Новый инструмент web-аудита выявил, что большинство сайтов не уделяют внимание безопасности

Аватар пользователя VVS VVS 30 июля 2010 в 17:21

Компания Qualys, специализирующаяся на безопасности, выпустила Open Source приложение Blind Elephant (Слепой Слон) главное назначение которого - анализ уязвимостей в веб-приложениях. Одной из основных проблем, которую призвана решить утилита, это точное определение установленных web-приложений и их версий, что порой сделать самому достаточно затруднительно.

С помощью Blind Elephant было проанализировано более миллиона веб-сайтов, и была собрана следующая статистика по уязвимостям:

* уязвимы 91% сайтов с blog-движком Movable Type;
* уязвимы 92% сайтов с CMS Joomla!;
* уязвимы 95% сайтов с CMS MediaWiki;
* уязвимы 85% сайтов с веб-приложением PHPMyAdmin для управления СУБД MySQL;
* уязвимы 74% сайтов с CMS Moodle;
* уязвимы 70% сайтов с CMS Drupal;
* уязвимы 65% сайтов с SPIP;

Самым небезопасным приложением в статистике оказался форумный движок phpBB - уязвимости были обнаружены на всех исследованных сайтах. Самым безопасным оказался движок для блогов WordPress - уязвимости были найдены только на 4% инсталляций.

Принцип работы Blind Elephant заключается не в поиске уязвимостей как таковых, а подсчёте HASH (контрольных) сумм файлов, установленных на веб-сервере, и сравнение их с базой уже известных файлов.

Копипаст отсюда.

p.s. Что скажете? Smile
Кажется, определение установленного движка не является показателем уязвимости.

Комментарии

Аватар пользователя theСанитар theСанитар 30 июля 2010 в 18:52

Чорт, мне все же запредельно интересно, как они считали хэш для файла /index.php друпальского сайта Wink

Аватар пользователя Ветер Ветер 30 июля 2010 в 19:00

"VVS" wrote:
приложение Blind Elephant (Слепой Слон) главное назначение которого - анализ уязвимостей в веб-приложениях.

и в конце

"VVS" wrote:
Принцип работы Blind Elephant заключается не в поиске уязвимостей как таковых, а подсчёте HASH (контрольных) сумм файлов, установленных на веб-сервере, и сравнение их с базой уже известных файлов.

Какая то очередная пустышка для впаривания чего то.

Аватар пользователя Dеmimurych Dеmimurych 2 декабря 2012 в 14:57

Забавный анализ.
Одна из самых дырявых CMS WordPress оказалась у них самой надежной.