Poniżej znajdziesz raport z bezpieczeństwa największych polskich hostingów oraz najniebezpieczniejsze luki.
Jak wiadomo bowiem, poziom informatyzacji naszego kraju należy do najniższych w Unii Europejskiej. Dzięki takim kampaniom jakie realizuje Home czy Nazwa przeciętny Kowalski może dowiedzieć się, iż posiadanie własnej strony WWW jest w jego zasięgu. Na reklamach widzi serwery za 0zł, domeny za 0 zł, kreatory stron WWW gratis! ...i kupuje tego kota w worku. Nie wie, że to, co jest w środku, to usługa na najniższym poziomie opakowana w piękny marketingowy bełkot. Można się o tym przekonać na wiele sposobów. Jednym z nich są niezależne testy bezpieczeństwa.
Dziś na OSNews poszła wiadomość o tym, jak sprawdzić bezpieczeństwo każdego serwera. Nie mógłbym się powstrzymać i nie sprawdzić dwóch swoich hostingów (NetMark i LinuxPL). Poza tym to kolejna okazja, by podziobać nieco największych graczy na rynku (Home, Netart (Nazwa), Superhost, Az) i pokazać, że ich usługi nie stoją na poziomie, za który biorą pieniądze. Dodatkowo sprawdzę też kilka moich typów (Netarteria, iSwift, Hekko) oraz 8p, który był moim pierwszym hostingodawcą.
HOME.pl
zagrożenia : 105
raport: http://wklej.org/id/200076/
raport: http://wklej.org/id/200117/
SUPERHOST.pl
zagrożenia : 38
raport: http://wklej.org/id/200139/
zagrożenia : 26
raport : http://wklej.org/id/200174/
LINUXPL.com
zagrożenia : 18
raport : http://wklej.org/id/200216/
8P.PL
NETARTERIA.pl
ISWIFT
HEKKO
HOSTIT.PL
"nieaktualne oprogramowanie"
Może po prostu w FreeBSD nie liczy się numerek wersji, tylko dodają poprawki błędów do starszych programów i w ten sposób są aktualne?
"XSS (Cross Site Scripting)"
To już zależy od wykonawcy konkretnej strony...
"uzyksanie zdalnej kontroli"
No to jest ciekawe.
"wielokrotne przepełnienie bufora"
Jakiego bufora i gdzie? (buforów może być wiele ;))
"niezabezpieczone katalogi umożliwiają przeglądanie osobom z zewnątrz"
Może po prostu ktoś je udostępnił specjalnie?
"zainstalowane oprogramowanie sklepu umożliwia przeglądanie numerów kart zarejestrowanych użytkowników"
To jest ciekawe.
"dostęp do przeglądania plików
umożliwa atakującym dostęp do shella"
W jaki sposób?
"zewnętrzny dostęp do Demona Cron"
Mogę sobie wrzucić do crontab co chcę?
"dostęp do informacji systemowych bez uprawnienia"
Jakich informacji?
Tak według mnie, to to i tak jest o kant d. rozbić takie skanowanie.
Przy okazji - robisz coś fajnego w CSS czym mógłbyś się pochwalić? Będę potrzebował design do serwisu - mi z takimi rzeczami nie idzie nadzwyczajnie. Gdybyś był zainteresowany, to wyślij mi coś na maila + numer telefonu (zgubiłem stary telefon w rzece i do duplikatu karty nie dali mi starej książki adresowej.. ;))
poprawiłem wpis: skasowałem moje tłumaczenie błędów i dałem linki do wygenerowanych raportów! teraz możesz sobie sprawdzić na osvdb.org każdą z pozycji i sam stwierdzić. mi się nie chce aż tak mocno w to wchodzić. mozesz sobie sam wygenerowac raport, ten program jest dostepny w repo na ubuntu i debiana, co do innych distro - nie wiem.
ogólnie większość hostów, które przeleciałem ma nieaktualną wersję apache. poza tym XSS w wiekszosci przypadkow dotyczyl luk w jakims zainstalowanym orpogramowaniu typu fora itd. co do reszty musialbys sprawdzic w sposob ktory opisalem w pierwszym paragrafie.
program jest ciekawy, ale ma swoje wady. przykladowo na mojej stronie wykryl luke w oprogramowaniu, ktorego nie mam, bo mam nowsze. tzn. mam drupal 6.14 a on pisze o luce w drupal 4.x tak to wyglada. aczkolwiek mam ochote przetestowac kilka prostszych zagrożeń.
jesli chodzi o reszte to napisze ci na email, ktory mam. nie wiem, czy jest aktualny, wiec jesli nic nie odbierzesz do jutra, to po prostu napisz mi na bartlomiej/m@lpa/malysz.biz