Web-сайты, которые создаются руками «бюджетных» разработчиков без портфолио или рекомендаций, как правило, подвержены серьезным уязвимостям. К такому выводу по итогам проведенного исследования пришли эксперты из компании Tripwire.
Под видом заказчика, который не слишком хорошо разбирается в технических деталях, исследователи наняли для создания сайта порядка 20 разработчиков. Стоимость их услуг не превышала $250. От разработчиков требовалось предоставить исходный код сайта с определенным функционалом. На разработку проекта предоставлялось 9 дней. Из 17 заказанных проектов 10 были завершены. По результатам анализа эксперты выяснили, что все они в той или иной мере содержат уязвимости.
В частности, на всех ресурсах отсутствовала какая-либо защита документов от неавторизованного доступа или внедрения бэкдоров, позволяющих получить контроль над сайтом; несколько сайтов позволяли обойти авторизацию путем внедрения SQL-кода, 50% ресурсов содержали уязвимости, позволяющие внедрение SQL-кода, с помощью которых хакеры могли бы модифицировать контент сайта, получить доступ к базам данных или серверу БД.
«Для нас не стало сюрпризом, что все сайты оказались уязвимыми. В течение всего процесса мы сталкивались с проблемами коммуникации и сомнительными практиками. Если бы это был настоящий бизнес-проект, он бы вышел за рамки бюджета и конечных сроков. Более того, заказчик остался бы с незащищенным web-сайтом. Мы не можем реально рассчитывать на снижение числа утечек данных, если сайты не разрабатываются с учетом базовой защиты», – подчеркнул ведущий исследователь Tripwire Крейг Янг (Craig Young).
Что ж, такой эксперимент заставляет задуматься о последствиях неразборчивости в исполнителях, которая со временем может привести к компрометации ресурса и утечке данных. Что особенно печально, если речь идет о коммерции, а так же личных данных регистрирующихся на таком сайте пользователей.
Источник http://www.securitylab.ru/
