Компания Checkmarx провела (http://www.checkmarx.com/2013/06/18/security-of-wordpress-to.../) анализ (PDF (http://www.checkmarx.com/wp-content/uploads/2013/06/The-Secu...), 600 Кб) безопасности 50 наиболее популярных плагинов к ориентированной на создание блогов системе управления web-контентом WordPress. Итоги оказались плачевными - 12 плагинов из 50 (24%) оказались уязвимыми к типичным атакам на web-приложения, таким как подстановка SQL-кода, доступ к файлам в вышестоящим директориям (например через указание "../" в пути), межсайтовый скриптинг (XSS) и подделка межсайтовых запросов (CSRF).
При сужении выборки до 10 самых популярных плагинов, связанных с электронной коммерцией, уязвимости были выявлены в 7 (70%). С учётом того, что WordPress используется для обеспечения работы приблизительно 60 млн сайтов в сети, что составляет примерно 18% от числа всех сайтов в Web, проблема принимает угрожающий характер. Точные данные по числу сайтов использующих те или иные плагины не приводится, но известно, что в сумме было загружено 8 млн копий уязвимых плагинов (1.7 млн если рассматривать только плагины для электронной коммерции).
По мнению Checkmarx столь внушительное распространение уязвимых плагинов объясняется беспечностью администраторов сайтов, не пытающихся убедиться в том что плагин безопасен и уверенных, что загружая плагин из достоверного источника они получают безопасный код. С другой стороны распространению уязвимостей способствует отсутствие должного тестирования плагинов на наличие проблем с безопасностью и отсутствие стандартов на проверку приложений, предоставляемых для запуска в PaaS-сервисах или загрузки из каталога WordPress.org.
Примечательно, что проведённое в январе аналогичное исследование выявило 18 уязвимых плагинов для которых зафиксировано 18.5 млн загрузок, а повторная проверка, выполненная спустя 6 месяцев, показала, что уязвимости по прежнему сохраняются в 12 из них. Таким образом только в 6 плагинах уязвимости были устранены в течение 6 месяцев, несмотря на то, что функциональные обновления за указанный период были выпущены для всех плагинов. В качестве возможной меры по исправлению ситуации с безопасностью плагинов предлагается ужесточить критерии приёма плагинов в каталог WordPress.org, допуская размещение только плагинов прошедших проверку безопасности кода.
URL: http://www.eweek.com/security/popular-wordpress-plugins-vuln.../
Новость: http://www.opennet.me/opennews/art.shtml?num=37227
Кто бы ownCloud проверил на уязвимости...
ownCloud же не выставляют в общий доступ.
> ownCloud же не выставляют в общий доступ.А не на них запускают "произвольные" сервисы?
но в интернет то выставляется, а значит может быть атакован
php?
PHP -- это не причина -- а возможное следствие. :)а причина -- кривые руки. :)
[суть: не все PHP-программисты криворукие.. но зачустую кривизна рук заставляет использовать именно PHP :)]
такие же криворукие -- и да же вообще без серверного кода (без PHP) -- делают ошибки на ровном месте (XSS) , а потом не хотят призновать что в их коде есть XSS, даже когда на строчку с XSS показывают пальцем.
вот очередной пример криворукости: на этот раз облажался (и до сох пор лажает) автор популярнейшего компонента -- fancyBox:
http://fancyapps-fancybox-escaping-bugfix.github.io/demo/dem...
https://github.com/fancyapps/fancyBox/issues/615
автор компонента fancyBox -- думает что если он пишет код на Javascript (а не на PHP), то значит Javascript освобождает автора от обязанности экранировать значения HTML-атрибутов в случаях когда происходит формирование HTML-кода напрямую из текста (а не через Document Object Model).
бывают же идиоты которые вдолбили себе в голову что XSS это сугубо серверная ошибка -- и не хотят даже пару раз поразмыслить головой.
дык, естественно
Ну а что тут удивительного
Бот сети то надо же как то пополнять
Сам WordPress - это одна большая уязвимость.
> Сам WordPress - это одна большая уязвимость.разве?
в новости же говорится лишь про плугины к нему.
аналогия:
если Firefox обвешать говнорасширениями -- то он станет тупить и тормозить...
...но это же НЕ значит что Firefox это тупая и тормознутая программа :) .
> Компания Checkmarx провела анализ безопасности 50 наиболее популярных плагинов
> к ориентированной на создание блогов системе управления web-контентом WordPress.…в результате исследователи поразбивали лица фэйспалмами и смогли хором произнести только одно слово: «пи…ец!»
Пока что это «исследование» есть песня ртом.
А чего вы ожидали от плагинов, написанных к одному из самых дырявых движков в Сети. Сама архитектура Wordpress крайне уродлива, и способствует написанию быдлокода. Добавьте к этому ещё и низкий профессиональный уровень многих людей, которые пишут расширения для этого движка - и всё становится ясно. Кто хочет надёжности, тому нужен Drupal(правда прийдётся разориться на хостинг).
"разориться"? :-D
ну, наверное, если посещаемость свыше 10000 чел / день, то да, а на скромные сайты из нескольких десятков анонимусов можно по 20-50 коп. в день тратить
- Изобразите нам что-нибудь эротическое, но с крутым обломом в конце?
- А-а-а-а-а-....апчхи!!!
Чему тут удивляться? Да весь интернет слеплен из гoвна и палок.
и анонимов. важное связующее звено
Я бы сказал, что анонимы являются подвидом одной из двух указанных категорий. Блин, неужели так сложно ник зарегистрировать? Хрен поймешь даже, сколько анонимов в беседе участвуют, а уж кому отвечаешь - и подавно.
да ну. хороший анонимус от другого хорошего анонимуса отличается. а если не отличаются, то без разницы, сколько дураков в стопке.
Конечно! Важно сколько в ней зарегистрированных дураков!
> Конечно! Важно сколько в ней зарегистрированных дураков!И арису с буратиной возглавляют колонну этих самых особей :))))))))))))))))))))
>> Конечно! Важно сколько в ней зарегистрированных дураков!
> И арису с буратиной возглавляют колонну этих самых особей :))))))))))))))))))))Смотрю, буратино уже вышел из-под контроля.
в самом отчёте пишут "Checkmarx ran an automated static code analysis scan against the most popular plugins".иными словами, у них есть некий софт для автоматического поиска багов, только делиться они им не хотят. вместо этого предлагают всякие бесполезные в реальном мире решения, вроде "ужесточить критерии приёма плагинов"
они предлагают нормальные решения. невозможно при помощи автоматики решить проблему кизза в голове.
Нешто на их средствах для аудита свет клином сошёлся? Google://automated source code audit tools
> в самом отчёте пишут "Checkmarx ran an automated static code analysis scan
> against the most popular plugins".
> иными словами, у них есть некий софт для автоматического поиска багов, только
> делиться они им не хотят. вместо этого предлагают всякие бесполезные в
> реальном мире решения, вроде "ужесточить критерии приёма плагинов"иными словами, их «code analysis scan» может оказаться false positive и к определению уязвимостей отношения не иметь.
> иными словами, их «code analysis scan» может оказаться false positive и к
> определению уязвимостей отношения не иметь.простыми словами, разговоры в пользу бедных продавцов неоткры^Wзакрытого как обычно оказываются маркетинговым булшитом
> простыми словами, разговоры в пользу бедных продавцов
> неоткры^Wзакрытого как обычно оказываются маркетинговым булшитомКак минимум, купить этот товар Checkmarx предлагает.
>> как обычно оказываются маркетинговым булшитом
> Как минимум, купить этот товар Checkmarx предлагает.""маркетинговым булшитом с целью развода не деньги""
Принимается!
список (в надежде авторов на исправление ) открыто не оглашают? а жаль, я вот думаю что быстро не исправятся, даже сами вордпрессы не чешутся совсем с исправлением CVE-2013-2173 (DDOS на защищенные паролем блоги), надо бы им "задать амплитуду"
вот и приходится нам, админам, самим проверять тот софт, что используем