форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."	+/–
Сообщение от opennews (??) on 20-Июн-13, 11:41
Компания Checkmarx  провела (http://www.checkmarx.com/2013/06/18/security-of-wordpress-to.../) анализ (PDF (http://www.checkmarx.com/wp-content/uploads/2013/06/The-Secu...), 600 Кб) безопасности 50 наиболее популярных плагинов к ориентированной на создание блогов системе управления web-контентом WordPress. Итоги оказались плачевными - 12 плагинов из 50 (24%) оказались уязвимыми к типичным атакам на web-приложения, таким как подстановка SQL-кода, доступ к файлам в вышестоящим директориям (например через указание "../" в пути), межсайтовый скриптинг (XSS) и подделка межсайтовых запросов (CSRF). При сужении выборки до 10 самых популярных плагинов, связанных с электронной коммерцией, уязвимости были выявлены в 7 (70%). С учётом того, что  WordPress используется для обеспечения работы приблизительно 60 млн сайтов в сети, что составляет примерно 18% от числа всех сайтов в Web, проблема принимает угрожающий характер. Точные данные по числу сайтов использующих те или иные плагины не приводится, но известно, что в сумме было загружено 8 млн копий уязвимых плагинов (1.7  млн если рассматривать только плагины  для электронной коммерции). По мнению  Checkmarx столь внушительное распространение уязвимых плагинов объясняется беспечностью администраторов сайтов, не пытающихся убедиться в том что плагин безопасен и уверенных, что загружая плагин из достоверного источника они получают безопасный код. С другой стороны распространению уязвимостей способствует отсутствие должного тестирования плагинов на наличие проблем с безопасностью и отсутствие стандартов на проверку приложений, предоставляемых для запуска в PaaS-сервисах или загрузки из каталога  WordPress.org. Примечательно, что проведённое в январе аналогичное исследование выявило 18 уязвимых плагинов для которых зафиксировано 18.5 млн загрузок, а повторная проверка, выполненная спустя 6 месяцев, показала, что уязвимости по прежнему сохраняются в 12 из них. Таким образом только в 6 плагинах уязвимости были устранены в течение 6 месяцев, несмотря на то, что функциональные обновления за указанный период были выпущены для всех плагинов. В качестве возможной меры по исправлению ситуации с безопасностью плагинов предлагается ужесточить критерии приёма плагинов в каталог WordPress.org, допуская размещение только плагинов прошедших проверку безопасности кода. URL: http://www.eweek.com/security/popular-wordpress-plugins-vuln.../ Новость: https://www.opennet.ru/opennews/art.shtml?num=37227
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."	+1 +/–
Сообщение от Аноним (??) on 20-Июн-13, 11:41
Кто бы ownCloud проверил на уязвимости...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."	+/–
	Сообщение от Аноним (??) on 20-Июн-13, 11:53
	ownCloud же не выставляют в общий доступ.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."	+/–
	Сообщение от Andrey Mitrofanov on 20-Июн-13, 11:54
	> ownCloud же не выставляют в общий доступ. А не на них запускают "произвольные" сервисы?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	9. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."	+/–
	Сообщение от Аноним (??) on 20-Июн-13, 13:39
	но в интернет то выставляется, а значит может быть атакован
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."	+/–
Сообщение от анон on 20-Июн-13, 12:27
php?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."	+7 +/–
	Сообщение от Xasd (ok) on 20-Июн-13, 12:45
	PHP -- это не причина -- а возможное следствие. :) а причина -- кривые руки. :) [суть: не все PHP-программисты криворукие.. но зачустую кривизна рук заставляет использовать именно PHP :)] такие же криворукие -- и да же вообще без серверного кода (без PHP) -- делают ошибки на ровном месте (XSS) , а потом не хотят призновать что в их коде есть XSS, даже когда на строчку с XSS показывают пальцем. вот очередной пример криворукости: на этот раз облажался (и до сох пор лажает) автор популярнейшего компонента -- fancyBox: http://fancyapps-fancybox-escaping-bugfix.github.io/demo/dem... https://github.com/fancyapps/fancyBox/issues/615 автор компонента fancyBox -- думает что если он пишет код на Javascript (а не на PHP), то значит Javascript освобождает автора от обязанности экранировать значения HTML-атрибутов в случаях когда происходит формирование HTML-кода напрямую из текста (а не через Document Object Model). бывают же идиоты которые вдолбили себе в голову что XSS это сугубо серверная ошибка -- и не хотят даже пару раз поразмыслить головой.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	16. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."	+/–
	Сообщение от Нанобот on 20-Июн-13, 15:11
	дык, естественно
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."	+/–
Сообщение от blablabla (ok) on 20-Июн-13, 13:02
Ну а что тут удивительного Бот сети то надо же как то пополнять
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."	–1 +/–
Сообщение от Alexander (??) on 20-Июн-13, 13:11
Сам WordPress - это одна большая уязвимость.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	8. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."	+4 +/–
	Сообщение от Xasd (ok) on 20-Июн-13, 13:18
	> Сам WordPress - это одна большая уязвимость. разве? в новости же говорится лишь про плугины к нему. аналогия: если Firefox обвешать говнорасширениями -- то он станет тупить и тормозить... ...но это же НЕ значит что Firefox это тупая и тормознутая программа :) .
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "В 12 из 50 самых популярных плагинов к WordPress..."	+/–
Сообщение от arisu (ok) on 20-Июн-13, 13:42
> Компания Checkmarx провела анализ безопасности 50 наиболее популярных плагинов > к ориентированной на создание блогов системе управления web-контентом WordPress. …в результате исследователи поразбивали лица фэйспалмами и смогли хором произнести только одно слово: «пи…ец!»
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	22. "В 12 из 50 самых популярных плагинов к WordPress..."	+/–
	Сообщение от 80е on 20-Июн-13, 19:00
	Пока что это «исследование» есть песня ртом.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

11. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."	+/–
Сообщение от lucentcode (ok) on 20-Июн-13, 13:43
А чего вы ожидали от плагинов, написанных к одному из самых дырявых движков в Сети. Сама архитектура Wordpress крайне уродлива, и способствует написанию быдлокода. Добавьте к этому ещё и низкий профессиональный уровень многих людей, которые пишут расширения для этого движка - и всё становится ясно. Кто хочет надёжности, тому нужен Drupal(правда прийдётся разориться на хостинг).
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	12. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."	+/–
	Сообщение от emg81 (ok) on 20-Июн-13, 14:18
	"разориться"? :-D ну, наверное, если посещаемость свыше 10000 чел / день, то да, а на скромные сайты из нескольких десятков анонимусов можно по 20-50 коп. в день тратить
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	13. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."	–1 +/–
	Сообщение от бедный буратино (ok) on 20-Июн-13, 14:20
	- Изобразите нам что-нибудь эротическое, но с крутым обломом в конце? - А-а-а-а-а-....апчхи!!!
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."	+/–
Сообщение от Аноним (??) on 20-Июн-13, 14:20
Чему тут удивляться? Да весь интернет слеплен из гoвна и палок.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	15. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."	+3 +/–
	Сообщение от бедный буратино (ok) on 20-Июн-13, 14:28
	и анонимов. важное связующее звено
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	25. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."	+/–
	Сообщение от Crazy Alex (ok) on 20-Июн-13, 19:49
	Я бы сказал, что анонимы являются подвидом одной из двух указанных категорий. Блин, неужели так сложно ник зарегистрировать? Хрен поймешь даже, сколько анонимов в беседе участвуют, а уж кому отвечаешь - и подавно.
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	26. "В 12 из 50 самых популярных плагинов к WordPress..."	+1 +/–
	Сообщение от arisu (ok) on 20-Июн-13, 21:25
	да ну. хороший анонимус от другого хорошего анонимуса отличается. а если не отличаются, то без разницы, сколько дураков в стопке.
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

