30.07.2010 13:55
Новый инструмент web-аудита выявил, что большинство сайтов не уделяют внимание безопасности
|
 |
|
Компания Qualys, специализирующаяся на безопасности, выпустила Open Source приложение Blind Elephant (Слепой Слон) главное назначение которого - анализ уязвимостей в веб-приложениях. Одной из основных проблем, которую призвана решить утилита, это точное определение установленных web-приложений и их версий, что порой сделать самому достаточно затруднительно.
С помощью Blind Elephant было проанализировано более миллиона веб-сайтов, и была собрана следующая статистика по уязвимостям:
- уязвимы 91% сайтов с blog-движком Movable Type;
- уязвимы 92% сайтов с CMS Joomla!;
- уязвимы 95% сайтов с CMS MediaWiki;
- уязвимы 85% сайтов с веб-приложением PHPMyAdmin для управления СУБД MySQL;
- уязвимы 74% сайтов с CMS Moodle;
- уязвимы 70% сайтов с CMS Drupal;
- уязвимы 65% сайтов с SPIP;
Самым небезопасным приложением в статистике оказался форумный движок phpBB - уязвимости были обнаружены на всех исследованных сайтах. Самым безопасным оказался движок для блогов WordPress - уязвимости были найдены только на 4% инсталляций.
Принцип работы Blind Elephant заключается не в поиске уязвимостей как таковых, а подсчёте HASH (контрольных) сумм файлов, установленных на веб-сервере, и сравнение их с базой уже известных файлов.
|
|
|
- Главная ссылка к новости (http://www.networkworld.com/news/2010/07...)
- OpenNews: Компания Google открыла программу для проверки безопасности web-приложений
- OpenNews: Переработанный вариант классификации угроз безопасности web-приложений
- OpenNews: Анализ механизмов для обеспечения безопасности в web-браузерах
- OpenNews: Компания Google выпустила прокси для контроля безопасности web-приложений
- OpenNews: Новые версии IDS для web-приложений: CGI-IDS 1.0212 и PHPIDS 0.6.4
|
| Автор новости: Artem Tashkinov |
| Тип: К сведению |
| Ключевые слова: security, www, (найти похожие документы) |
| При перепечатке указание ссылки на opennet.ru обязательно |
| Реклама |
|
|
|
| |
| 1.2, pavlinux, 14:46, 30/07/2010 [ответить] [смотреть все]
| +4 +/– | |
> Новый инструмент web-аудита выявил, что большинство сайтов не уделяют внимание безопасности
Новый инструмент web-аудита выявил, что большинство сайтов, как и всегда, не уделяют внимание безопасности
|  | | |
| 1.3, аноним, 15:12, 30/07/2010 [ответить] [смотреть все]
| –1 +/– |
# Популярность языков программирования для создания web-приложений:
* 74.6% - PHP;
* 23.9% - ASP.NET;
* 3.8% - Java;
* 1.4% - ColdFusion;
* 1.2% - Perl;
* 0.5% - Ruby;
* 0.3% - Python.
(c) OpenNet
Ничего удивительного, действительно.
|  | | |
| 1.7, anonymous, 16:04, 30/07/2010 [ответить] [смотреть все]
| +8 +/– | |
>подсчёте HASH (контрольных) сумм файлов, установленных на веб-сервере
Чушь какая-то. У этих британских ученых был доступ к файловым системам "более миллиона веб-сайтов"? Как они иначе могли подсчитать контрольные суммы?
| | | |
| 1.8, 82500, 16:17, 30/07/2010 [ответить] [смотреть все]
| +4 +/– |
Получается, если внес изменения в OpenSource прокет, он тут же становится уязвимым? Отличный метод анализа.
| | | |
| 1.13, auk, 17:19, 30/07/2010 [ответить] [смотреть все]
| +/– |
идём на сайт и читаем:
The BlindElephant Web Application Fingerprinter attempts to discover the version of a (known) web application by comparing static files at known locations against precomputed hashes for versions of those files in all all available releases.
Обращаем внимание на "attempts to discover the version", что переводится никак не "анализ уязвимостей в веб-приложениях".
| | | |
| 1.26, demimurych, 04:05, 31/07/2010 [ответить] [смотреть все]
| +/– |
как бэ информация о том
кто привык обновляться а кто нет.
ворд пресс - сплошное решето. не идущее ни в какое сравнение ни с дурпалом
ни с тем же пхпбб последней ветки.
тем не менее аудитория ворд пресса привыкла чаще обновляться.
|  | | |
| 1.27, ВалераСНевы, 12:51, 31/07/2010 [ответить] [смотреть все]
| +/– |
Дело не в PHP! Товарищи! Дело в контроле HASH сумм! Вы понимаете, я качаю Opera с русского сервера и качаю через прокси идентичную версию и сравнию контрольные суммы... ОНИ РАЗНЫЕ! Для чистоты эксперимента качал несколько раз! Для россии одна версия дистриба, для других стран другая версия. Что они там меняют в коде?
| | | |
| 1.33, ВалераСНевы, 04:11, 01/08/2010 [ответить] [смотреть все]
| +/– |
"Наверное, хэш-суммы разные из-за локализации, нет?"
- Нет, дистриб многоязыковой, там при инсталяции сам выбираешь какую локаль надо. Сам подумай какие порядочные разумные разрабы станут делать разные дистрибы для разных локалей? Общепринято предоставить для в схех пользователей один дистрибутив с возможностью менять локализацию в настройках при инсталяции.
"Т.е. если качнуть через прокси, то поменяется контрольная сумма?"
Да. Когда через забугорный прокси заходишь на оффициальный сайт Оперы, то загружается англоязычная версия сайта по умолчанию и когда выбираешь загрузку дистрибы то там автоматом также отдается файл в зависимости от дислокации твоего IP и если ты из россии то тебе один файл суют, а если ты например из США то тебе другой файл суют... Но это не со всех прокси так получится, только с тех которые реально за бугром физически.
| | | |
| 1.36, ВалераСНевы, 20:50, 01/08/2010 [ответить] [смотреть все]
| +/– |
кстати если в практику ввести обязательную дисциплину публикации контрольных сумм всех файлов входящих в дистрибы, то фактически отпадает необходимость в антивирусах...
| | | |
| |
| 2.37, SkyRanger, 09:58, 02/08/2010 [ответить] [смотреть все] [показать ветку]
| +/– |
>кстати если в практику ввести обязательную дисциплину публикации контрольных сумм всех файлов
>входящих в дистрибы, то фактически отпадает необходимость в антивирусах...
Угу, кто бы еще их использовал, эти контрольные суммы :) Тем более что можно хакнуть страничку и повесить свои :)
|  | | |
| |
| 3.40, ВалераСНевы, 12:51, 02/08/2010 [ответить] [смотреть все]
| +/– |
Можно всё что угодно сделать, речь о другом, речь о том что с помощью контрольных сумм можно очень малыми усилиями создать существенные трудности вирусописателям. Сайт переодически проверяют и легко заметить подмену.
| | | |
|
|
| 1.42, ВалераСНевы, 18:45, 02/08/2010 [ответить] [смотреть все]
| +/– |
То есть я тут подумал на досуге и пришел к выводу, что фактически можно ликвидировать всю нишу антивирусного софта лёгкими манипуляциями по предоставлению в открытый доступ хэш-суммы файлов программных продуктов.
| | | |
|
|
| Ваш комментарий |
|
|
| |
|
