Сучасний стан з паролями на сайтах

22:46 18.07.2012

Ситуація з паролями на веб сайтах я досліджую багато років, зокрема в рамках комерційних робіт (аудитів та пентестів) та під час соціального секюріті аудиту, коли мені на очі потрапляють логіни і паролі користувачів. І серед них чимало трапляється слабких паролів.

Про те, що використання простих паролів є дуже поширеним, я вже писав. Але сучасний стан з паролями на сайтах відзначається не тільки цим явищем, а іще однією особливістю. Користувачі нерідко використовують пароль ідентичний логіну: він може бути простий, або складний, але логін і пароль співпадають. З такими випадками я стикався дуже часто - майже під час кожного комерційного аудиту чи пентесту (де вдалося отримати доступ до паролів) обов’язково знаходився акаунт, де логін і пароль однакові (в тому числі були такі випадки під час мого останнього аудиту).

Від загальної кількості акаунтів таких облікових записів може бути небагато, але тим не менш вони є. Наприклад, в БД користувачів solor.da-kyiv.gov.ua, таких акаунтів було 4 (де логін співпадав з паролем). Це 7,14% від загальної кількості акаунтів, а якщо прибрати акаунти дублікати, то вийде 7,84% від загальної кількості.

І такі акаунти можуть бути легко скомпрометовані. Й навіть якщо це не адмінській акаунт, то з нього можна буде дістатися до адмінського акаунта використовуючи внутрішні уразливості (тобто це полегшує атаку на сайт). Але неодноразово доводилося знаходити і сайти, де адмінські акаунти мали однакові логін і пароль.

Я давно звертаю увагу на уразливості, що дозволяють дізнаватися логіни - Information Leakage та Abuse of Functionality (Login Enumeration). В статті Виявлення логінів через Abuse of Functionality уразливості я писав на цю тему. За останні 5 років я приводив багато таких уразливостей в WordPress, Drupal та багатьох інших CMS і форумних движках, а також на багатьох сайтах. Найбільше такі дірки поширені серед форумних движків і всі розробники таких движків ігнорують їх, лише розробник IPB в 2009 році, після мого повідомлення, виправив всі такі уразливості в новій версії движка IPB 3.0.

І саме по цій причині, що паролі можуть співпадати з логінами, в останні роки я використовую цей приклад як аргумент, щоб веб розробники виправляли дані уразливості в своїх системах. Але вони це роблять дуже рідко, переважно забиваючи на такі уразливості. Тому уразливості, що призводять до витоків логінів, можуть призвести до серйозних наслідків.


Одна відповідь на “Сучасний стан з паролями на сайтах”

  1. MustLive каже:

    You can read this article on English in The Web Security Mailing List: Current state with passwords on web sites.

Leave a Reply

You must be logged in to post a comment.