Braki w bezpieczeństwie setek tys. stron internetowych. Problem dotyczy ponad 1700 polskich domen

Strona głównaBraki w bezpieczeństwie setek tys. stron internetowych. Problem dotyczy ponad 1700 polskich domen
04.09.2018 15:53
Tysiące stron internetowych nie są dostateczne zabezpieczone (depositphotos)
Tysiące stron internetowych nie są dostateczne zabezpieczone (depositphotos)

Czeski specjalista do spraw bezpieczeństwa w sieci zwraca uwagę na palący problem licznych braków w zabezpieczeniach stron internetowych. W ramach badań sprawdził, w przypadku ilu witryn zastosowane są niewłaściwe lub żadne zabezpieczenia związane z dostępem do katalogów, które z pewnością powinny być chronione. W tym przypadku chodzi o foldery systemu kontroli wersji Git, w których w praktyce mogą znajdować się pliki z poufnymi informacjami o tym, jak działają dane strony, w tym informacje o strukturze katalogów, wykorzystanych API, czy nawet hasłach do baz danych.

bEINORqt

Jak się okazuje, ponad 390 tysięcy z nich pozwalało na bezproblemowy dostęp do katalogów związanych z plikami, które powinny być widoczne tylko dla twórców danej strony. Zdecydowana większość, bo niemal połowa niebezpiecznych w tym kontekście stron wykorzystuje domenę .com, zaś na drugim miejscu znalazły się strony w domenie .top. W zestawieniu nie zabrakło domen .pl, które uplasowały się na 18 miejscu od końca (przed grupą pozostałych), ale to wciąż ponad 1700 stron z niedostatecznymi zabezpieczeniami plików źródłowych.

Domeny sprawdzone pod kątem katalogów systemu kontroli wersji Git, źródło: Lynt Services.
Domeny sprawdzone pod kątem katalogów systemu kontroli wersji Git, źródło: Lynt Services.

Warto zwrócić uwagę, ze zebrane przez badających informacje pozwoliły stworzyć także szereg innych statystyk. Niektóre z nich wydają się oczywiste, ale inne mogą stanowić ciekawostki. I tak na przykład zdecydowana większość niezabezpieczonych witryn wykorzystuje serwery HTTP Apache, najpopularniejszą dystrybucją Linuksa okazuje się tu Ubuntu, zaś systemem CMS - WordPress. Te i wiele innych zestawień w formie wykresów można znaleźć na łamach Lynt Services, gdzie opublikowano wszystkie spostrzeżenia związane z badaniami.

bEINORqv

Zebranie takiej ilości danych wymagało odpowiedniego przygotowania. Twórca przygotował skomplikowaną procedurę i ostatecznie z jej pomocą przeskanował ponad 230 milionów domen. Cały test trwał niemal 4 tygodnie, a do działania zaangażowany został wydajny sprzęt, w tym ostatecznie 18 wirtualnych i 4 fizyczne serwery. Co ciekawe, poniesiony przez autora koszt to tylko 250 dolarów. Problem nie skończył się jednak na samym zebraniu danych, bo równie kłopotliwe okazało się ich sensowne przeanalizowanie, a później przedstawienie w czytelnej formie. Użytkownicy zainteresowani metodologią testu powinny zainteresować szczegółowe wyjaśnienia, które można znaleźć u źródła.

Programy

Aktualizacje
Aktualizacje
Nowości
Udostępnij:
bEINORrr