Разработанные фрилансерами сайты подвержены серьезным уязвимостям
Вебсайты, которые были разработаны неизвестными создателями, которые не имеют портфолио и положительных отзывов, обычно располагают широким набором различных уязвимостей. К данному мнению пришли эксперты из Tripwire по завершению экспертизы.
По итогам расследования эксперты от имени заказчика, который не обладает достаточными умениями, произвели найм двадцати создателей вебсайтов. Цена оказаннного ими сервиса не была выше двухста пятидесяти долларов. От создателей сайтов было необходимо предоставление исходников вебсайта с нужными функциями. На создание данного сайта давалось чуть больше недели. Из семнадцати десять проектов были закончены. В процессе проведенной инспекции выяснилось, что все они в разном количестве содержат различные по критичности баги.
Конкретнее, на всех вебсайтах не было защиты документации от гостевого доступа или инфицирования бекдорами, которые дают возможность контролировать вебсайт. Часть вебсайтов давала возможность обхода логина при помощи инжектирования SQL, пятьдесять процентов вебсайтов также имели инъекцию в других местах системы, при помощи которой киберпреступники имели доступ к базе данных и к модификации каких-либо данных.
Это было неожиданностью, что абсолютно на всех сайтах есть эксплуатируемые баги, говорит Крейг Янг, представитель Tripwire. Во время инспекции исходных кодов эксперты пришли к заключению, что фрилансеры имеют проблемы в коммуникации приложений и с различными методиками. Если бы это был реальный проект для бизнеса, то он был бы вне бюджета и не подходил бы вовремя под дедлайн. Кроме этого, заказывающий эти системы человек мог быть с различными уязвимостями в системе. Реально нельзя говорить о каких-либо защитах пока есть возможность такой разработки вебсайтов.
При цене в двести пятьдесят долларов за вебсайт можно не удивляться, что подобное программное обеспечение насквозь уязвимое и создавалось студентами, которые только начали разрабатывать сайты. Но даже создание сайта у раскрученной студии не дает гарантий того, что этот вебсайт будет абсолютно без уязвимостей. Скорее всего там будут уязвимости, а если CMS была разработана «под ключ», то уязвимости там будут сто процентов.
Материалы партнеров:
Читайте другие новости:
Читайте также