	28. "В 12 из 50 самых популярных плагинов к WordPress..."	+2 +/–
	Сообщение от Аноним (??) on 21-Июн-13, 01:41
	Конечно! Важно сколько в ней зарегистрированных дураков!
	Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

	31. "В 12 из 50 самых популярных плагинов к WordPress..."	+/–
	Сообщение от Аноним (??) on 21-Июн-13, 12:19
	> Конечно! Важно сколько в ней зарегистрированных дураков! И арису с буратиной возглавляют колонну этих самых особей :))))))))))))))))))))
	Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

	32. "В 12 из 50 самых популярных плагинов к WordPress..."	+/–
	Сообщение от бедный буратино (ok) on 21-Июн-13, 12:40
	>> Конечно! Важно сколько в ней зарегистрированных дураков! > И арису с буратиной возглавляют колонну этих самых особей :)))))))))))))))))))) Смотрю, буратино уже вышел из-под контроля.
	Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

17. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."	+/–
Сообщение от Нанобот on 20-Июн-13, 15:17
в самом отчёте пишут "Checkmarx ran an automated static code analysis scan against the most popular plugins". иными словами, у них есть некий софт для автоматического поиска багов, только делиться они им не хотят. вместо этого предлагают всякие бесполезные в реальном мире решения, вроде "ужесточить критерии приёма плагинов"
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	18. "В 12 из 50 самых популярных плагинов к WordPress..."	+/–
	Сообщение от arisu (ok) on 20-Июн-13, 15:46
	они предлагают нормальные решения. невозможно при помощи автоматики решить проблему кизза в голове.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	19. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."	+/–
	Сообщение от YetAnotherOnanym (ok) on 20-Июн-13, 16:30
	Нешто на их средствах для аудита свет клином сошёлся? Google://automated source code audit tools
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	23. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."	+/–
	Сообщение от 80е on 20-Июн-13, 19:03
	> в самом отчёте пишут "Checkmarx ran an automated static code analysis scan > against the most popular plugins". > иными словами, у них есть некий софт для автоматического поиска багов, только > делиться они им не хотят. вместо этого предлагают всякие бесполезные в > реальном мире решения, вроде "ужесточить критерии приёма плагинов" иными словами, их «code analysis scan» может оказаться false positive и к определению уязвимостей отношения не иметь.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	24. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."	+/–
	Сообщение от Andrey Mitrofanov on 20-Июн-13, 19:45
	> иными словами, их «code analysis scan» может оказаться false positive и к > определению уязвимостей отношения не иметь. простыми словами, разговоры в пользу бедных продавцов неоткры^Wзакрытого как обычно оказываются маркетинговым булшитом
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

	27. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."	+/–
	Сообщение от 80е on 20-Июн-13, 22:28
	> простыми словами, разговоры в пользу бедных продавцов > неоткры^Wзакрытого как обычно оказываются маркетинговым булшитом Как минимум, купить этот товар Checkmarx предлагает.
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

	30. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."	+/–
	Сообщение от Andrey Mitrofanov on 21-Июн-13, 12:07
	>> как обычно оказываются маркетинговым булшитом > Как минимум, купить этот товар Checkmarx предлагает. ""маркетинговым булшитом с целью развода не деньги"" Принимается!
	Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

20. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."	+/–
Сообщение от Sylvia (ok) on 20-Июн-13, 17:26
список (в надежде авторов на исправление ) открыто не оглашают? а жаль, я вот думаю что быстро не исправятся, даже сами вордпрессы не чешутся совсем с исправлением CVE-2013-2173 (DDOS на защищенные паролем блоги), надо бы им "задать амплитуду"
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	29. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."	+/–
	Сообщение от Аноним (??) on 21-Июн-13, 10:38
	вот и приходится нам, админам, самим проверять тот софт, что используем
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема