26 октября, 2016 
AdminGWP
Aвтoры исслeдoвaния: Aлeксaндр Нeдзeльский, гeнeрaльный дирeктoр ITSOFT
16 лучшиx сaйтoв 1000 минaeв сaйтoв, кoгдa-Либo стaтистикe LiveInternet в oбщий трaфик 34 231 732 пoльзoвaтeлeй в мeсяц пoдвeргaeтся, лeгкo уязвимы, чтo пoзвoляeт пoлучить дoступ к исxoдникaм прoeктa. Бoлee чeм 2 922 сaйты сoдeржaт oшибки кoнфигурaции дeсятилeтнeй дaвнoсти. В рaмкax исслeдoвaния кoмпaния ITSOFT прoaнaлизирoвaть бoлee пoлумиллиoнa сaйтoв русскoязычнoгo интeрнeтa.
Проблемы
«Все новое хорошо забытое старое». Уязвимость, речь о чем пойдет ниже, появились не сегодня, и известно давно, по крайней мере с начала двухтысячных. Однако результаты опроса показывают, что актуален он и в настоящее время, а поднимаемые проблемы: качество и безопасность обработки интернет-проектов уровня специалистов на рынке и небрежности.
Ранее системы контроля версий использован только для крупных проектов и для решения проблем, совместной разработки. прошло Время, предпочтения изменились, все больше и больше разработчиков начали использовать VCS и не всегда по назначению. В 2008 году появился GitHub и выше 2010 года годовбольшинство разработчиков прошли через Git.
За это время изменились поколения разработчиков, но отношение к вопросам безопасности систематически не изменилось. Информационная безопасность в контексте его основных аспектов широкой общественной аудитории, так и находится в зачаточном состоянии, хотя утечки данные о закупках в интернет-магазинахи HeartBleed все более и более большое количество людей начинают о нем думать.
Тем не менее, ясно, ошибок конфигурации и человеческий фактор, который привел масштабных эффектов десять лет назад, так же атл.
Уязвимость
Особенности систем контроля версий предполагает файловой системы скрытой служебной папке, хранящих информацию, файлы проекта и их изменениях. Когда ошибка конфигурации сервера информация становится доступна публично для всех пользователей, который позволяет получить доступ к исходникам проекта и открывает широкое пространство для нахождения дальнейшего уязвимости.
По умолчанию Git использует список «.git» в папке проекта, в котором хранятся сведения о всех изменений файлов проекта. SVN, в свою очередь, содержат такую информацию в папке «.svn».
Веб-серверов Nginx и Apache по умолчанию не ограничивают доступ к этим папкам, не смотря на то, что файлы и папки, с точки зрения UNIX-подобных системах скрыты, в то время как Apache он использует в служебных файлов».htaccess».
Потому что проблема очень часто разработчики CMS и фреймворков рано или поздно их достойный вклад вносят запрет на показ подобных файлов их сборки, например, как с течением времени сделали на 1С-Битрикс на своем Веб-среде. Но разработчики веб-серверов предполагают, что обеспечивают основной инструмент, гибкость, который должен быть использован системный администраторами взависимости своих проблем, переключение ответственность.
В результате большое количество сайтов, которые свободный доступ к ее исходным кодам, а как следствие, баз данных, серверов, логам, бэкапам и конфиденциальной информации (в зависимости от каждого конкретного случая).
Статистика и анализ
Семь лет спустя после того, как уязвимость была обнаружена в таких крупных IT-компаний, как Яндекс, Mail.ru на Rambler-е, Опера (правда, тогда речь шла только про SVN), — рассчитывать на повторение истории того же участника не было. Тем не менее, за это время новые ресурсы завоевали свою популярность, количество сайтов в рунете не увеличивается, а также для пользователей, чтобы заменить SVN значительно пришел Мерзавец и уже новое поколение разработчиков создавало эти проекты и переделывало старый. Так что количество уязвимых сайтов, брендов и довольно большой. крупных телекоммуникационных компаний и производителей до клиники и федерального порталов.
Покажем взял, статистические данные LiveInternet сайтов для когда-Либо и увидеть, какое количество содержит данной уязвимости.
Анализ top-1000 минаев стал 16 проектов общей аудитории 34 231 732 пользователей в месяц.
Решив не останавливаться на достигнутом, мы собрали информацию 559 411 сайтов, рейтинга LiveInternet, получив в результате 2 922 уязвимости.
За прошедшие годы распространенность систем контроля версий увеличилось, и теперь их можно встретить не только крупных проектов, как и везде, что можно увидеть в таблице. Смещены распределения для SVN правый можно сделать вывод, что разработчики крупных сайтов, в свое время, чтобы узнать урок, или только что прошел Git. Расстраивает тот факт, что систематический опыт был накоплен и передан новому поколению разработчиков, который, с помощью уже других инструментов, выполняет те же ошибки в крупных проектах. Результат: количество уязвимостей веб-сайты раз выше, когда приближается первое место в рейтинге посещаемости.
Соотношение количества уязвимых проектов, которые использует Git и SVN, повторяю, результаты рейтинга систем контроля версий. Это может говорить о том, что вероятность ошибок безопасности в зависимости от инструмента и условно-постоянно.Стоит отметить, что есть проекты, которые доступны две скрытые папки.
Само по себе раскрытие информации хранится в скрытых папках, может привести к серьезным последствиям, если громкость только те файлы, которые относятся к фронтенд-части в рамках проекта. Тем не менее, на практике мы имеем: пароли в открытом виде с удаленного хостинга репозиториев проектов, пароли, базы данных, бэкапы, пароли других серверов, конфиденциальную информацию пользователей, ключей доступа к внешним службам ведомств; я уже не говорю о том, что доступ к исходникам серверной части проекта позволяет выявить уязвимости кода.
Как проверить и исправить
Для того, чтобы узнать, уязвим ли ваш проект, достаточно лишь ввести в браузере в адресной строке http://domain.ru/.git/HEAD или http://domain.ru/.svn/entries для Git и SVN, соответственно. Если вы видели что-то отличное о ненайденной странице есть вопрос разработчикам.
Закрыть брешь можно установить веб-сервер на запрет доступ скрытые файлы и папки. Но, на мой взгляд, лучше использовать Git/SVN на production-сервере, осуществляя deploy корректными методами.
Опубликовано в рубрике