The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"77% из 433 тысяч изученных сайтов использую уязвимые ве..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"77% из 433 тысяч изученных сайтов использую уязвимые ве..."  +/
Сообщение от opennews on 23-Ноя-17, 13:09 
Изучив 433 тысячи сайтов, информация о которых собрана в рамках проекта HTTP Archive (http://httparchive.org/) и доступа для анализа при помощи интерфейса BigQuery (https://bigquery.cloud.google.com/), исследователи  обнаружили (https://snyk.io/blog/77-percent-of-sites-still-vulnerable/), что 77% из изученных сайтов используют как минимум одну JavaScript-библиотеку, содержащую известные уязвимости.
51.8% из этих сайтов содержат более одной уязвимости в библиотеках, а 9.2 более трёх уязвимостей.


Наиболее часто встречаются уязвимые копии библиотеки jQuery (https://snyk.io/vuln/npm:jquery), которая используется на 82.4% из всех проверенных сайтов. 92.5% из сайтов, использующих jQuery, содержат необновлённые уязвимые версии. На втором месте библиотека  jQuery UI (https://snyk.io/vuln/npm:jquery-ui), которая применяется на 19.9%  сайтов и 89.7% из используемых копий уязвимы. Далее следуют Moment.js (https://snyk.io/vuln/npm:Moment) - 73.0% уязвимых версий из всех установок данной библиотеки, AngularJS (https://snyk.io/vuln/npm:Angular) - 84.8%, Handlebars (https://snyk.io/vuln/npm:Handlebars)     - 60.7%, Mustache (https://snyk.io/vuln/npm:Mustache)     -    51.0%,
YUI 3 (https://snyk.io/vuln/npm:YUI)     - 40.3%, Knockout (https://snyk.io/vuln/npm:Knockout)    - 19.6%, React (https://snyk.io/vuln/npm:React) - 10.2%.

Обновление информации о состоянии сайтов в HTTP Archive произведено 15 октября, т.е. использованы не архивные, а актуальные данные. Данные в целом совпадают с результатами похожей проверки 323 тысяч сайтов, проведённой в марте, которая показала, что уязвимые библиотеки используются на 77.3% сайтов. При этом уязвимости в JavaScript-библиотеках в основном связаны с межсайтовым скриптингом (XSS (https://ru.wikipedia.org/wiki/%D0%9C%D0%...), Cross-site Scripting) и подстановкой контента, например, могут быть использованы для определения содержимого Cookie при открытии пользователем специально оформленной ссылки.


Также можно отметить публикацию проектом OWASP (https://www.owasp.org) (Open Web Application Security Project) очередного отчёта (https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28...), в котором  предпринята попытка классифицировать  связанные с безопасностью риски в web-приложениях и предложить рейтинг актуальных и наиболее распространённых проблем.


Как и в прошлом выпуске рейтинга, который был сформирован  в 2013  году, первое место занимают уязвимости, при которых непроверенные данные оказываются в составе исполняемых команд или запросов (SQL, NoSQL, OS, LDAP Injection). Второе место также как и прежде занимают уязвимости, связанные с некорректной работой механизмов аутентификации и проверки идентификаторов сеансов, что позволяет получить неавторизированный доступ. Занимавшие третье место в прошлом рейтинге проблемы межсайтового скриптинга (XSS) переместились на 7 место.

C шестого на третье место поднялись проблемы, приводящие к утечкам конфиденциальных данных, таких как сведения о финансовых операциях и персональные данные пользователей. Четвёртое место заняла новая категория уязвимостей, связанных с некорректной обработкой внешних ссылок в XML-документах (атака XXE (https://ru.wikipedia.org/wiki/File_(%D1%81%D1%85%D0%B5%D0%BC%D0%B0_URI)#%D0%90%D1%82%D0%B0%D0%BA%D0%B0_XXE)). На пятом месте закрепились проблемы в обработчиках списков доступа, позволяющие выполнить операции не предусмотренные текущими полномочиями.


На шестом месте проблемы, вызванные ошибками в конфигурации и выводом сведений о  настройках в тексте сообщений об ошибках. Восьмое место заняли уязвимости, вызванные ошибками в коде десериализации данных, которых в последние годы было особенно много в проектах на PHP и Java. Девятое место в рейтинге рисков безопасности для web-приложений занимают проблемы, связанные с использованием в проекте  сторонних библиотек, фреймворков и прочих компонентов, в которых имеются неисправленные уязвимости (в качестве примеров упоминается продолжение использования уязвимой версии Apache Struts после выхода обновления, что привело (https://www.opennet.ru/opennews/art.shtml?num=47198) к утечке персональных данных 44% населения США). На десятом месте находятся проблемы с ведением логов и организацией мониторинга, из-за которых факты или попытки компрометации системы могут длительное время оставаться незамеченными.

