• Главная
  • Блог
  • Как выбрать CMS для сайта или веб-уязвимости.
    Невероятное — очевидно

Статьи


  • 19 июля 2016

    Все любят смотреть видео в интернете

    Видео становится лидирующим контентом в интернете. Потребителей уже не желают читать длинные рекламные тексты о товарах и услугах. На смену приходит видео.

  • 15 августа 2014

    Голы любят учёт

    Люди интересовались спортом всегда. От соревнований на меткость на мамонтовом сафари и состязаний голых мужиков на древних Олимпийских играх до хоккейных турниров на призы президента и беготни с мячом в соседнем дворе по вечерам.

  • 30 июня 2014

    Наш новый успех

    Ежегодно наша компания работает над разработкой сайтов, их оптимизацией и продвижением. Наша основная задача – удовлетворить все пожелания и требования клиента для того, чтобы он остался доволен. Недавно мы в очередной раз убедились, что способны справиться с поставленной задачей.

  • 09 июня 2014

    Тренды в SEO: 14 ключевых факторов ранжирования от Abiatec

    Сезон бесплатных летних семинаров от Abiatec считаем открытым! 4 июня участники встречи вместе с руководителем отдела продвижения Игорем Ереньковым выяснили, что необходимо современному сайту для достижения высоких позиций в поиске.

  • 06 мая 2014

    Семинар по интернет-маркетингу от компании ABIATEC (видео)

    15 марта, на бесплатном семинаре по интернет маркетингу от компании Abiatec, Александр Самойлов рассказал: что нужно знать, чтобы создать современный сайт, как выбрать цели и научиться правильно оценивать результат.

  • 21 марта 2014

    SEO на пути к переменам

    В роли ведущего выступил Александр Самойлов, который коротко рассказал о том, что происходило на первом бесплатном семинаре, в котором обсуждались эффективные способы создания корпоративных сайтов и интернет-магазинов.
    Далее Александр передал слово руководителю отдела продвижения компании Abiatec Игорю Еренькову, который в течение двух часов делился с собравшимися участниками полезной информацией.

  • 20 декабря 2013

    Компания Абиатек поздравляет всех с наступающим Рождеством и Новым годом!

    Сотрудникам, клиентам, партнерам и вообще всем друзьям компании мы желаем неиссякаемого вдохновения и безграничной целеустремленности, оригинальных идей и настойчивости в их реализации. Только интересных и прибыльных дел вам и приятных новостей со всех фронтов!

  • 23 июля 2013

    Оформление "Корзины" интернет-магазина или как не потерять покупателей

    Ответьте себе на простой вопрос: что объединяет все интернет-магазины? Правильно, они продают товары или услуги. Делают они это одинаково, только оформление сайтов и подача информации отличаются. Многие владельцы сайтов забывают, что правильное оформление «Корзины» – это залог роста продаж и успеха компании.

  • 22 июля 2013

    UХ дизайн. Пойми, как покупают, и продашь

    Выступление Александра Самойлова на конференции "Деловой интернет-2013. Витебск". 30 минут очень полезного видео о том, как правильно спроектировать на сайте взаимодействия с пользователем.

  • 23 мая 2013

    Технический анализ и аудит юзабилити web-ресурса, или Сказка о том, как Сайт полное «медицинское» обследование проходил

    Технический анализ и аудит юзабилити web-ресурса, или Сказка о том, как Сайт полное «медицинское» обследование проходил.

Как выбрать CMS для сайта или веб-уязвимости.
Невероятное — очевидно

В ходе тестирования на проникновение, аудита безопасности и других работ, выполненных экспертами Positive Technologies в 2010 и 2011 годах, собралась статистика по защищенности более сотни корпоративных веб-приложений. Именно приложений, а не сайтов-визиток. Сайты электронного правительства, системы интернет-банкинга, порталы самообслуживания сотовых операторов — вот далеко не полный список объектов исследования.

Анализ результатов работ помог нам найти ответы на извечные вопросы ИБ:

  • сколько сайтов заражено «зловредами»?
  • какая CMS безопасней — коммерческая, OpenSource, или проще разработать самому?
  • что безопасней — Java, PHP или ASP.NET?
  • выполнить требования стандарта PCI DSS– миф или реальность?

Ответы на некоторые из этих вопросов нас, признаться, удивили. Подробности — под катом.

Потенциально опасны?

Да! Мы нашли уязвимости во всех проверяемых нами веб-приложениях, при этом две трети ресурсов содержали критические уязвимости. На графике — топ-10 уязвимостей с указанием долей уязвимых сайтов.

Кого пожрали вредители

10% сайтов оказались заражены «зловредами». Какие уязвимости этому способствовали? Подозрение падает в первую очередь на выполнение команд ОС, а также на внедрение SQL-кода и некорректные разрешения файловой системы. Инфицированные сайты гораздо чаще содержат эти уязвимости. Для уязвимости «Выполнение команд ОС» разница весьма заметна: почти все зараженные сайты (92%) были уязвимы — в отличие от сайтов без вредоносного кода (21%). В итоге каждый третий сайт с этой уязвимостью оказался заражен вредоносным кодом.

