Websecurity - Веб безпека

5 відповідей на “XSS уразливість в Drupal”

1. Sergoff каже:
   Четвер, 10:15 19.02.2009

   Ну разработчики Друпала ведь тоже ищут всякого рода уязвимости. Мое мнение, что лучше использовать платные движки. Там хоть пожаловаться продавцу. А на шаровых - фиг.

2. MustLive каже:
   Четвер, 23:58 19.02.2009

   Sergoff

   Конечно, разработчики иногда сами ищут уязвимости в своих продуктах. Но не часто и не все разработчики - что хорошо видно по количеству дыр в различных веб приложениях которые публикуются ежедневно.

   Разработчики Друпала сами часть дыр находят, но большую часть находят секюрити исследователи - как это имеет место и у других опен сорс проектов (в разных проектах по разному, но обычно большинство дыр находят именно исследователи). Это можно проследить у разных движков по свободно опубликованным эксплоитам. И обычно лишь после публикации эксплоитов, когда будут похаканы множество сайтов, девелоперы выпускают исправление.

   К сожалению многие разработчики привыкают к этому, и в основном надеятся, что им безплатно найдут дыры и самим следить за безопасностью (и вкладывать в это средства) не нужно. А некоторые изначально только так и поступают - не следят за безопасностью и исправляют дыры лишь когда им об этом сообщат. Причём подобного подхода придерживаются многие разработчики как опен сорс, так и коммерческих веб приложений.

   Мое мнение, что лучше использовать платные движки.

   Как видно из публикуемых мною дыр в веб приложениях (найденных мною и найденных другими секюрити исследователями), уязвимости имеются и в платных и бесплатных движках и веб приложениях. Безопасность приложений зависит от ответственности разработчика - а с этим имеются проблемы и у опен сорс и у коммерческих разработчиков. У коммерческих девелоперов есть больше средств для того, чтобы вкладывать в безопасность, но к сожалению и первые, и вторые любят на ней экономить.

3. Sergoff каже:
   П'ятниця, 00:01 20.02.2009

   Да это понятно. А с какой целью Вы ищете уязвимости?

4. MustLive каже:
   П'ятниця, 00:30 20.02.2009

   Там хоть пожаловаться продавцу.

   Так и есть. В случае бесплатных движков разработчик ответственности не несёт, а в случае коммерческих есть суппорт. Но ответственности тоже немного - за безопасностью следят не все и исправления могут долго выпускать. А если твой сайт похакают, то никакой ответственности данный разрабочик также не несёт.

   Да и жаловаться особо люди не жалуются. Если в случае опенсорс движка никто ничего тебе не обязан, а в случае коммерческого - люди обычно не жалуются. Знаю об этом из своего опыта - когда я находил дыры или на сайтах где я проводил секюрити аудит или во время моих ежедневных исследований безопасности Интернета.

   В данном случае речь идёт о тех владельцах сайтов, которые заказывали сайты у девелоперов (которые использовали или свои коммерческие движки или использовали опенсорсные). Речь идёт об украинских девелоперах, уровень ответственности которых ниже среднемирового. Так мало того, что эти владельцы сайтов никаких жалоб девелоперам не высказывали (и были весьма лояльными к ним), так ещё и веб девелоперы по долгу исправляли дыры на сайтах (не спеша), подвергая данные сайты риску атаки. Да ещё и часто плохо исправляли уязвимости (а эти владельцы сайтов в данном случае полностью от девелоперов зависили, т.к. не разбирались в программировании).

5. MustLive каже:
   П'ятниця, 00:38 20.02.2009

   А с какой целью Вы ищете уязвимости?

   На этот вопрос я многократно отвечал в своих интервью. Так что можешь почитать некоторые из них .

   Основные мои мотивы (которыми я руководствуюсь с начала 2006, и в некоторой мере ещё с 2005, и по сей день): проведение социального секюрити аудита, увеличение безопасности Сети и привлечение внимания веб разрабочиков и веб мастеров к данным проблемам, проведение секюрити исследований, демонстрация своих возможностей (чтобы все, кому нужно поднять безопасность своего сайта, могли обратиться ко мне за секюрити аудитом).

Leave a Reply

You must be logged in to post a comment.