Schwere Sicherheitsmängel in Web-Applikationen
Logo "Blind Elephant"
Auf der Black Hat-Konferenz in Las Vegas hat die Firma Qualis ihre Open Source Anwendung Blind Elephant vorgestellt. Blind Elephant scannt Webseiten nach unsicheren, angreifbaren Anwendungen. Eine Untersuchung von insgesamt 1.084.152 betriebenen Online-Applikationen hat ein recht erschreckendes Bild ergeben. Die negative Hitliste sieht folgendermaßen aus:
- phpBB – 100% der untersuchten Installationen zeigen kritische Schwachstellen
- Mediawiki – 95% der untersuchten Installationen zeigen kritische Schwachstellen
- Joomla! – 92% der untersuchten Installationen zeigen kritische Schwachstellen
- Movable Type – 91% der untersuchten Installationen zeigen kritische Schwachstellen
- phpMyAdmin – 85% der untersuchten Installationen zeigen kritische Schwachstellen
- Moodle – 74% der untersuchten Installationen zeigen kritische Schwachstellen
- Drupal – 70% der untersuchten Installationen zeigen kritische Schwachstellen
- SPIP – 65% der untersuchten Installationen zeigen kritische Schwachstellen
- WordPress – 4% (in Worten “vier”!) der untersuchten Installationen zeigen kritische Schwachstellen
Das sehr gute Ergebnis von WordPress wird unter anderem der sehr einfachen Updatefähigkeit des Systemes zugeschrieben. Die meisten untersuchten WordPress-Installationen beinhalten recht aktuelle Versionen. Generell gelten die WordPress-Versionen ab 2.5.1 (aktuell ist die Version 3.0.1) als relativ sicher. Ein starkes Argument für das regelmäßige Updaten von WordPress, den Themes und PlugIns!
Quellen
Qualis PDF mit den Ergebnissen der Studie – Link
Qualis Whitepaper zum Fingerprinting von Web-Anwendungen – Link
Pingback: WordPress vergleichsweise sicher - Websites, Studie, Sicherheitslücken, Einführung, Updates, WordPress - WordPress Deutschland Blog
Pingback: Im Vergleich: WordPress Nutzer bloggen am sichersten! - Absicherung, Angreifbarkeit, Applikation, Artikel, Blog, Bloggen, Deutschland, Einstellung, Ergebnis, Erklärung, Firma, Frank Bültge, Lauf, Link, Marc Schnau, netzgeist.org, Nutzer, Olaf Baumann, P
Pingback: WordPress sicherer als vermutet | perun.net
100% der untersuchten phpBBs? Schwer vorstellbar. Da guck ich nu erstmal die Studie genauer an.
Wenn ich das Papier von BlindElephant richtig verstanden habe identifiziert die Software Versionsstände von Webanwendungen. Man kann also ablesen wie aktuell der Gesamtschnitt der jeweiligen Versionsstände bei einer Software sind und davon ableiten welcher Anteil auf nicht-sichere Versionen entfällt. Die Software erkennt selbst keine Sicherheitsmängel.
Das hast Du. Da hätte ich vielleicht ein wenig deutlicher formulieren sollen, sorry.
Pingback: wp-popular.com » Blog Archive » Schwere Sicherheitsmängel in Web-Applikationen | Netzgeist V3.1
Pingback: Tweets that mention Schwere Sicherheitsmängel in Web-Applikationen | Netzgeist V3.1 -- Topsy.com
Pingback: Gut eine Million Websites nach verwendeter CMS-Software untersucht - datensicherheit.de Informationen zu Datenschutz und Datensicherheit
Pingback: Wordpress sicherer als gedacht | geeksphere.de
Pingback: Sicherheit von Web-Apps: Blind Elephant scannt Webseiten nach Sicherheitsmängeln, WordPress sicher » t3n News
Hallo,
ich bin erstaunt. Ich hätte nicht erwartet, dass es ein so krasser Unterschied zw. WordPress und Drupal existiert. Ich bin auch ein Fan von WordPress, hab dies aber nicht erwartet, zeigt aber auch wie hoch die Qualität der Entwicklung ist.
Klasse.
Gruß
Wobei zu diesem Thema schon wieder Religionskriege entfacht werden. :) Eigentlich ziemlich blödsinnig, aber naja… Es ist schon interessant sich die PDFs und die mittlerweile veröffentlichten “Updates and clarifications” bei Qualis anzuschauen. Das Bild verändert sich dann doch noch etwas.
Ich seh jetzt schon kommen, daß das einfach unkritisch weiterzitiert wird. Und ja, ich bin von der Drupal-Fraktion. Da wird man dann zu hören bekommen “70% der Installationen zeigen schwere Sicherheitsmängel. Boah die Software ist bestimmt total schlampig programmiert.”
Eine korrekte Überschrift wäre gut. Die müsste heissen “Web Applikationen updaten bringt Sicherheit”. Und dann eben der Hinweis, daß White Elephant nichts tut ausser zu prüfen, ob die gefundene Installation die neueste Version verwendet.
Na ja, diese Seite hier läuft auf WordPress, und für dieses ist der Test prima abgelaufen.
Da kann ich schon verstehen, daß man das mal so zitiert… ;) Aber come on, Marc, ganz sauber ist das nicht…
Moin,
ich mag Drupal, je nach Anforderungen/Pflichtenheft gibt es manchmal nichts Besseres – ab und an “darf” ich mich auch mit anderen Systemen herum ärgern. Bezüglich des Textes: Du hast so Unrecht nicht. Die Nachricht hat sich vor einigen Tagen in Windeseile verbeitet, nur in einem einzigen Fall hat sich jemand die Mühe gemacht und mal genauer hingesehen, Qualis Dokumente sowie die Updates and clarifications (Link siehe zwei Kommentare weiter oben) durchzulesen, geschweige denn, diese auch zu verstehen.
Daraus könnte man nun Schlußfolgerungen ziehen, inwieweit es möglich ist “verbogene” Informationen schnellstmöglich zu verbreiten. Das allerdings war nicht meine Absicht! In (wahrscheinlich falscher) Annahme setze ich darauf, dass Mensch sich informiert bevor er eine Meinung hat. Das ist sicherlich ein Fail.
Nachtrag
Eines würde ich übrigens keinesfalls behaupten: Nämlich das X, Y oder Z das beste System aller Zeiten sei. Es gibt Aufgabenstellungen, da ist eventuell ABC die beste Lösung. Von daher würde ich niemals sagen “WordPress über alles”. Das ist doch ziemlich … sagen wir mal “amateurhaft”, erinnert an die Atari vs. Amiga Schlachten. Pure Zeitverschwendung.