CMS: стоит ли платить за безопасность?

Всем давно хотелось узнать, можно ли использовать CMS с открытым кодом и не стоит ли раскошелиться на коммерческую? или даже разработать самостоятельно? Наше исследование показало, что сайты, построенные на системах собственной разработки, содержат большее количество критических и других распространенных уязвимостей, чем сайты на коммерческих и свободных системах. Плюсом их оказалась, как ни странно, защищенность от малвари: несмотря на множество уязвимостей, они менее подвержены «случайному» взлому в рамках массовой атаки с использованием автоматизированных средств, поскольку никто не возьмется писать эксплойт в надежде «наткнуться» на вашу CMS. Для открытых систем это стало большой проблемой: почти четверть оказались заражены.

Итак, CMS собственной разработки напоминают старое решето и плетутся в хвосте. А что же коммерческие и open-source? Рассматривая самые распространенные и самые опасные уязвимости, приходим к выводу, что различия не так уж и велики. Каждая группа лидирует в своем наборе уязвимостей. Например, уязвимыми для внедрения SQL-кода чаще оказываются коммерческие CMS. Но если вы уверены, что попытки внедрения SQL-кода вам не страшны, — выбирайте коммерческие CMS (у них первое место по защищенности в общем зачете). Выполнение команд ОС, межсайтовое выполнение сценариев (XSS) и внедрение нулевого байта — удел свободных систем. А по уровню устойчивости к обходу каталога и межсайтовой подмене запросов (CSRF) — здесь боевая ничья. Критическая уязвимость «Удаленное включение файлов» была выявлена исключительно на ресурсах с CMS собственной разработки. Ниже представлен график распределения уязвимостей по уровням риска на сайтах с различными типами CMS.

Зрим в корень

Известно, что «дырявость» сайта определяется еще в момент выбора языка. Различия в этом смысле потрясающие: системы на PHP в 81% случаев содержат критические уязвимости, на Java — в 59% случаев, а на ASP.NET — только в 26%.

Кто чего боится? Ресурсов на ASP.NET, уязвимых для обхода каталога, не оказалось вообще! Для выполнения команд ОС были уязвимы только 4%. А вот межсайтовому выполнению сценариев почти в два раза реже прочих подвержены сайты на Java. С небольшим отрывом Java выигрывает у ASP.NET и в чемпионате по защищенности от внедрения SQL-кода, а PHP грустно машет им ручкой (61% уязвимых сайтов — доля почти в три раза выше, чем у конкурентов). Та же история с CSRF: сайты на PHP уязвимы в два раза чаще. Ну а внедрению нулевого байта оказались подвержены и вовсе одни только PHP-сайты.

Куда текут деньги по проводам

Рассмотрев веб-ресурсы финансового сектора, мы пришли к выводу, что ситуация весьма удручающая. Только в 10% случаев владельцам удалось выполнить требования PCI DSS к защите веб-приложений. Хорошо хоть, что переполнения буфера никто не допустил. А вот некорректная обработка ошибок характерна для 76% (!) приложений.

В то же время анализ систем дистанционного банковского обслуживания показал, что в них устранены практически все критические уязвимости. Только 1% уязвимостей ДБО связан с высоким уровнем риска.

Удобство CMS X3M

Основываясь на вышеперечисленных доводах, следует выделить CMS- X3M, как наиболее приемлемую и хорошо себя зарекомендовавшую систему для ведения бизнеса в интернете. Данная CMS учитывает все вышеперечисленные факторы уязвимости и безопасности и создана специально для решения коммерческих задач в интернете. Подробнее ознакомиться со всеми преимуществами системы управления сайтом X3M вы сможете на официальном сайте разработчика.

Система управления сайтом X3M.CMS предназначена для создания интернет-проектов любой сложности. В основу административной части системы положен принцип асинхронного взаимодействия с пользователем (AJAX), X3M.CMS работает в браузере как обычное desktop приложение. Используя данный принцип, пользователи быстро привыкают к простому интерфейсу системы. Кроме того, значительно увеличивается скорость работы с сайтом. Таким образом система не требует каких либо специальных навыков от конечного пользователя — необходимым минимумом знаний может является программный пакет Microsoft Office и работа с «Проводником Windows».

| More

Добавить комментарии

  • Заголовок:

  • Ваше имя:

Сообщение:

Отправить

Abiatec© 2006—2016.

Разработка сайта: OДО «Центр информационных технологий «Биконсалт»  УНП 190804719


Узнать стоимость создания сайта.

Электронная почта: info@abiatec.com

info.abiatec   

Twitter Twitter

Офис в Минске:

Республика Беларусь, г. Минск

пер. Чайковского 3-3 (2 этаж)

  • +375 17 287-39-90
  • +375 17 285-70-54
  • +375 29 144-99-22
  • +375 29 609-22-22

Техподдержка:

  • +375 17 380-13-22
  • +375 29 339-22-22

Офис в Москве:

Российская Федерация, г. Москва

ул. Годовикова, д. 9, стр. 3