Исследователи из университета Пирея (University of Piraeus) в Греции сообщили, что более половины систем управления контентом используют устаревшие функции шифрования для защиты пользовательских паролей. Среди уязвимых CMS эксперты назвали WordPress, miniBB, SugarCRM и другие.

Аналитики изучили 49 систем для управления контентом и 47 фреймворков для веб-приложений. В каждом случае они проверяли, какие средства разработчики предусмотрели для безопасности кодовых фраз.

Как выяснилось, более 25% CMS шифруют пароли с помощью алгоритмов MD5 и SHA1, которые на данный момент считаются слабыми. Атаку коллизией хеша на MD5 впервые продемонстрировали в 2007 году, возможность взлома SHA1 была доказана еще раньше, в 2005-м.

Еще около 30% систем, согласно результатам проверки, применяют SHA256, SHA512 или PBKDF2, оставляя преступникам возможность подобрать пароли в приемлемые сроки. Лишь 40% CMS, включая Joomla, phpBB и vBulletin, используют устойчивый алгоритм BCRYPT.

Создатели уязвимых решений нередко пренебрегают и дополнительными мерами защиты. В 37% случаев разработчики ограничились однократным хешированием, несмотря на то, что повторные прогоны функции значительно затрудняют взлом.

Около 14% отказались от применения «соли» — случайной последовательности символов, которая добавляется к уже зашифрованному слову. Наконец, почти 40% CMS не устанавливают минимальную длину кодовой фразы, а WordPress и Drupal вовсе позволяют использовать однозначные пароли.

Не лучшим образом обстоят дела у веб-фреймворков, используемых для создания сайтов. Разработчики этих библиотек тоже применяют слабые алгоритмы хеширования (23% участников исследования) и отказываются от дополнительных итераций (13%). Почти в половине случаев (49%) у таких решений вовсе нет собственных функций шифрования, что ставит под угрозу безопасность приложений, созданных на основе этих фреймворков.

Эксперты отмечают, что в результате ответственность за защиту данных ложится на веб-администраторов, многие из которых не обладают достаточными знаниями и пользуются настройками по умолчанию. В итоге от пренебрежения безопасностью страдают интернет-посетители.

Учитывая, что те же WordPress-площадки находятся под постоянным прицелом киберпреступников, ситуация становится опасной. Исследователи призывают разработчиков CMS и фреймворков веб-приложений повысить свои стандарты безопасности, а также предоставить пользователям возможность отката при появлении технических проблем.

Тема борьбы со слабыми технологиями шифрования нередко попадает в повестку дня. Ранее компании Google, Mozilla, Facebook и Microsoft отказались от поддержки устаревшего алгоритма SHA-1. В июне об аналогичном решении объявила Apple. Эксперты полагают, что эти меры затруднят преступникам организацию фишинговых атак и MitM-кампаний, а также повысят безопасность пользовательских данных.

Категории: Аналитика, Главное, Уязвимости