The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."  +/
Сообщение от opennews (??) on 20-Июн-13, 11:41 
Компания Checkmarx  провела (http://www.checkmarx.com/2013/06/18/security-of-wordpress-to.../) анализ (PDF (http://www.checkmarx.com/wp-content/uploads/2013/06/The-Secu...), 600 Кб) безопасности 50 наиболее популярных плагинов к ориентированной на создание блогов системе управления web-контентом WordPress. Итоги оказались плачевными - 12 плагинов из 50 (24%) оказались уязвимыми к типичным атакам на web-приложения, таким как подстановка SQL-кода, доступ к файлам в вышестоящим директориям (например через указание "../" в пути), межсайтовый скриптинг (XSS) и подделка межсайтовых запросов (CSRF).


При сужении выборки до 10 самых популярных плагинов, связанных с электронной коммерцией, уязвимости были выявлены в 7 (70%). С учётом того, что  WordPress используется для обеспечения работы приблизительно 60 млн сайтов в сети, что составляет примерно 18% от числа всех сайтов в Web, проблема принимает угрожающий характер. Точные данные по числу сайтов использующих те или иные плагины не приводится, но известно, что в сумме было загружено 8 млн копий уязвимых плагинов (1.7  млн если рассматривать только плагины  для электронной коммерции).


По мнению  Checkmarx столь внушительное распространение уязвимых плагинов объясняется беспечностью администраторов сайтов, не пытающихся убедиться в том что плагин безопасен и уверенных, что загружая плагин из достоверного источника они получают безопасный код. С другой стороны распространению уязвимостей способствует отсутствие должного тестирования плагинов на наличие проблем с безопасностью и отсутствие стандартов на проверку приложений, предоставляемых для запуска в PaaS-сервисах или загрузки из каталога  WordPress.org.


Примечательно, что проведённое в январе аналогичное исследование выявило 18 уязвимых плагинов для которых зафиксировано 18.5 млн загрузок, а повторная проверка, выполненная спустя 6 месяцев, показала, что уязвимости по прежнему сохраняются в 12 из них. Таким образом только в 6 плагинах уязвимости были устранены в течение 6 месяцев, несмотря на то, что функциональные обновления за указанный период были выпущены для всех плагинов. В качестве возможной меры по исправлению ситуации с безопасностью плагинов предлагается ужесточить критерии приёма плагинов в каталог WordPress.org, допуская размещение только плагинов прошедших проверку безопасности кода.


URL: http://www.eweek.com/security/popular-wordpress-plugins-vuln.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=37227

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."  +1 +/
Сообщение от Аноним (??) on 20-Июн-13, 11:41 
Кто бы ownCloud проверил на уязвимости...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."  +/
Сообщение от Аноним (??) on 20-Июн-13, 11:53 
ownCloud же не выставляют в общий доступ.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."  +/
Сообщение от Andrey Mitrofanov on 20-Июн-13, 11:54 
> ownCloud же не выставляют в общий доступ.

А не на них запускают "произвольные" сервисы?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."  +/
Сообщение от Аноним (??) on 20-Июн-13, 13:39 
но в интернет то выставляется, а значит может быть атакован
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."  +/
Сообщение от анон on 20-Июн-13, 12:27 
php?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."  +7 +/
Сообщение от Xasd (ok) on 20-Июн-13, 12:45 
PHP -- это не причина -- а возможное следствие. :)

а причина -- кривые руки. :)

[суть: не все PHP-программисты криворукие.. но зачустую кривизна рук заставляет использовать именно PHP :)]

такие же криворукие -- и да же вообще без серверного кода (без PHP) -- делают ошибки на ровном месте (XSS) , а потом не хотят призновать что в их коде есть XSS, даже когда на строчку с XSS показывают пальцем.

вот очередной пример криворукости: на этот раз облажался (и до сох пор лажает) автор популярнейшего компонента -- fancyBox:

http://fancyapps-fancybox-escaping-bugfix.github.io/demo/dem...

https://github.com/fancyapps/fancyBox/issues/615

автор компонента fancyBox -- думает что если он пишет код на Javascript (а не на PHP), то значит Javascript освобождает автора от обязанности экранировать значения HTML-атрибутов в случаях когда происходит формирование HTML-кода напрямую из текста (а не через Document Object Model).

бывают же идиоты которые вдолбили себе в голову что XSS это сугубо серверная ошибка -- и не хотят даже пару раз поразмыслить головой.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

16. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."  +/
Сообщение от Нанобот on 20-Июн-13, 15:11 
дык, естественно
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."  +/
Сообщение от blablabla (ok) on 20-Июн-13, 13:02 
Ну а что тут удивительного
Бот сети то надо же как то пополнять
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."  –1 +/
Сообщение от Alexander email(??) on 20-Июн-13, 13:11 
Сам WordPress - это одна большая уязвимость.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."  +4 +/
Сообщение от Xasd (ok) on 20-Июн-13, 13:18 
> Сам WordPress - это одна большая уязвимость.

разве?

в новости же говорится лишь про плугины к нему.

аналогия:

если Firefox обвешать говнорасширениями -- то он станет тупить и тормозить...

...но это же НЕ значит что Firefox это тупая и тормознутая программа :) .

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "В 12 из 50 самых популярных плагинов к WordPress..."  +/
Сообщение от arisu (ok) on 20-Июн-13, 13:42 
> Компания Checkmarx провела анализ безопасности 50 наиболее популярных плагинов
> к ориентированной на создание блогов системе управления web-контентом WordPress.

…в результате исследователи поразбивали лица фэйспалмами и смогли хором произнести только одно слово: «пи…ец!»

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "В 12 из 50 самых популярных плагинов к WordPress..."  +/
Сообщение от 80е on 20-Июн-13, 19:00 
Пока что это «исследование» есть песня ртом.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

11. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."  +/
Сообщение от lucentcode (ok) on 20-Июн-13, 13:43 
А чего вы ожидали от плагинов, написанных к одному из самых дырявых движков в Сети. Сама архитектура Wordpress крайне уродлива, и способствует написанию быдлокода. Добавьте к этому ещё и низкий профессиональный уровень многих людей, которые пишут расширения для этого движка - и всё становится ясно. Кто хочет надёжности, тому нужен Drupal(правда прийдётся разориться на хостинг).
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."  +/
Сообщение от emg81 (ok) on 20-Июн-13, 14:18 
"разориться"? :-D
ну, наверное, если посещаемость свыше 10000 чел / день, то да, а на скромные сайты из нескольких десятков анонимусов можно по 20-50 коп. в день тратить
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."  –1 +/
Сообщение от бедный буратино (ok) on 20-Июн-13, 14:20 
- Изобразите нам что-нибудь эротическое, но с крутым обломом в конце?
- А-а-а-а-а-....апчхи!!!
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."  +/
Сообщение от Аноним (??) on 20-Июн-13, 14:20 
Чему тут удивляться? Да весь интернет слеплен из гoвна и палок.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."  +3 +/
Сообщение от бедный буратино (ok) on 20-Июн-13, 14:28 
и анонимов. важное связующее звено
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

25. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."  +/
Сообщение от Crazy Alex (ok) on 20-Июн-13, 19:49 
Я бы сказал, что анонимы являются подвидом одной из двух указанных категорий. Блин, неужели так сложно ник зарегистрировать? Хрен поймешь даже, сколько анонимов в беседе участвуют, а уж кому отвечаешь - и подавно.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

26. "В 12 из 50 самых популярных плагинов к WordPress..."  +1 +/
Сообщение от arisu (ok) on 20-Июн-13, 21:25 
да ну. хороший анонимус от другого хорошего анонимуса отличается. а если не отличаются, то без разницы, сколько дураков в стопке.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

28. "В 12 из 50 самых популярных плагинов к WordPress..."  +2 +/
Сообщение от Аноним (??) on 21-Июн-13, 01:41 
Конечно! Важно сколько в ней зарегистрированных дураков!
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

31. "В 12 из 50 самых популярных плагинов к WordPress..."  +/
Сообщение от Аноним (??) on 21-Июн-13, 12:19 
> Конечно! Важно сколько в ней зарегистрированных дураков!

И арису с буратиной возглавляют колонну этих самых особей :))))))))))))))))))))

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

32. "В 12 из 50 самых популярных плагинов к WordPress..."  +/
Сообщение от бедный буратино (ok) on 21-Июн-13, 12:40 
>> Конечно! Важно сколько в ней зарегистрированных дураков!
> И арису с буратиной возглавляют колонну этих самых особей :))))))))))))))))))))

Смотрю, буратино уже вышел из-под контроля.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

17. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."  +/
Сообщение от Нанобот on 20-Июн-13, 15:17 
в самом отчёте пишут "Checkmarx ran an automated static code analysis scan against the most popular plugins".

иными словами, у них есть некий софт для автоматического поиска багов, только делиться они им не хотят. вместо этого предлагают всякие бесполезные в реальном мире решения, вроде "ужесточить критерии приёма плагинов"

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "В 12 из 50 самых популярных плагинов к WordPress..."  +/
Сообщение от arisu (ok) on 20-Июн-13, 15:46 
они предлагают нормальные решения. невозможно при помощи автоматики решить проблему кизза в голове.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."  +/
Сообщение от YetAnotherOnanym (ok) on 20-Июн-13, 16:30 
Нешто на их средствах для аудита свет клином сошёлся? Google://automated source code audit tools
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

23. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."  +/
Сообщение от 80е on 20-Июн-13, 19:03 
> в самом отчёте пишут "Checkmarx ran an automated static code analysis scan
> against the most popular plugins".
> иными словами, у них есть некий софт для автоматического поиска багов, только
> делиться они им не хотят. вместо этого предлагают всякие бесполезные в
> реальном мире решения, вроде "ужесточить критерии приёма плагинов"

иными словами, их «code analysis scan» может оказаться false positive и к определению уязвимостей отношения не иметь.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

24. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."  +/
Сообщение от Andrey Mitrofanov on 20-Июн-13, 19:45 
> иными словами, их «code analysis scan» может оказаться false positive и к
> определению уязвимостей отношения не иметь.

простыми словами, разговоры в пользу бедных продавцов неоткры^Wзакрытого как обычно оказываются маркетинговым булшитом

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

27. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."  +/
Сообщение от 80е on 20-Июн-13, 22:28 
> простыми словами, разговоры в пользу бедных продавцов
> неоткры^Wзакрытого как обычно оказываются маркетинговым булшитом

Как минимум, купить этот товар Checkmarx предлагает.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

30. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."  +/
Сообщение от Andrey Mitrofanov on 21-Июн-13, 12:07 
>> как обычно оказываются маркетинговым булшитом
> Как минимум, купить этот товар Checkmarx предлагает.

""маркетинговым булшитом с целью развода не деньги""

Принимается!

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

20. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."  +/
Сообщение от Sylvia (ok) on 20-Июн-13, 17:26 
список (в надежде авторов на исправление ) открыто не оглашают? а жаль, я вот думаю что быстро не исправятся, даже сами вордпрессы не чешутся совсем с исправлением CVE-2013-2173 (DDOS на защищенные паролем блоги), надо бы им "задать амплитуду"
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "В 12 из 50 самых популярных плагинов к WordPress выявлены уя..."  +/
Сообщение от Аноним (??) on 21-Июн-13, 10:38 
вот и приходится нам, админам, самим проверять тот софт, что используем
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру