Компания RiskSense опубликовала результаты анализа 1622 уязвимостей во фреймворках и платформах для Web, выявленных с 2010 по ноябрь 2019 года. Некоторые выводы:...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52562
Пенетрируют всё что популярнее нуля. )
Хоть сам пиши - но дыры в фреймворках. У CMS хотя бы сообщества есть и больше шансов что заметят и поправят.
> У CMS хотя бы сообщества есть и больше шансов что заметят и поправятНедостаток: массовый взлом.
Иногда, спустя время, на свой не популярный код смотришь и думаешь - Что за идиот писал? Как оно вообще работает до сих пор? И срочно править...
Но это "иногда" не всегда бывает ...
Спустя время осознаешь что когда-то давно писал на php.
> Спустя время осознаешь что когда-то давно писал на php.Спустя время осознаешь что когда-то давно писал...
> У CMS хотя бы сообщества есть и больше шансовну вот тебе как раз и пример вордпресса с вендой. оба решет0. популярно != лучше/безопасно.
>вордпресса с вендойсравнил открытые исходники с закрытыми. Молодец, держишь марку.
Еще можно с макдональдсом сравнить. Гамбургер популярен, но не безопасен. Но пипл какбэ хавает так зачем замораживаться на опенсорсную еду на кухне или на дорогую в ресторане?
А кстати гамбугер из макдака ведь безопасней 99% еды из прочих мест, включая "дорогую в ресторане". Сравнение точно было про преимущество опенсорсного индийского фастфуда с обязательными гепатитом и сифилисом?
загули "эрик шлоссер нация фастфуда" это макдонадлс, несколько перевернет твое представление о безопаснее прочих мест
неправда! У нас еще тиф есть в меню!
Не юзай фреймворкиПравда, будут дыры в самом пхп, но там отношение к их фиксингу посерьезнее
а зачем писать на пхп если можно взять какой-нибудь asp net core MVC? Не знаю, насколько нужно быть конченым, чтобы умудриться на дотнете допустить инъекцию sql?
>насколько нужно быть конченым, чтобы умудриться на дотнете допустить инъекциюс чего ты взял, что в вышеназванном sql инъекции? дырки совсем другие и в маздайном решете их тоже есть...
> Правда, будут дыры в самом пхп, но там отношение к их фиксингу посерьезнеевот взять, к примеру, phar:// ;-)
Если ваш нескучный язычок не позволяет выполнить произвольный код, просто попытавшись проверить факт существования файлов - жизнь прошла мимо вас.
notabug, посерьезнее, ага, ага.
давненько пох про phar не заводил волынку
Wordpress - это самая ужасная CMS которая может быть
Предложи что-то получше. Wordpress лидирует по числу уязвимостей не из-за того, что WP такой говёный, а из-за того, что очень популярный. Плюс обилие плагинов под любую нужду - нашёл дыру в одном, считай, взломал сразу N сайтов.
> Предложи что-то получше.Выбирай:
https://en.wikipedia.org/wiki/List_of_content_management_sys...
https://en.wikipedia.org/wiki/Comparison_of_web_frameworks> Wordpress лидирует по числу уязвимостей не из-за того, что WP такой говёный, а из-за того, что очень популярный.
А говёный он потому, что ради популярности его клепали с прицелом на удобство анацефалов.
На удобство кого?
Нет, именно потому, что говенный, в особенности говенны плагины. Допускать выполнение кода это ппц, а там в каждом втором плагине так, по моему
> Нет, именно потому, что говенныйМ-м-м... так объективно
> в особенности говенны плагины
Так не используй такие плагины и будет тебе счастье
> не из-за того, что WP такой говёныйCMS, которая запускает плагины на своем уровне, никак не урезая их права - говно. Поэтому WP - именно что говёнНый.
>обилие плагинов под любую нуждуХорошо сказано ;)
>Предложи что-то получше.Статичный html.
Для 99.995% сайтов использующих wordpress или другую CMS, sql php и динамическая генерация страниц не нужны.
Ну вообще-то, "говенный" тоже подходит.
Но самое забавное в новости то, что джава упиманиется в ней как дырявая.. порой, даже наравне с пыхом.
Джава, которая интерпройс vs пых, который "для вебмакак"(тм)
Все срачи про раст про безопасность. Но почему-то никто даже не пытается написатьп безопасную CMS или безопасный PHP. В чем тут дело? Заговор? Или надо смотреть шире?
Они пока менеджер пакетов пишут. Вот допишут, тогда за еще что-нибудь ненужное возьмутся. И когда это ненужное закончится, вот тогда, возможно, доберутся до CMS.
На нём уже пытался один человек сделать для начала быстрый веб сервер, так своё же сообщество затравило.
Возможно потому, что пых сам по себе не шибко то и дырявый( по крайней мере, и на жабе и на проч хватает "опасностей" )..Ну а по поводу cms.. тут уж либо делать примитивную и почти не конфигурируемую, либо - давать больше свободы в плане доработок, но иметь потенциально кучу дыр( в т.ч благодаря сторонним модулям )
Более 10 лет на ВП, что-то никаких проблем не было никогда. Наверное потому что софт всегда обновленный.
Это как у человека у которого никогда не было антивируса гордо заявляет что у него никогда не было вирусов.Хотя если у человека сайт на пхп да еще и на вордпресс это само по себе диагноз.
> это само по себе диагнозДиагноз того, что у человека есть свой сайт?
А что можно сказать о человеке пытающемуся оскорбить другого на ровном месте? Мама недолюбила? Это у вас уже клинический случай.
На ровном точно пхп - ровное место. Тут скорее разжигание на основе принадлежности к группе, но если кто-то воспринимает только на свой счет, то это его личные комплексы. Корона видать падает.
Не на ровном месте, а на месте где вы нагло и бесцеремонно заявили нечто, не вписывающееся в его маня-мирок!А раньше за такое вообще живьем жгли.
> Это как у человека у которого никогда не было антивируса гордо заявляет что у него никогда не было вирусовДа под Windows это элементарная задача. Тем более сейчас, когда и плагины даже с браузеров повыбрасывали.
Просто не надо ставить софт со свалок. И ставить секурные обновления (а это вообще по умолчанию). Всё.
Чудес не бывает - через карму не прилетит.
> Просто не надо ставить софт со свалок. И ставить секурные обновления (а
> это вообще по умолчанию). Всё.
> Чудес не бывает - через карму не прилетит.Конечно! Значит пора поверить в чудеса: https://thehackernews.com/2020/03/smbv3-wormable-vulnerabili...
> Despite the severity of the SMB bug, there's no evidence that it's being exploited in the wild.Ну так шансы около нуля для пользователя.
Это надо прям SMB сервис наружу прокинуть – тогда может повезёт.
И то с прошлыми всякими Петями бабахнуло спустя несколько месяцев после того, как вышла заплатка.
Ну бабахнуло, потому что апдейты не ставят (на это тоже есть причины).
Наверно потому, что ты нахрен никому не нуженНу и повезло м.б, т.к даже тех кто никому не нужен иногда боты ломают
Я чего только не видел с этим вротпрессом...
У меня курящий смолоду дед до 90 лет дожил. Наверное потому, что сигареты продлевают жизнь.
Наверное, потому, что курил советские папиросы из натуральных компонентов.
"а мусор с пола цеха - добавляли?" (вот сейчас и проверим, кто на самом деле застал, а кто перепевает бабушкины легенды про "натуральные компоненты" - к моему удивлению, этот анекдот в гугле не находится)
ах, простите, не углядел про "папиросы". Дааа, не знаю как у Урри, наверное, его-то дед все же курил - табак, а у вас, похоже, была интересная молодость?
Скорее все же потому, что, вопреки антитабачным истерикам - никак заметно на ее продолжительность не влияют.
Где прочитать без регистрации и СМС?
Плюсую к вопросу
Не может быть.
Что такое Apache Struts?))
Тонко. Зачот.
Устаревший фреймворк для Java, сайтам на котором лень мигрировать на что-нибудь по современней. Типа банков и прочих ынтерпрайзов, которым дешевле, если ваши деньги украдут через эти уязвимости, чем обновиться.
А если бы сайты на C писали?
Проверь. Возьми какой-нибудь treefrog и забацай сайт. Потом расскажешь.
Ну во первых сайтов бы стало меньше. А значит привлекательность для школьников резко снизилось. Меньше школьников => меньше сайтов => меньше дыр. Но это не панацея.Это как карантин в условиях пандемии лишь помогает медицинским службам справится с потоком больных. Но не победить болезнь полностью.
> Ну во первых сайтов бы стало меньше.то есть, собственно, их стало бы - ноль, не считая бесполезных васянских и статической картинки "сайт все еще в разработке, осталось 99999 лет до ее окончания".
Но на самом деле нет. Точнее, ровно наоборот в плане дыр.Попадался как-то сайтик, запиленный на плюсАх( чувакам надо было, чтобы на сайте какие-то данные отображались, а они получались с датчиков какими-то хитрыми путями посредством смешной библиотеки.. ну и ничего лучше, как только из-за этого написать и остальной сайт под плюсы не придумали..
Такой эпической помойки я не видал даже у пыхоиндусов.. даже у пыхокитайцев.
Просто глючная и совершенно не поддерживаемая куча д.ерьма, где со слешем в конце адреса и без него, можно оказаться на совершенно разных страницах( как и в случаях разного регистра букв. И далеко не факт, что одна из них будет 404-й - это может оказаться что угодно, вплоть до админ. панели ).. и это даже без каких-либо серьезных тестирований.
Как ни странно, но пых( с каким-нибудь YII ) в вебе оказался намного лаконичнее, а дырявость/безопасность системы не имеет прямого отношения ни к ООП, ни к типизации ( по крайней мере, наличие и того и другого в принципе не означают никакой безопасности сами по себе ).
С тех пор я невзлюбил плюсы и дурных макак, что пытаются затолкать свою хренову типизацию и ооп-чик куда ни попадя "просто потому что", особенно, если это касается веба.
>> Просто глючная и совершенно не поддерживаемая куча д.ерьма, где со слешем в конце адреса и без него, можно оказаться на совершенно разных страницах( как и в случаях разного регистра букв. И далеко не факт, что одна из них будет 404-й - это может оказаться что угодно, вплоть до админ. панели )..Не понял, где обещаный криминал-то?
>> где со слешем в конце адреса и без него, можно оказаться на совершенно разных страницах
2 разных URL могут вести на разные страницы.Спецификация тут: https://www.w3.org/TR/url/
>> как и в случаях разного регистра букв
Ничего не изменилось: 2 разных URL могут вести на разные страницы. Спецификация все еще там же.
>> И далеко не факт, что одна из них будет 404-й
Кхм. 404 - это вообще не страница. 404 - это код возврата HTTP. "404 Not Found - The server has not found anything matching the Request-URI." Спецификация тут: https://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html
На всякий случай переведу: "404 Не Найдено - сервер не нашел ничего, соответствующего URI запроса". С чего одна из существующих страниц должна быть "404-й" - непонятно. Сервер нашел же, ну!
А уж "404-я страница" - это вообще фронтендная заглушка, которая не совсем чтобы уж коррелировала со спецификацией HTTP. В спеке говорят: "не нашел страницу - верни статус 404". "404-я страница" делается редиректом на страницу с надписью "не найдено" или прочими странными буквами. А редирект у нас делается со статусами 301,302,303,307, например. Не нашел страницу - вернул 302. А по спецификации - 404 должен вернуть.
>> это может оказаться что угодно, вплоть до админ. панели
Если по URL расположена админ-панель, не вижу ни единой причины ей там не быть...
Изначально в сайте это не задумывалось, т.к на этот счет была целая куча запросов на багфикс.Ну вообще-то нет.
Говоря об относительно простых сайтах / структуре, я, как пользователь, ожидаю попасть ровно на одну и ту же страницу, вне зависимости от того, заканчиваю я адрес слешем или нет( или к слову о том, что, даже у яндекса и гугла, yandex.ru, yandex.ru/ и google.ru, google.ru/ - это одни и те же страницы, но никак не Главная и Почта/Новости/Итп ).Да ты просто гений. Только вот.. почему такая маленькая лекция об HTTP и 404-м коде, если речь вообще шла о странице-заглушке на сайте ?)
Обычно на сайтах есть и одноименная страница-заглушка, сообщающая, что вы хз куда попали и идите ка на главную страницу / пишите в поддержку. В общем-то, это одна из само-собой разумеющихся вещей на сайте, чтобы не вываливать дефолтное пустое браузерное окно с соотв. текстом.
Если что, речь не о каком-то REST / JSON-RPC и прочих штуковинах, никакого апи сервак не предоставляет - он только выдает самописный сайт на плюсАх.Если ты, будучи обычным пользователем, хочешь зайти на какую-то новость, а попадаешь на админ-панель сайта, то это именно проблема, причем, очень серьезная.
Такого дырявого г.на ИМХО, я даже на пахе не видел. Речь не о сайтах школьников, а о сайтах нехилых контор( в данном случае, металлургической ).
>> Говоря об относительно простых сайтах / структуре, я, как пользователь, ожидаю попасть ровно на одну и ту же страницу, вне зависимости от того, заканчиваю я адрес слешем или нет( или к слову о том, что, даже у яндекса и гугла, yandex.ru, yandex.ru/ и google.ru, google.ru/ - это одни и те же страницы, но никак не Главная и Почта/Новости/Итп ).Оно, конечно, так, за одним большим НО:
Согласно спецификации, yandex.ru и yandex.ru/ - это два разных URL. Да, в подавляющем большинстве случаев на один из них вешается редирект, либо миддлварина, которая отпиливает/допиливает / в конце урлы. Но утверждать, что разные урлы, ведущие на разные страницы - это плохо... Ну, такое себе. Тем более, что в 99% случаев руками никакую урлу никто вводить не будет, будут тупо кликать в адрес, или, в самых хардкорных случаях, копи-пастить.>> Да ты просто гений. Только вот.. почему такая маленькая лекция об HTTP и 404-м коде, если речь вообще шла о странице-заглушке на сайте ?)
>> Обычно на сайтах есть и одноименная страница-заглушка, сообщающая, что вы хз куда попали и идите ка на главную страницу / пишите в поддержку. В общем-то, это одна из само-собой разумеющихся вещей на сайте, чтобы не вываливать дефолтное пустое браузерное окно с соотв. текстом.Обычно на сайтах есть, а на этом нет. Тоже странная высосанная из пальца проблема, особенно на фоне того, что с точки зрения поисковой индексации редирект на страницу-заглушку - это очень и очень плохо. В спецификации даже написано: если у вас нет такой страницы - верните 404. Не "перенаправьте на другую и верните 200", а "верните 404". Т.е. страница-заглушка - это хорошо с точки зрения UX, плохо с точки зрения поисковой оптимизации и в корне неверно с точки зрения спецификации.
>> Если ты, будучи обычным пользователем, хочешь зайти на какую-то новость, а попадаешь на админ-панель сайта, то это именно проблема, причем, очень серьезная.
Это проблема ровно до того момента, пока таковое поведение не является "задуманным при дизайне сайта". Если оно не было так задумано изначально, то это не проблема, а явный баг роутера.
>> Такого дырявого г.на ИМХО, я даже на пахе не видел.
А вот тут прямо корень того, почему я вам возразил. Ни одна из заявленных вами проблем не является C++-специфичной. На любом другом языке можно добиться ровно такого же поведения. Тем более, что в отрыве от контекста описанное вами поведение является предельно корректным.
Т.е., еще раз, поясню: берете список описанных вами недостатков и говорите "вот, посмотрите, говносайт". И будете в 99% случаев правы. Добавляете к этому "все из-за С++" - и будете стопудово неправы. Люди, умеющие сколько-нибудь писать на С++ (а, судя по выбору реализации, только на нем они и умеют), по вашему мнению, написали бы что-нибудь существенно отличающееся на другом языке? Ну, как бы, возьмут они PHP. Ну, собственно, PHP тоже самостоятельно URL-rewrite не поддерживает, и роутинг "искаропки" не умеет, и админ-панель эскейпить по правам доступа - тоже. Все, вами описанное, а) в отрыве от контекста, предельно корректное поведение, б) совершенно ортогонально языку программирования.
Ползите уж сразу пониже, в asm.
https://board.asm32.info/asmbb-how-to-download-compile-and-i.../
ничеси!
>А если бы сайты на C писали?К известным веб-уязвимостям добавились бы ещё и уязвимости при использовании указателей, переполнения стека.
Пишем: https://www.opennet.ru/opennews/art.shtml?num=47617
На микроконтроллерах типа esp8266 вполне себе делают веб интерфейсы. Как раз по скорости как php на дешёвой впске.
От апача и пхподелия ничего другого и не ожидалось.
Именно поэтому, дорогое друзья, если необходима универсальная CMS для сайта нужно выбирать Joomla! Как разработчик, сильно не долюбливаю WordPress.
Джумла, друпал.. всё это то ещё..Хотя, вордпрес, кнчн, ещё хуже.
Опять таки меня все заклюют в который уже раз.Но в плане именно безопасности очень неплох Битрикс (входящий в него по умолчанию бесплатный модуль "Проактивная защита" если настроен на 3-ий "параноидальный" уровень защищает от всего и вся. Фактически это WAF вполне приличный).
Джумла конечно хороша...вот только когда там находят очередную дыру диапазон уязвимых версий обычно примерно такой 3.0-3.9, иными словами большая часть уязвимостей тянется с сааамого начала текущей "мажорной" версии, а это значит что дырам ГОДЫ...