URL: https://snyk.io/blog/77-percent-of-sites-still-vulnerable/
Новость: https://www.opennet.ru/opennews/art.shtml?num=47614

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..."  +37 +/
Сообщение от Аномномномнимус on 23-Ноя-17, 13:09 
Потому что в вебе всё работает на "хоть бы прокатило" и если там хоть что-то обновить - всё развалится, ведь все эти хипстерские фреймворки забили на обратную совместимость.
И это пошло ещё дальше, во всякие руби на рельсах с их виртуальным окружением "работаем только с этой версией", в питон с его virtualenv с единственным правильным набором либ и версией питона.
И пока люди будут считать что virtualenv это фича, а не косяк от безвыходности, всё так и будет оставаться дырявым и устаревшим с момента создания (т.к. либы копируются с другого проекта, где всё-кое как работало)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..."  +2 +/
Сообщение от нах on 23-Ноя-17, 13:11 
> Потому что в вебе всё работает на "хоть бы прокатило"

почему это именно "в вебе"?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..."  +3 +/
Сообщение от Аномномномнимус on 23-Ноя-17, 13:32 
Потому что в вебе если что-то сломалось, народ узнаёт об этом в последнюю очередь, уже когда вот конкретно нужная фича умерла. Никто не матерится "Чувак, у ты чё-то поменял и у тебя проект не собирается вообще", браузеру пофиг, он как-нибудь выживет. Ну и автотесты там это из ряда "недавно случился праздник". Плюс ещё море фреймворков на фреймворках, которые тоже никогда не будут спешить обновляться
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

12. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..."  –8 +/
Сообщение от Аноним (??) on 23-Ноя-17, 14:13 
Нет совместимости, переходите на новую версию, это и есть прогресс. Если бы в жизни все было иначе, то и колеса бы наверное не было. Уже столько утилит для различных тестов, один раз написал тест, и проверяй что все не развалилось при переходе от версии к версии
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

17. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..."  +5 +/
Сообщение от Аномномномнимус on 23-Ноя-17, 15:52 
Ок, давай перенесём твой посыл в любимую тобой терминологию колёс.
Были колёса 235/65R17 для одного транспортного средства, потом какой-то умник из верхушки производителей авто решил что теперь модно 235/75R15 и все старые модели авто, а так же колёса к ним сразу перестают выпускать, а фирма год ничего не выпускает меняя оборудование, вместо того чтобы плавно переходить на новый техпроцесс. Ну и т.к. выпуском запчастей (в т.ч. колёс) к старым авто никто не занимается, все ездят на ушатанных рыдванах, на лысой резине. Те, кого больше всего доканало, громко матерясь начинают перетачивать детали от других авто где-то в гаражах.
Скажу ещё страшное: колёса от поезда не предназначены для роликовых коньков и марсоходов. А ещё в реальной жизни колёса в "старом формфакторе" продолжают поддерживаться развиваться (улучшают резину, добавляют вкрапления, подгоняют рисунок протектора и т.д.).
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

20. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..."  +6 +/
Сообщение от Аноним84701 (ok) on 23-Ноя-17, 16:11 
> Нет совместимости, переходите на новую версию, это и есть прогресс. Если бы
> в жизни все было иначе, то и колеса бы наверное не было.

Если бы в жизни было все как в вебе, то каждый месяц очередная версия колеса объявлялась бы устаревшей и немолодежной  и всем настоятельно советывали бы переходить на новую, квадратную/овальную/шести-восьми-угольную/(нужное подчеркнуть-придумать).
Потому что верх прочности, надежности (жесткий угол и постепенно увеличиваемое минимальное для транспортного средства количество колес!), а чтобы не трясло, нужно всего-то сделать специальный выемки-ямочки на дорогах и покрыть их (дороги) резиной!
При этом, после каждого обновления дорог, оказывалось бы, что ездить на колесах предыдущих версий почти невозможно, за исключением разве что классического "круглого" -- но этих пользователей высмеивали бы все кому не лень, обзывая луддитами и отказываясь воспринимать всерьез.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

21. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..."  –5 +/
Сообщение от Аноним (??) on 23-Ноя-17, 16:52 
а что в linux kernel не так?
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

31. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..."  +4 +/
Сообщение от angra (ok) on 23-Ноя-17, 22:17 
Нет. Если продолжить аналогию с колесами, то в колесе могут произойти внутренние изменения, например другой рисунок или состав резины, но новое колесо по прежнему можно поставить на старое авто.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

33. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..."  +/
Сообщение от gaga (ok) on 23-Ноя-17, 22:35 
Так, но темп не тот и есть более-менее "железная рука" (Линус, редхат, интересы Ынтерпрайза и т.д.) которые поддерживают относительный порядок в генеральной линии.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

34. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..."  +/
Сообщение от gaga (ok) on 23-Ноя-17, 22:35 
Так, но темп не тот и есть более-менее "железная рука" (Линус, редхат, интересы Ынтерпрайза и т.д.) которые поддерживают относительный порядок в генеральной линии.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

39. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..."  +/
Сообщение от Аноним (??) on 24-Ноя-17, 07:00 
> а что в linux kernel не так?

Ну, блин, поменять ядро 3.15 на 4.14 я могу. И даже ничего не сломается. А если я поменяю bootstrap 3 на bootstrap 4 - все переделывать придется нахрен. Потому что он не совместим нихрена, for teh greater good.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

56. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..."  +/
Сообщение от Аноним (??) on 25-Ноя-17, 12:55 
> Ну, блин, поменять ядро 3.15 на 4.14 я могу.

это потому, что на самом деле оно не "4.14", а 2.7.4.14 (ну, ок, может 2.8)
А при замене ядер в те времена, когда инвесторы еще не любили большие числа (сейчас даже при замене 2.6.что-то на 4ю ветку нет таких глобальных изменений), чтение Documentation/Changes вовсе не было рутинной процедурой. "поставьте make версии n+1, правда, он не ставится без апдейта libc, которая не собирается этим мэйком, иначе ведро вообще не соберете. Тут в proc изменился один файлик, и ваши procps утилиты превратились в тыкву. Здесь пересоберите ppp и все связанное с ним барахло. И мы опять сломали nfs, надеемся, вы не с него загружались."


Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

16. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..."  –2 +/
Сообщение от ввв on 23-Ноя-17, 15:45 
Ты за обновление и поддрержку всех этих тыщ сайтов готов заплатить? Нет?
Опычно платят 10 тыщ за "сайт", а дальше отвалите.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

18. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..."  +4 +/
Сообщение от Аномномномнимус on 23-Ноя-17, 15:53 
Видимо поэтому вебдевелоперам меньше платят, т.к. поддерживать всё равно не смогут, проще новых потом нанять
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

40. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..."  –1 +/
Сообщение от Аноним (??) on 24-Ноя-17, 07:03 
> Видимо поэтому вебдевелоперам меньше платят, т.к. поддерживать всё равно не смогут, проще
> новых потом нанять

Да просто на одеске и проч уже полно индусов, готовых делать все и вся за 10 баксов. И если какая-то вебмакака потребует больше, заказ уйдет смуглому чуваку из индии, который халтурит и не разбирается ни в чем точно так же как и остальные вебмакаки, но - в три раза дешевле.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

53. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..."  –2 +/
Сообщение от user455 on 24-Ноя-17, 21:03 
во-первых одеска давно нет. во-вторых индусы, которые делают за_бись и просят за_бись. как только индус понимает, что он делает круто, его не заставишь работать за 10 баксов. это правда не отменяет огромного количества исполнителей с 10-баксовыми ценами, с соответствующим качеством правда.
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

19. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..."  +/
Сообщение от Аноним (??) on 23-Ноя-17, 15:55 
> Опычно платят 10 тыщ за "сайт"

Розовые мечты вэбмакаки.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

4. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..."  +2 +/
Сообщение от Аноним (??) on 23-Ноя-17, 13:26 
> И это пошло ещё дальше, во всякие руби на рельсах

Да ладно, рубильщики никогда про обратную совместимость не слышали, так что скорее наоборот жабоскриптеры у них научились.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

29. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..."  +/
Сообщение от dep email on 23-Ноя-17, 21:31 
Причем тут виртуаленв? Просто на поддержке сайта должны работать инженеры, которые должны работать над обновлениями версий. Не стоить кого-то винить, если заказчик жлоб и всех уволил после релиза.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

47. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..."  +/
Сообщение от Аноним (??) on 24-Ноя-17, 11:59 
Если бы строители строили дома также как программисты пишут
программы, то первый залетевший дятел разрушил бы цивилизацию!!!
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..."  +1 +/
Сообщение от бивис on 23-Ноя-17, 13:11 
хмг, узнал что существует каталог методов атаки на уязвимости, который называется КАПЕЦ (CAPEC)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..."  +6 +/
Сообщение от mickvav email on 23-Ноя-17, 13:33 
Гхм, большинство уязвимостей в jQuery - это когда пользователю дают возможность запихать от имени сервера какую-нибудь бяку в вызовы самого jQuery (происходящие от имени другого пользователя). То есть уязвим не сам jQuery как таковой, а приложение, которое его криво использует. А версии в которых такие "уязвимости" устранены - это когда авторы jQuery подложили соломки таким горе-разработчикам в конкретном месте.

Но тут есть два момента -

1) Если люди не следят за содержимым переменных в jQuery, они и во всех остальных местах не следят, значит после обновления jQuery уязвимости скорее всего еще останутся.
2) Написать универсальный эксплоит под это дело крайне сложно - нужно в каждом сайте искать XSS, заточенный под эту дырку. И его может не найтись.

Так что ценность результатов этого исследования, мягко говоря, сомнительная - из попадания сайта в список не следует наличия уязвимости в сайте.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "77% из 433 тысяч изученных сайтов использую уязвимые версии ..."  –3 +/
Сообщение от нах on 23-Ноя-17, 14:37 
> Написать универсальный эксплоит под это дело крайне сложно - нужно в каждом сайте искать XSS,
> заточенный под эту дырку.

если ты уже нашел xss, тебе не должно быть очень важно, уязвима ли та версия jquery - надо просто загрузить свою ;-)

ну и в общем, да - уязвимости-то по сути ни разу не в jquery, а в кривом коде, ее использующем.
Иначе все, чего добился бы кульхакер - сломать собственную сессию.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "77% из 433 тысяч изученных сайтов используют уязвимые версии..."  +1 +/
Сообщение от тоже Аноним email(ok) on 23-Ноя-17, 13:40 
Признаться, был уверен, что во фронтенде может быть только одна уязвимость.
А именно - доверие к нему со стороны бэкенда.
Но вроде бы любой грамотный разработчик в курсе, что на бэк извне могут прийти какие угодно данные, а данные, полученные по запросу, может прочесть кто угодно...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "77% из 433 тысяч изученных сайтов используют уязвимые версии..."  +1 +/
Сообщение от Аноним84701 (ok) on 23-Ноя-17, 15:41 
> Но вроде бы любой грамотный разработчик в курсе, что на бэк извне
> могут прийти какие угодно данные, а данные, полученные по запросу, может прочесть кто угодно...

Тем не менее, частенько все получается как с коммунальными службами и ежегодным, совершенно и абсолютно-непредсказуемым, да еще и таким внезапным (сразу после осени!), наступлением зимы -- вроде бы почти готовы и даже почти подумали об этом, просто именно сейчас и здесь неудачное стечение обстоятельств и вообще, ежегодный форс-мажор!

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

22. "77% из 433 тысяч изученных сайтов используют уязвимые версии..."  +/
Сообщение от Stop on 23-Ноя-17, 16:59 
А слить твои данные на сторону заходя на сервер это не уже не уязвимость? It's school time...
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

24. "77% из 433 тысяч изученных сайтов используют уязвимые версии..."  –2 +/
Сообщение от тоже Аноним (ok) on 23-Ноя-17, 18:24 
Понимаю, растопыренными пальчиками писать неудобно.
Но я предпочел бы увидеть описание конкретного примера, а не напоминание о вашей занятости.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

32. "77% из 433 тысяч изученных сайтов используют уязвимые версии..."  +/
Сообщение от angra (ok) on 23-Ноя-17, 22:31 
Ну ты же большой мальчик, возьми и загугли XSS и CSRF или просто пройди по ссылкам на википедию в новости.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

42. "77% из 433 тысяч изученных сайтов используют уязвимые версии..."  +/
Сообщение от тоже Аноним (ok) on 24-Ноя-17, 08:11 
Я, видимо, недостаточно большой мальчик, чтобы нагуглить, как можно защититься от того и другого обновлением jQuery. Просветите, отцы и старцы!..
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

37. "77% из 433 тысяч изученных сайтов используют уязвимые версии..."  –1 +/
Сообщение от Аноним (??) on 24-Ноя-17, 05:48 
Аналогично.
Всегда можно поправить так, чтобы конкретно у тебя загрузилась модифицированная версия джиКуери.
Так такое можно назвать уязвимостью? Непонятно.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "77% из 433 тысяч изученных сайтов используют уязвимые версии..."  +3 +/
Сообщение от Аноним (??) on 23-Ноя-17, 13:52 
Странно, что только 77%, если учитывать, как делается большинство сайтов - организация заказала сайт "веб-студии", состоящей из одного выпускника месячных курсов, тот слепил сайт на жумле или друпале, засунул на шаред хостинг и - в продакшон.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "77% из 433 тысяч изученных сайтов используют уязвимые версии..."  –4 +/
Сообщение от 0x0 on 23-Ноя-17, 14:11 
А в нашу эпоху главное, что? Чтобы все участвующие чего-нибудь поимели (не исключая друг-друга))

Так вот и получается вечный куй джалізо ‒ пока горячо! :)

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

26. "77% из 433 тысяч изученных сайтов используют уязвимые версии..."  –1 +/
Сообщение от Ордоним on 23-Ноя-17, 21:11 
Сколько заплатили, столько и получили. Пилить крутой и правильный продакшон оно, конечно, круто, но кто ж за него заплатит?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

27. "77% из 433 тысяч изученных сайтов используют уязвимые версии..."  +/
Сообщение от ДевопсЛокалхостаКубернетыОпенстеки on 23-Ноя-17, 21:18 
Кто ж вас научит делать правильный прод? опять все построите на костылях и синей изоленте, неудачники.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

28. "77% из 433 тысяч изученных сайтов используют уязвимые версии..."  –1 +/
Сообщение от Аноним (??) on 23-Ноя-17, 21:26 
Да разрабы есть, но вот аналитиков нанимать не принято, между бизнесом и технарями плохая согласованность. Поэтому из гна и веток
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

10. "77% из 433 тысяч изученных сайтов используют уязвимые версии..."  +/
Сообщение от Аноним (??) on 23-Ноя-17, 14:06 
уязвимые версии еще ладно ,вы лучше вспомнити как отвалилась полинтернета после npm leftpad
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "77% из 433 тысяч изученных сайтов используют уязвимые версии..."  +/
Сообщение от animonous on 23-Ноя-17, 22:16 
Бесконтрольный апдейт с хипстерских реп - вообще зло и ц.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

38. "77% из 433 тысяч изученных сайтов используют уязвимые версии..."  +/
Сообщение от Аноним (??) on 24-Ноя-17, 05:49 
> уязвимые версии еще ладно ,вы лучше вспомнити как отвалилась полинтернета после npm
> leftpad

С вами забудеш

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

35. "77% из 433 тысяч изученных сайтов используют уязвимые версии..."  +3 +/
Сообщение от Аноним (??) on 23-Ноя-17, 22:41 
Потому что, как написано в статье https://www.opennet.ru/opennews/art.shtml?num=47596

> Наиболее часто дубликаты встречаются в коде на языке JavaScript, для которого лишь 6% файлов не совпадают (т.е. 94% файлов являются полными клонами 6% файлов)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "77% из 433 тысяч изученных сайтов используют уязвимые версии..."  –2 +/
Сообщение от Аноним (??) on 24-Ноя-17, 02:28 
Вот чёт реально не понял.. в js можно наклеить уязвимостей?? Где можно почитать подробней?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "77% из 433 тысяч изученных сайтов используют уязвимые версии..."  –1 +/
Сообщение от EuPhobos (ok) on 24-Ноя-17, 07:37 
Что значит "уязвимые JS-библиотеки"??
Если смогли что-то написать на JS, что ставит под сомнение безопасность, то значит сам JS уязвим, а не библиотеки, которые написанные на том же JS.
Бред какой-то получается.
Это как если преступник возьмёт 6-ти патронный револьвер, выстрелит из него в человека 6 раз, и попадёт только 1, а криминалисты приехав на место скажут "Хмм, тут револьвер, но он не важен, самое интересное, что в нём всё таки была одна летальная пуля, именно если бы не конкретно эта самая пуля, именно она виновата" и начнут искать кто изготовил именно эту пулю ...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

43. "77% из 433 тысяч изученных сайтов используют уязвимые версии..."  –2 +/
Сообщение от Аноним (??) on 24-Ноя-17, 10:14 
Объясните чем страшна уязвимость в клинтской библиотеке? Она же все одно на клиенте выполняется и на сервер никак не влияет?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

44. "77% из 433 тысяч изученных сайтов используют уязвимые версии..."  +/
Сообщение от Аноним (??) on 24-Ноя-17, 10:38 
> Объясните чем страшна уязвимость в клинтской библиотеке? Она же все одно на
> клиенте выполняется и на сервер никак не влияет?

Например, можно выполнить от имени пользователя действия, которые он не собирался делать. Или определить содержимое сессионной cookie и получить доступ к учётной записи.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

46. "77% из 433 тысяч изученных сайтов используют уязвимые версии..."  –1 +/
Сообщение от тоже Аноним email(ok) on 24-Ноя-17, 11:28 
Джентльмены, давайте не витать в теориях.
Предположим, что здесь, на Опеннете, используется древняя библиотека - тот же jQuery.
Каким образом это поможет абстрактному хакеру, например, отправить здесь пост от имени конкретного меня?
Не небрежный бэкенд, не левые рекламные сети с неизвестно какими скриптами, а именно древний jQuery?
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

50. "77% из 433 тысяч изученных сайтов используют уязвимые версии..."  +2 +/
Сообщение от ойой on 24-Ноя-17, 16:13 
>Предположим, что здесь, на Опеннете, используется древняя библиотека - тот же jQuery.
>Каким образом это поможет абстрактному хакеру, например, отправить здесь пост от имени конкретного меня?
>

Как вы могли заменить, у некоторых комментариев есть кнопка "развернуть".
Допустим, абстрактный хакер в комментарии написал яваскрипт, который отправляет запрос "напиши новый комментарий" на сервер. Предположим, что комментарий хакера спрятался под кнопкой "развернуть", а при нажатии на кнопку, у нас с сервера подтягивается полный комментарий, который затем вставляется вместо этой самой кнопки.
Если в нашей древней библиотеке нет "экранирования" символов, то в качестве комментария у нас на страницу вставится тот самый яваскрипт, который браузер в итоге исполнит.
Конкретно вы, залогиненный на сайте опеннета, нажимаете на кнопку "развернуть".
Профит.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

51. "77% из 433 тысяч изученных сайтов используют уязвимые версии..."  +1 +/
Сообщение от ойой on 24-Ноя-17, 16:14 
Прошу прощения, кнопка выглядит как "[показать]", а не "развернуть"
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

52. "77% из 433 тысяч изученных сайтов используют уязвимые версии..."  +1 +/
Сообщение от тоже Аноним (ok) on 24-Ноя-17, 17:08 
Какой же дурак делает экранирование - на клиенте?
То есть первый же бот, посылающий ответ без всякого браузера, сделает то же самое, как бы вы ни обновляли библиотеки?!
Ровно про это я выше и говорил - это не уязвимость фронтенда, это глупость программиста, который доверяет данным, пришедшим с фронтенда.
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

54. "77% из 433 тысяч изученных сайтов используют уязвимые версии..."  +/
Сообщение от angra (ok) on 25-Ноя-17, 00:33 
> Какой же дурак делает экранирование - на клиенте?

API, REST? Нет, не слышал.

> То есть первый же бот, посылающий ответ без всякого браузера, сделает то же самое, как бы вы ни обновляли библиотеки?!

Задаю наводящий вопрос: "И от чьего же имени сможет написать бот?".

> это глупость программиста, который доверяет данным, пришедшим с фронтенда.

Мысль о том, что и бекенду тоже не надо доверять, в голову никогда не заглядывала?

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

55. "77% из 433 тысяч изученных сайтов используют уязвимые версии..."  +/
Сообщение от тоже Аноним (ok) on 25-Ноя-17, 12:14 
И какое сколь угодно RESTFUL API требует от вас, приняв произвольный комментарий от пользователя, сохранять его в неприкосновенности, надеясь на то, что при выводе его что-то на клиенте проэкранирует? А если, не дай бог, админка наваяна на коленке и в ней забудут проэкранировать тот же комментарий и аккуратно выведут его администратору - этот дятел таки порушит всю вашу цивилизацию?
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

60. "77% из 433 тысяч изученных сайтов используют уязвимые версии..."  +/
Сообщение от Аноним (??) on 26-Ноя-17, 09:02 
Если у апологетов уязвимостей в на фронтенде закончились аргументы, то даже не смешно, люди всерьез не понимают о чем говорят. Весь отчет похоже сделали те, кто решил заработать на аудит безопасности фронтенда, дело бестолковое, но менеджерам можно продемонстрировать длинный список уязвимостей на странице их корпоративного сайта, расцветить все красным, нагнать жути и продать свои услуги.
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

48. "77% из 433 тысяч изученных сайтов используют уязвимые версии..."  +/
Сообщение от anonymous (??) on 24-Ноя-17, 13:50 
но ведь для этого нужно как то войти в клиента? как это сделать если в код на сервере ничего нового добавить не получиться?
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

45. "77% из 433 тысяч изученных сайтов используют уязвимые версии..."  +/
Сообщение от Аноним (??) on 24-Ноя-17, 10:46 
А на клиенте что, воровать нечего? Явки/пароли, например. С которыми уже идти на сервер.
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

49. "77% из 433 тысяч изученных сайтов используют уязвимые версии..."  +/
Сообщение от anonymous (??) on 24-Ноя-17, 13:56 
как зайти на клиента если ничего нового в том что лежит на сервере не добавить?
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

57. "77% из 433 тысяч изученных сайтов используют уязвимые версии..."  +/
Сообщение от Аноним (??) on 25-Ноя-17, 15:46 
Меня одного шокирует сложившая сегодня ситуация, что недостаточно образованные верстальщики за типовые сайты с кривоватой версткой и уязвимыми JS библиотеками (фреймворками) получают в разы больше чем люди закончившие профильные университеты (а то и несколько) и работающие по профессии годами с опытом в десятки лет?

Может быть уже как-то изменить данную ситуацию, а давайте закроем JavaScript и сделаем поддержку WebAssembly и поддержку в LLVM что бы самый оптимальный и качественный код мог по прежнему быть написан на годами проверенных языках?

А еще вся эта чепуха с анимацией в CSS выкинуть надо и добавить в WebAssembly (то есть все поведение в код), а стиль в CSS.

А ну и еще конечно нужен инструментарий для WebAssembly наборы компиляторов и интерпретаторов.

С точки зрения пользователей правда непонятная выгода конечно так вроде как на коленке чет понаписали и работает и ладно, а так сайты будут целыми монстрами и приложениями ...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

59. "77% из 433 тысяч изученных сайтов используют уязвимые версии..."  +/
Сообщение от Аноним (??) on 26-Ноя-17, 08:47 
Я, как и многие тут, не понимаю про опасность уязвимостей фронтенд библиотеках. Сам я бекендщик, фронтенд это всегда не доверенная среда, кто угодно может поменять дом (пользователь, аддон в броузере и т.д.), модицицироваь запрос к серверу, потому все XSS и некорректные запросы фильтруется на сервере.
Дайте кейс когда уязвимость в фроненд библиотеке может нанести хоть какой вред?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

62. "77% из 433 тысяч изученных сайтов используют уязвимые версии..."  +/
Сообщение от Аноним (??) on 26-Ноя-17, 20:22 
Атака на фронтэнд, это не атака на сервер/инфраструктуру проекта, а атака на пользователя и его данные. Например, если удастся выполнить javascript в  web-интерфейсе при его просмотре администратором (самый тривиальный случай - script injection из-за проблемы с валидацией комментариев) много чего можно натворить.

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

63. "77% из 433 тысяч изученных сайтов используют уязвимые версии..."  +/
Сообщение от Аноним (??) on 26-Ноя-17, 21:03 
Но ведь XSS всегда экранируется на сервере. Не придет ничего клиенту.
Хорошо, допустим у нас плохой сервер, он не экранирует XSS и отдает пользователям все как есть. В ответ на асинхронный запрос, некая библиотека начинает модифицировать дом и вставлять полученный результат, тут должна себя проявить уязвимость?
Но ведь, странная ситуация, у нас получается сервер которому мы не доверяем.
Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

61. "77% из 433 тысяч изученных сайтов используют уязвимые версии..."  +/
Сообщение от qwerty_qwerty1 on 26-Ноя-17, 13:32 
Дело не вот что программисты не хотят переходить на новые версии.
А дело в том что для перехода на новую версию надо переписать сайт целиком.
  
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру