная защита от дурака - миф. А уж в языке программирования - вообше фантастика.
     
     
  • 5.25, Аноним (-), 02:28, 31/07/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Мне кажется что если заменить PHP на

    Если его заменить, то куча быдлокодеров начнет ныть и побросают свои "напильники". Вслед за ними начнут ныть быдлозаказчики, которые не хотят платить профессиональным разработчикам и хотят подешевле.

    И так будет до тех пор, пока кто-нибудь из способных делать языки не наваяет очередное "чудо", которое способны осилить массы. И пищевая цепь снова восстановится.

    А так ничего особенного. Профессионалы работают с хорошими заказчиками.
    Остальные - с остальными.

     
  • 2.38, Александр (??), 10:40, 02/08/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это скорее говорит о "стоимости" вхождения в язык.

    Но никак не говорит, что приложения на .NET  "в среднем по больнице" будут безопаснее, чем написанные на PHP. Это лишь говорит, что авторам исследования попалось меньше софта, написанного на одном языке, чем на другом.

    Другой вопрос, что на Pyton-е гораздо меньше пишется в том числе и потому, что хостинг с ним дороже, и готового софта, подходящего для неискушенных начинающих веб-мастеров, поменьше будет.

    А то слышно порой: "мне нужно быстро поднять сайт, что бы такое взять? куплю хостинг за 30 руб в месяц и поставлю туда "хакерскую" сборку какой-нибудь CMS-ки", а что и хостинг дырявый, и сборка неофициальная, и содержит компоненты, давно не поддерживаемые, и дырявые - это уже никто не смотрит. А анонимусы потом кричат, аж слюной исходят, что PHP дырявый.

     

  • 1.4, Аноним (-), 15:14, 30/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Нет, это реклама WordPress.
     
     
  • 2.14, Zenitur (?), 17:37, 30/07/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Иногда на опеннете пишут страшные вещи про WordPress. Что уязвимости находятся редко, но зато какие!!! Поэтому его, наверно, и обновляют на 96% проверенных сайтов.
     
     
  • 3.39, Александр (??), 10:42, 02/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Иногда на опеннете пишут страшные вещи про WordPress. Что уязвимости находятся редко,
    >но зато какие!!! Поэтому его, наверно, и обновляют на 96% проверенных
    >сайтов.

    Многие владельцы сайтов на WP не читают опеннет, которые и на сразу кстати пишет о дырах в WP.

    Но об этих дырах сам WP обязательно предупреждает владельцев, и обновление делается одним нажатием кнопки, что играет на безопасность платформы в целом.

     
  • 2.18, runoverheads (?), 18:28, 30/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    дык самый вменяемый движок.
    секьюрность на высоте. маштабируемость выше некуда, вместе с системами кеширования и Multi Site архитектурой.
     

  • 1.7, anonymous (??), 16:04, 30/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    >подсчёте HASH (контрольных) сумм файлов, установленных на веб-сервере

    Чушь какая-то. У этих британских ученых был доступ к файловым системам "более миллиона веб-сайтов"? Как они иначе могли подсчитать контрольные суммы?

     
     
  • 2.44, Харон (?), 02:11, 05/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >>подсчёте HASH (контрольных) сумм файлов, установленных на веб-сервере
    >
    >Чушь какая-то. У этих британских ученых был доступ к файловым системам "более
    >миллиона веб-сайтов"? Как они иначе могли подсчитать контрольные суммы?

    у вас он тоже есть. Чтобы определить версию движка, необязательно все исходники на РНР лопатить. Достаточно составить уникальную сигнатуру. Например, changelog.txt или еще что-нибудь. Если взять несколько таких файлов, то надёжность определения повышается.

     

  • 1.8, 82500 (?), 16:17, 30/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Получается, если внес изменения в OpenSource прокет, он тут же становится уязвимым? Отличный метод анализа.
     
     
  • 2.15, Zenitur (?), 17:38, 30/07/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Получается, если внес изменения в OpenSource прокет, он тут же становится уязвимым?
    >Отличный метод анализа.

    Уверен, если в базе контрольной суммы нет, сайт пропускается.

     

  • 1.11, Аноним (-), 16:50, 30/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Эээ подождите она всеголиш версии движка выясняет. Надо было так и писать, что большинство доже и  не знает, что их надо обновлять.
     
  • 1.12, KERNEL_PANIC (ok), 17:14, 30/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А мне вот интересно, как они это проверяли? Взламывали, что ли?
     
  • 1.13, auk (?), 17:19, 30/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    идём на сайт и читаем:
    The BlindElephant Web Application Fingerprinter attempts to discover the version of a (known) web application by comparing static files at known locations against precomputed hashes for versions of those files in all all available releases.
    Обращаем внимание на "attempts to discover the version", что переводится никак не "анализ уязвимостей в веб-приложениях".
     
     
  • 2.17, klalafuda (?), 17:41, 30/07/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/

    Имея базу уязвимостей по продукту-версии их можно сопоставить. Выявление потенциальных жертв, с которым можно работать - это первый шаг. Если поиск и идентификация производятся автоматически и в массово порядке - это уже интересно. Ну а как оно или кто-то другой будут использовать полученные данные - это уже другой вопрос.
     
     
  • 3.19, zazik (ok), 19:24, 30/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >
    >Имея базу уязвимостей по продукту-версии их можно сопоставить. Выявление потенциальных жертв, с
    >которым можно работать - это первый шаг. Если поиск и идентификация
    >производятся автоматически и в массово порядке - это уже интересно. Ну
    >а как оно или кто-то другой будут использовать полученные данные -
    >это уже другой вопрос.

    Да нифига не интересно, статические файлы(картинки, стили, ява-скрипты и т.п.) меняются редко, в отличие от серверных скриптов(которые и содержат уязвимости). Поэтому может смениться много версий продукта, прежде чем хэш такого файла изменится.

     
     
  • 4.21, klalafuda (?), 23:56, 30/07/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    http://geocoder.us/blog/wp-admin/
    http://kbiscu1t.com/blog/wp-admin/
    http://peakheight.com/home/wp-admin/
    http://www.post23.org/ALR/wp-admin/
    http://www.mhnconline.org/wordpress/wp-admin/
    http://justnoone.com/blog/wp-admin/

    И таких - миллион. Это искалось руками за 5 минут. Если поставить умного бота, то буквально за сутки он нароет бесконечное облако чайников, с которых можно снять пресловутые 'скрипты' и, как минимум, точно определить версию движка.

     
     
  • 5.22, zazik (ok), 00:31, 31/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >http://kbiscu1t.com/blog/wp-admin/
    >http://peakheight.com/home/wp-admin/
    >http://www.post23.org/ALR/wp-admin/
    >http://www.mhnconline.org/wordpress/wp-admin/
    >http://justnoone.com/blog/wp-admin/
    >
    >И таких - миллион. Это искалось руками за 5 минут. Если поставить
    >умного бота, то буквально за сутки он нароет бесконечное облако чайников,
    >с которых можно снять пресловутые 'скрипты' и, как минимум, точно определить
    >версию движка.

    Да уж. Что-то я отвык от такого.

     

  • 1.26, demimurych (ok), 04:05, 31/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    как бэ информация о том
    кто привык обновляться а кто нет.

    ворд пресс - сплошное решето. не идущее ни в какое сравнение ни с дурпалом
    ни с тем же пхпбб последней ветки.

    тем не менее аудитория ворд пресса привыкла чаще обновляться.

     
     
  • 2.30, Аноним (-), 18:04, 31/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Да мы верим. Конечно же. А уж с самой то последней - так вообще! Вот только одна проблема - как только ея зарелизят ... всё повторяется снова, и снова оказывается что уж в самой то последней - ну уж точно уже ... :)

    В общем - BB для извращенцев, выставляющих голый анус в интернет в ожидании посетителей :)

    PS: Про друпал - не в курсе, потому - молчу.

     

  • 1.27, ВалераСНевы (?), 12:51, 31/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Дело не в PHP! Товарищи! Дело в контроле HASH сумм! Вы понимаете, я качаю Opera с русского сервера и качаю через прокси идентичную версию и сравнию контрольные суммы... ОНИ РАЗНЫЕ! Для чистоты эксперимента качал несколько раз! Для россии одна версия дистриба, для других стран другая версия. Что они там меняют в коде?
     
     
  • 2.31, mef (ok), 00:49, 01/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Т.е. если качнуть через прокси, то поменяется контрольная сумма?
     
  • 2.32, kressh (?), 01:38, 01/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Наверное, хэш-суммы разные из-за локализации, нет?
     

  • 1.33, ВалераСНевы (?), 04:11, 01/08/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "Наверное, хэш-суммы разные из-за локализации, нет?"
    - Нет, дистриб многоязыковой, там при инсталяции сам выбираешь какую локаль надо. Сам подумай какие порядочные разумные разрабы станут делать разные дистрибы для разных локалей? Общепринято предоставить для в схех пользователей один дистрибутив с возможностью менять локализацию в настройках при инсталяции.

    "Т.е. если качнуть через прокси, то поменяется контрольная сумма?"
    Да. Когда через забугорный прокси заходишь на оффициальный сайт Оперы, то загружается англоязычная версия сайта по умолчанию и когда выбираешь загрузку дистрибы то там автоматом также отдается файл в зависимости от дислокации твоего IP и если ты из россии то тебе один файл суют, а если ты например из США то тебе другой файл суют... Но это не со всех прокси так получится, только с тех которые реально за бугром физически.

     
  • 1.34, ВалераСНевы (?), 04:13, 01/08/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    То есть это к размышлению на досуге... ;)
     
  • 1.36, ВалераСНевы (?), 20:50, 01/08/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    кстати если в практику ввести обязательную дисциплину публикации контрольных сумм всех файлов входящих в дистрибы, то фактически отпадает необходимость в антивирусах...
     
     
  • 2.37, SkyRanger (ok), 09:58, 02/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >кстати если в практику ввести обязательную дисциплину публикации контрольных сумм всех файлов
    >входящих в дистрибы, то фактически отпадает необходимость в антивирусах...

    Угу, кто бы еще их использовал, эти контрольные суммы :) Тем более что можно хакнуть страничку и повесить свои :)

     
     
  • 3.40, ВалераСНевы (?), 12:51, 02/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Можно всё что угодно сделать, речь о другом, речь о том что с помощью контрольных сумм можно очень малыми усилиями создать существенные трудности вирусописателям. Сайт переодически проверяют и легко заметить подмену.
     

  • 1.41, ВалераСНевы (?), 13:14, 02/08/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это конечно касается только тех, кто заинтересован в том чтобы его софт был защищен максимально надежно.
     
  • 1.42, ВалераСНевы (?), 18:45, 02/08/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    То есть я тут подумал на досуге и пришел к выводу, что фактически можно ликвидировать всю нишу антивирусного софта лёгкими манипуляциями по предоставлению в открытый доступ хэш-суммы файлов программных продуктов.
     
  • 1.43, ВалераСНевы (?), 18:47, 02/08/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Точнее не совсем конечно ликвидировать, но совершенно точно реформировать инструментарий коренным образом можно.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру