Проблемы с защитой паролей нашли в более чем 50% CMS

Исследователи из университета Пирея (University of Piraeus) в Греции обнаружили, что более половины систем управления контентом (CMS) используют устаревшие функции шифрования для защиты пользовательских паролей, сообщает Threatpost. Среди уязвимых CMS авторы исследования назвали WordPress, miniBB, SugarCRM и другие.

Эксперты изучили 49 систем для управления контентом и 47 фреймворков для веб-приложений. В каждом случае они проверяли, какие средства разработчики предусмотрели для безопасности паролей.

Как оказалось, более 25% CMS шифруют пароли с помощью алгоритмов MD5 и SHA1, которые в настоящее время считаются слабыми. Еще около 30% систем используют SHA256, SHA512 или PBKDF2, давая возможность взломщикам подобрать пароли в приемлемые сроки. Лишь 40% CMS, в числе которых Joomla, phpBB и vBulletin, применяют устойчивый алгоритм bcrypt.

Эксперты отмечают, что разработчики уязвимых решений нередко пренебрегают и дополнительными мерами защиты. В 37% случаев разработчики ограничились однократным хешированием, несмотря на то, что повторные прогоны функции существенно затрудняют взлом.

При этом около 14% разработчиков отказались от применения «соли» — случайной последовательности символов, которая добавляется к уже зашифрованному слову. Наконец, почти 40% CMS не устанавливают минимальную длину кодовой фразы, а WordPress и Drupal вообще позволяют использовать однозначные пароли.

Не лучшим образом обстоят дела и у веб-фреймворков, используемых для создания сайтов. Разработчики этих библиотек тоже применяют слабые алгоритмы хеширования (23% участников исследования) и отказываются от дополнительных итераций (13%). Почти в половине случаев (49%) у таких решений вовсе нет собственных функций шифрования, что ставит под угрозу безопасность приложений, созданных на основе этих фреймворков.

Автор:	Softodrom.ru
Дата:	18.06.2019 20:56