Braki w bezpieczeństwie setek tys. stron internetowych. Problem dotyczy ponad 1700 polskich domen

Braki w bezpieczeństwie setek tys. stron internetowych. Problem dotyczy ponad 1700 polskich domen

Tysiące stron internetowych nie są dostateczne zabezpieczone (depositphotos)
Tysiące stron internetowych nie są dostateczne zabezpieczone (depositphotos)
Oskar Ziomek
04.09.2018 15:53

Czeski specjalista do spraw bezpieczeństwa w sieci zwraca uwagę na palący problem licznych braków w zabezpieczeniach stron internetowych. W ramach badań sprawdził, w przypadku ilu witryn zastosowane są niewłaściwe lub żadne zabezpieczenia związane z dostępem do katalogów, które z pewnością powinny być chronione. W tym przypadku chodzi o foldery systemu kontroli wersji Git, w których w praktyce mogą znajdować się pliki z poufnymi informacjami o tym, jak działają dane strony, w tym informacje o strukturze katalogów, wykorzystanych API, czy nawet hasłach do baz danych.

Jak się okazuje, ponad 390 tysięcy z nich pozwalało na bezproblemowy dostęp do katalogów związanych z plikami, które powinny być widoczne tylko dla twórców danej strony. Zdecydowana większość, bo niemal połowa niebezpiecznych w tym kontekście stron wykorzystuje domenę .com, zaś na drugim miejscu znalazły się strony w domenie .top. W zestawieniu nie zabrakło domen .pl, które uplasowały się na 18 miejscu od końca (przed grupą pozostałych), ale to wciąż ponad 1700 stron z niedostatecznymi zabezpieczeniami plików źródłowych.

Domeny sprawdzone pod kątem katalogów systemu kontroli wersji Git, źródło: Lynt Services.
Domeny sprawdzone pod kątem katalogów systemu kontroli wersji Git, źródło: Lynt Services.

Warto zwrócić uwagę, ze zebrane przez badających informacje pozwoliły stworzyć także szereg innych statystyk. Niektóre z nich wydają się oczywiste, ale inne mogą stanowić ciekawostki. I tak na przykład zdecydowana większość niezabezpieczonych witryn wykorzystuje serwery HTTP Apache, najpopularniejszą dystrybucją Linuksa okazuje się tu Ubuntu, zaś systemem CMS - WordPress. Te i wiele innych zestawień w formie wykresów można znaleźć na łamach Lynt Services, gdzie opublikowano wszystkie spostrzeżenia związane z badaniami.

Zebranie takiej ilości danych wymagało odpowiedniego przygotowania. Twórca przygotował skomplikowaną procedurę i ostatecznie z jej pomocą przeskanował ponad 230 milionów domen. Cały test trwał niemal 4 tygodnie, a do działania zaangażowany został wydajny sprzęt, w tym ostatecznie 18 wirtualnych i 4 fizyczne serwery. Co ciekawe, poniesiony przez autora koszt to tylko 250 dolarów. Problem nie skończył się jednak na samym zebraniu danych, bo równie kłopotliwe okazało się ich sensowne przeanalizowanie, a później przedstawienie w czytelnej formie. Użytkownicy zainteresowani metodologią testu powinny zainteresować szczegółowe wyjaśnienia, które można znaleźć u źródła.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (26)