The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Новый инструмент web-аудита выявил, что большинство сайтов н..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Новый инструмент web-аудита выявил, что большинство сайтов н..."  +/
Сообщение от opennews (??) on 30-Июл-10, 14:32 
Компания Qualys, специализирующаяся на безопасности, выпустила (http://news.qualys.com/2010/07/qualys-releases-blindelephant...) Open Source приложение Blind Elephant (http://blindelephant.sourceforge.net/) (Слепой Слон) главное назначение которого - анализ уязвимостей в веб-приложениях. Одной из основных проблем, которую призвана решить утилита, это точное определение установленных web-приложений и их версий, что порой сделать самому достаточно затруднительно.


С помощью Blind Elephant было проанализировано более миллиона веб-сайтов, и была собрана следующая статистика по уязвимостям:


- уязвимы 91% сайтов с blog-движком Movable Type;
- уязвимы 92% сайтов с CMS Joomla!;
- уязвимы 95% сайтов с CMS MediaWiki;
- уязвимы 85% сайтов с веб-приложением PHPMyAdmin для управления СУБД MySQL;
- уязвимы 74% сайтов с CMS Moodle;
- уязвимы 70% сайтов с CMS Drupal;
- уязвимы 65% сайтов с SPIP;


Самым небезопасным приложением в статистике оказался форумный движок phpBB - уязвимос...

URL: http://www.networkworld.com/news/2010/072910-open-source-web...
Новость: http://www.opennet.me/opennews/art.shtml?num=27480

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  +1 +/
Сообщение от a (??) on 30-Июл-10, 14:32 
Ничего удивительного.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  +4 +/
Сообщение от pavlinux email(ok) on 30-Июл-10, 14:46 
> Новый инструмент web-аудита выявил, что большинство сайтов не уделяют внимание безопасности

Новый инструмент web-аудита выявил, что большинство сайтов, как и всегда, не уделяют внимание безопасности

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  –1 +/
Сообщение от аноним on 30-Июл-10, 15:12 
#  Популярность языков программирования для создания web-приложений:
    * 74.6% - PHP;
    * 23.9% - ASP.NET;
    * 3.8% - Java;
    * 1.4% - ColdFusion;
    * 1.2% - Perl;
    * 0.5% - Ruby;
    * 0.3% - Python.
(c) OpenNet

Ничего удивительного, действительно.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  +/
Сообщение от deboon on 30-Июл-10, 15:54 
Какбэ и phpBB и WordPress на пхп написаны, не?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

20. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  +1 +/
Сообщение от User294 (ok) on 30-Июл-10, 19:36 
Плохому танцору всегда что-то мешает :).То на си ругались - дескать переполнения буферов. Гадость, дескать! Ну ладно. Вот веб програминг появился. Буфера и правда там не переполняются. Зато новых классов уязвимостей понавылезло - мама не горюй. Стало лучше? :)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

24. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  +1 +/
Сообщение от Аноним (??) on 31-Июл-10, 02:16 
> Какбэ и phpBB и WordPress на пхп написаны, не?

О том и речь.

Наивная простота, слепо верящая, что чем больше народу, тем якобы лучше.
Помнится уже пробовали дасть землю и фабрики больше... нству. В итоге все развалили.

Качество и безопасность обычно обратно-пропорциональны популярности.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  +5 +/
Сообщение от aim (ok) on 30-Июл-10, 16:22 
PHP конечно способствует... но виноваты _всегда_ руки
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  –1 +/
Сообщение от аноним on 30-Июл-10, 16:29 
PHP плодит и кривые руки в том числе.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

23. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  +/
Сообщение от User294 (ok) on 31-Июл-10, 01:50 
Мне кажется что если заменить PHP на [тут впишите ваш любимый язык программирования] - мало что изменится. Ну разве что если язык будет настолько сложен для освоения что идиоты в принципе окажутся не способны им пользоваться. Однако это автоматически урежет и популярность языка до мизерной и ... правильно. Идиоты всегда придумают как подстрелить себя в пятку. Надежная защита от дурака - миф. А уж в языке программирования - вообше фантастика.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

25. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  +2 +/
Сообщение от Аноним (??) on 31-Июл-10, 02:28 
> Мне кажется что если заменить PHP на

Если его заменить, то куча быдлокодеров начнет ныть и побросают свои "напильники". Вслед за ними начнут ныть быдлозаказчики, которые не хотят платить профессиональным разработчикам и хотят подешевле.

И так будет до тех пор, пока кто-нибудь из способных делать языки не наваяет очередное "чудо", которое способны осилить массы. И пищевая цепь снова восстановится.

А так ничего особенного. Профессионалы работают с хорошими заказчиками.
Остальные - с остальными.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

38. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  +1 +/
Сообщение от Александр (??) on 02-Авг-10, 10:40 
Это скорее говорит о "стоимости" вхождения в язык.

Но никак не говорит, что приложения на .NET  "в среднем по больнице" будут безопаснее, чем написанные на PHP. Это лишь говорит, что авторам исследования попалось меньше софта, написанного на одном языке, чем на другом.

Другой вопрос, что на Pyton-е гораздо меньше пишется в том числе и потому, что хостинг с ним дороже, и готового софта, подходящего для неискушенных начинающих веб-мастеров, поменьше будет.

А то слышно порой: "мне нужно быстро поднять сайт, что бы такое взять? куплю хостинг за 30 руб в месяц и поставлю туда "хакерскую" сборку какой-нибудь CMS-ки", а что и хостинг дырявый, и сборка неофициальная, и содержит компоненты, давно не поддерживаемые, и дырявые - это уже никто не смотрит. А анонимусы потом кричат, аж слюной исходят, что PHP дырявый.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  +3 +/
Сообщение от Аноним (??) on 30-Июл-10, 15:14 
Нет, это реклама WordPress.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  +1 +/
Сообщение от Zenitur on 30-Июл-10, 17:37 
Иногда на опеннете пишут страшные вещи про WordPress. Что уязвимости находятся редко, но зато какие!!! Поэтому его, наверно, и обновляют на 96% проверенных сайтов.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

39. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  +/
Сообщение от Александр (??) on 02-Авг-10, 10:42 
>Иногда на опеннете пишут страшные вещи про WordPress. Что уязвимости находятся редко,
>но зато какие!!! Поэтому его, наверно, и обновляют на 96% проверенных
>сайтов.

Многие владельцы сайтов на WP не читают опеннет, которые и на сразу кстати пишет о дырах в WP.

Но об этих дырах сам WP обязательно предупреждает владельцев, и обновление делается одним нажатием кнопки, что играет на безопасность платформы в целом.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  +/
Сообщение от runoverheads on 30-Июл-10, 18:28 
дык самый вменяемый движок.
секьюрность на высоте. маштабируемость выше некуда, вместе с системами кеширования и Multi Site архитектурой.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  +8 +/
Сообщение от anonymous (??) on 30-Июл-10, 16:04 
>подсчёте HASH (контрольных) сумм файлов, установленных на веб-сервере

Чушь какая-то. У этих британских ученых был доступ к файловым системам "более миллиона веб-сайтов"? Как они иначе могли подсчитать контрольные суммы?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

44. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  +/
Сообщение от Харон on 05-Авг-10, 02:11 
>>подсчёте HASH (контрольных) сумм файлов, установленных на веб-сервере
>
>Чушь какая-то. У этих британских ученых был доступ к файловым системам "более
>миллиона веб-сайтов"? Как они иначе могли подсчитать контрольные суммы?

у вас он тоже есть. Чтобы определить версию движка, необязательно все исходники на РНР лопатить. Достаточно составить уникальную сигнатуру. Например, changelog.txt или еще что-нибудь. Если взять несколько таких файлов, то надёжность определения повышается.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  +4 +/
Сообщение от 82500 on 30-Июл-10, 16:17 
Получается, если внес изменения в OpenSource прокет, он тут же становится уязвимым? Отличный метод анализа.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  +2 +/
Сообщение от Zenitur on 30-Июл-10, 17:38 
>Получается, если внес изменения в OpenSource прокет, он тут же становится уязвимым?
>Отличный метод анализа.

Уверен, если в базе контрольной суммы нет, сайт пропускается.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  +/
Сообщение от Аноним (??) on 30-Июл-10, 16:50 
Эээ подождите она всеголиш версии движка выясняет. Надо было так и писать, что большинство доже и  не знает, что их надо обновлять.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  –1 +/
Сообщение от KERNEL_PANIC (ok) on 30-Июл-10, 17:14 
А мне вот интересно, как они это проверяли? Взламывали, что ли?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  +/
Сообщение от auk on 30-Июл-10, 17:19 
идём на сайт и читаем:
The BlindElephant Web Application Fingerprinter attempts to discover the version of a (known) web application by comparing static files at known locations against precomputed hashes for versions of those files in all all available releases.
Обращаем внимание на "attempts to discover the version", что переводится никак не "анализ уязвимостей в веб-приложениях".
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  +1 +/
Сообщение от klalafuda on 30-Июл-10, 17:41 

Имея базу уязвимостей по продукту-версии их можно сопоставить. Выявление потенциальных жертв, с которым можно работать - это первый шаг. Если поиск и идентификация производятся автоматически и в массово порядке - это уже интересно. Ну а как оно или кто-то другой будут использовать полученные данные - это уже другой вопрос.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

19. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  +/
Сообщение от zazik (ok) on 30-Июл-10, 19:24 
>
>Имея базу уязвимостей по продукту-версии их можно сопоставить. Выявление потенциальных жертв, с
>которым можно работать - это первый шаг. Если поиск и идентификация
>производятся автоматически и в массово порядке - это уже интересно. Ну
>а как оно или кто-то другой будут использовать полученные данные -
>это уже другой вопрос.

Да нифига не интересно, статические файлы(картинки, стили, ява-скрипты и т.п.) меняются редко, в отличие от серверных скриптов(которые и содержат уязвимости). Поэтому может смениться много версий продукта, прежде чем хэш такого файла изменится.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

21. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  +1 +/
Сообщение от klalafuda on 30-Июл-10, 23:56 
http://geocoder.us/blog/wp-admin/
http://kbiscu1t.com/blog/wp-admin/
http://peakheight.com/home/wp-admin/
http://www.post23.org/ALR/wp-admin/
http://www.mhnconline.org/wordpress/wp-admin/
http://justnoone.com/blog/wp-admin/

И таких - миллион. Это искалось руками за 5 минут. Если поставить умного бота, то буквально за сутки он нароет бесконечное облако чайников, с которых можно снять пресловутые 'скрипты' и, как минимум, точно определить версию движка.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

22. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  +/
Сообщение от zazik (ok) on 31-Июл-10, 00:31 
>[оверквотинг удален]
>http://kbiscu1t.com/blog/wp-admin/
>http://peakheight.com/home/wp-admin/
>http://www.post23.org/ALR/wp-admin/
>http://www.mhnconline.org/wordpress/wp-admin/
>http://justnoone.com/blog/wp-admin/
>
>И таких - миллион. Это искалось руками за 5 минут. Если поставить
>умного бота, то буквально за сутки он нароет бесконечное облако чайников,
>с которых можно снять пресловутые 'скрипты' и, как минимум, точно определить
>версию движка.

Да уж. Что-то я отвык от такого.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

26. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  +/
Сообщение от demimurych email(ok) on 31-Июл-10, 04:05 
как бэ информация о том
кто привык обновляться а кто нет.

ворд пресс - сплошное решето. не идущее ни в какое сравнение ни с дурпалом
ни с тем же пхпбб последней ветки.

тем не менее аудитория ворд пресса привыкла чаще обновляться.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

30. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  +/
Сообщение от Аноним (??) on 31-Июл-10, 18:04 
Да мы верим. Конечно же. А уж с самой то последней - так вообще! Вот только одна проблема - как только ея зарелизят ... всё повторяется снова, и снова оказывается что уж в самой то последней - ну уж точно уже ... :)

В общем - BB для извращенцев, выставляющих голый анус в интернет в ожидании посетителей :)

PS: Про друпал - не в курсе, потому - молчу.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

27. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  +/
Сообщение от ВалераСНевы on 31-Июл-10, 12:51 
Дело не в PHP! Товарищи! Дело в контроле HASH сумм! Вы понимаете, я качаю Opera с русского сервера и качаю через прокси идентичную версию и сравнию контрольные суммы... ОНИ РАЗНЫЕ! Для чистоты эксперимента качал несколько раз! Для россии одна версия дистриба, для других стран другая версия. Что они там меняют в коде?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

31. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  +/
Сообщение от mef (ok) on 01-Авг-10, 00:49 
Т.е. если качнуть через прокси, то поменяется контрольная сумма?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

32. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  +/
Сообщение от kressh on 01-Авг-10, 01:38 
Наверное, хэш-суммы разные из-за локализации, нет?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

33. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  +/
Сообщение от ВалераСНевы on 01-Авг-10, 04:11 
"Наверное, хэш-суммы разные из-за локализации, нет?"
- Нет, дистриб многоязыковой, там при инсталяции сам выбираешь какую локаль надо. Сам подумай какие порядочные разумные разрабы станут делать разные дистрибы для разных локалей? Общепринято предоставить для в схех пользователей один дистрибутив с возможностью менять локализацию в настройках при инсталяции.

"Т.е. если качнуть через прокси, то поменяется контрольная сумма?"
Да. Когда через забугорный прокси заходишь на оффициальный сайт Оперы, то загружается англоязычная версия сайта по умолчанию и когда выбираешь загрузку дистрибы то там автоматом также отдается файл в зависимости от дислокации твоего IP и если ты из россии то тебе один файл суют, а если ты например из США то тебе другой файл суют... Но это не со всех прокси так получится, только с тех которые реально за бугром физически.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

34. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  +/
Сообщение от ВалераСНевы on 01-Авг-10, 04:13 
То есть это к размышлению на досуге... ;)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

36. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  +/
Сообщение от ВалераСНевы on 01-Авг-10, 20:50 
кстати если в практику ввести обязательную дисциплину публикации контрольных сумм всех файлов входящих в дистрибы, то фактически отпадает необходимость в антивирусах...
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

37. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  +/
Сообщение от SkyRanger email(ok) on 02-Авг-10, 09:58 
>кстати если в практику ввести обязательную дисциплину публикации контрольных сумм всех файлов
>входящих в дистрибы, то фактически отпадает необходимость в антивирусах...

Угу, кто бы еще их использовал, эти контрольные суммы :) Тем более что можно хакнуть страничку и повесить свои :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

40. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  +/
Сообщение от ВалераСНевы on 02-Авг-10, 12:51 
Можно всё что угодно сделать, речь о другом, речь о том что с помощью контрольных сумм можно очень малыми усилиями создать существенные трудности вирусописателям. Сайт переодически проверяют и легко заметить подмену.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

41. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  +/
Сообщение от ВалераСНевы on 02-Авг-10, 13:14 
Это конечно касается только тех, кто заинтересован в том чтобы его софт был защищен максимально надежно.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

42. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  +/
Сообщение от ВалераСНевы on 02-Авг-10, 18:45 
То есть я тут подумал на досуге и пришел к выводу, что фактически можно ликвидировать всю нишу антивирусного софта лёгкими манипуляциями по предоставлению в открытый доступ хэш-суммы файлов программных продуктов.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

43. "Новый инструмент web-аудита выявил, что большинство сайтов н..."  +/
Сообщение от ВалераСНевы on 02-Авг-10, 18:47 
Точнее не совсем конечно ликвидировать, но совершенно точно реформировать инструментарий коренным образом можно.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру