А такі серйозні вразливості в хостах я зустрічав доволі частенько.

Дірки на сайтах, що дозволяють читати довільні файли, чи навіть мати повний доступ до файлової системи, мені трапляються часто. Проте в більшості випадків мені трапляються сайти, де нормально налаштовані права на сервері, що до сайтів інших аккаунтів не дістатися. Але враховуючи, що в 99% на сервері можуть бути дірки, які дозволять підняти права до рута, то вірогідність атаки на інші сайти дуже висока.

Але все-таки злом хоста це вже прогалина в безпеці

Щоб через один сайт дістатися до інших для цього потрібно мати доступ до файлової системи, що вже само по собі серйозна уразливість (для даного сайту, не кажучи вже про можливість доступу до інших сайтів на даному сервері).

І як я вже казав, при нормально налаштованому сервері (у нормального хостера) проблем для інших сайтів не буде - бо до них не зможуть добратися з похаканого сайта. Тільки до інших сайтів даного клієнта на даному сервері (але це вже будуть проблеми даного клієнта, що він через один дірявий сайт підставляє одразу всі свої сайти на даному сервері). Розміщення своїх сайтів на різних фізичних серверах допоможе уникнути даної ситуауції .

Ну погодься, що незавжди відсутність дірок захищає від злому.

Dementor

Це обов’язкова вимога. Бо якщо є дірки на сайті, то вірогідність взлому збільшується (і тим більше, чим більше дірок, особливо високого ризику).

Є ще питання соціальної інженерії та інші аспекти, що опосередковано відносяться до сайтів. Наприклад, можна змусити жертву самій розповісти свій логін і пароль від сайта - але це не відноситься до питань веб безпеки, це вже питання соціальної інженерії. Можна фізічно вломитися в серверну і забрати сервер (наприклад, як це трапилося торік) - але це вже не питання веб безпеки, а фізичної безпеки. Можна загнати адміну на компьютер вірус і дістати логіни й паролі до адмінки чи ftp - але це вже не питання веб безпеки, а локальної безпеки (на локальному компьютері).

Ми ж говоримо про веб безпеку. А до неї відносяться уразливості на сайтах та веб додатках. З чого випливає, що дірок бути не повинно . Атаки через хостінг на інші сайти трапляються - але це вже питання хостера (нажаль на вибір надійного хостера мало хто звертає увагу). Щоб права були налаштовані й всі патчі на сервері поставлені, тоді взлом одного сайта не вплине на інші сайти.

Про різні Information Leakage уразливостей я писав чимало. Зокрема я зробив 4 статті про витік інформації про версію системи (і з часом зроблю нові статті). В тому числі в другій статті з даної серії я описав і дану уразливість в Drupal.

Одне діло якщо у людей на сайті власний движок, який ніде більше не використовується, то можна і розмістити на сайті версію движка. Інша справа коли у людей на сайті популярний движок (що опенсорсний, що закритий) - тут вже небезпечно повідомляти про його версію. Але в будь-якому разі не треба мати дірок на сайті , тоді його не взломають (незалежно від виведення версії движка).