Onderzoeker: 75% PHP-installaties is onveilig
Ongeveer 75% van de PHP-installaties is onveilig, waardoor de populaire scripttaal tot één van de onveiligste platformen behoort. Dat stelt Anthony Ferrara, "developer advocate" bij Google. Ferrara had onlangs een artikel geschreven over wat het inhoudt om een verantwoordelijke ontwikkelaar te zijn.
PHP is één van de populairste programmeertalen en de Google-medewerker wilde dan ook weten hoeveel procent van de installaties veilig is. Hiervoor gebruikte hij de statistieken van W3Techs en correleerde dat met de versies die door bekende Linux-distributies worden beheerd. Gebruikers kunnen PHP namelijk zelf installeren of de versie gebruiken die door de gebruikte Linux-distributie wordt aangeboden.
Dan blijkt uiteindelijk 78,3% van de PHP-installaties tenminste één of meerdere beveiligingslekken te bevatten, terwijl 21,7% als veilig wordt aangeduid. Ferrara stelt dat het percentage veilige installaties nog hoog is ingeschat, omdat installaties van PHP 5.4.4 op Debian, die nog wel worden ondersteund, niet kunnen worden onderscheiden van 5.4.4-installaties die niet van Debian afkomstig zijn en niet meer worden ondersteund. Het percentage van 21,7% wordt door Ferrara dan ook als "optimistisch" omschreven.
"Het is volstrekt onaanvaardbaar. Dit houdt in dat meer dan 78% van de PHP-installaties tenminste één beveiligingslek heeft. Treurig", concludeert Ferrara. Hij roept iedereen op om zijn of haar PHP-installatie te controleren. "Dwing mensen om te updaten. Accepteer niet 'if it works, don't fix it.'... je hebt de macht om het te veranderen, dus verander het. Security is een probleem voor iedereen. Wat belangrijk is, is hoe je ermee omgaat."
Het onderzoek van de Google-medewerker kreeg de nodige aandacht en hij besloot het ook voor andere platformen uit te voeren, alsmede voor PHP waarbij dit keer Fedora en PHP 5.4.34 voor Debian 7 werden meegeteld. Dan blijkt dat 82,3% van de installaties van de programmeertaal Perl veilig is. In het geval van de programmeertaal Python gaat het om 77,6%. Uiteindelijk levert de hertelling van PHP, waarbij Debian 7 extra wordt meegeteld, een iets hoger percentage van veilige PHP-installaties op, namelijk 25,6%. Dat zou nog steeds inhouden dat zeker 74,4% van de installaties onveilig is.
Ik zie het al voor me, al die PHP ontwikkelaars die weer buikkrampen krijgen in gesprekken met 0 verstand managers, die opeens Wordpress willen hebben en geen PHP, want dat is niet secure...
http://php.net/manual/en/function.phpinfo.php
Voorbeeld v.d. uitgebreide informatie die je dan krijgt: http://www.quadrahosting.com.au/web-hosting/features/phpinfo.html
Volgens mij komt het omdat jarenlang alle Apache server software versies bekend maakte van zowel zichzelf als PHP in de HTTP antwoord headers. Waardes zoals "X-Powered-By" zijn standaard zichtbaar, tenzij de gebruiker er iets aan doet. Waarom het nodig is om dat aan de buitenwereld te vertellen is mij nog steeds een raadsel.
Hacking voor beginners is niet meer dan versie nummers met exploits matchen en die exploits opstarten. CMSen zoals Drupal en WordPress zijn tegenwoordig wel slim genoeg om versie nummers te verbergen.
En als al die 'lekken' dan zo erg zijn waarom worden er dan zo ongeloofelijk veel WP sites gehacked en relateerd dat verder helemaaaaaal niet naar PHP (immers WP draait op PHP)...
gewoon een andere aandacht zoeker die appels en peren loopt te vergelijken en onzin loopt te roepen
http://w3techs.com/technologies/details/pl-php/5/all ziet er betrouwbaar uit. De google-man (de onderzoeker) heeft die gegevens als één van zijn uitgangspunten genomen.
PHP heeft toch al wat problemenm zie: https://www.owasp.org/index.php/PHP_Security_Cheat_Sheet
Zijn we nu in onze wiek geschoten omdat het geloof aangevallen wordt?
Zoiets?
Malicious PHP Scripts on the Rise
http://www.webroot.com/blog/2011/02/22/malicious-php-scripts-on-the-rise/
Is de artikel voorspelling uit 2011 redelijk uitgekomen of zit het nog voornamelijk in de 'potentie-pipeline' ?
En als al die 'lekken' dan zo erg zijn waarom worden er dan zo ongeloofelijk veel WP sites gehacked en relateerd dat verder helemaaaaaal niet naar PHP (immers WP draait op PHP)...
gewoon een andere aandacht zoeker die appels en peren loopt te vergelijken en onzin loopt te roepen
Er was iemand die zich zorgen maakte over managers, daar heeft hij gelijk in. managers:
- zijn namelijk gek op "out of the box" dan werkt het,
- de rest van het werk is peanuts = je krijgt aapjes / papegaaitjes
- en voor later (de hacks) mag de opvolger (geen KPI) zien te op te lossen .
en nu nog serieus kwalitatief goede software aub.
(anoniem 16:13)
Het zijn doorgaans kleine sites waar geen of onvoldoende beveiligingspatches op worden geinstalleerd. Zulke sites worden op grote schaal misbruikt door spammers voor hosten van malware of redirects naar viagra, porno, langere penissen en dergelijke aanbiedingen.
Dus PHP is onveilig? Ja, inclusief plug-ins en andere software zoals het OS en de web server zelf.
Je moet niet denken dat je met settings/configuratie/programmeren dit probleem kan verhelpen. Het is domweg een kwestie van onderhoud plegen.
Prutsers: een update moet met een muisklik uitgevoerd kunnen worden.
En elk softwarehouse moet een een strafkamer hebben waar elke ontwikkelaar die iets leuks heeft gemaakt zonder dat (saai...) zonder enig uitstel tot in elk detail te documenteren, billenkoek krijgt met een Spaans rietje.
IK vertrouw overigens Drupal noch Joomla meer helemaal...
Nee hoor, de versie van in ieder geval WordPress is gewoon in de broncode te vinden en is standaard niet verborgen:
<meta name="generator" content="WordPress 4.1" />
PHP en de Linux versies zijn best een heel stuk beter tot goed te krijgen.
Linux is het fundament waar alles op draait. Dat is mu niet bepaald een brak systeem te noemen met alle Unix historie.
Er is zeer veel over "hardening van systemen", daar kan je pas aan beginnen als het "out of the box" achter de rug is.
Een veel leukere ontwikkeling is de confinement met de nieuwe init https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html-single/Managing_Confined_Services/. Leuk omdat veel ouder Linux adepten het allemaal maar niets vinden.
(anoniem 16:13)
Wat mij dan altijd weer verbaasd dat alles met zo'n site vaak voor het gemak maar met zeer hoge rechten (high privileged) shared accounts op het OS uitgevoerd worden. Hetzelfde voor een gebruikt DBM. Een lekje opbenbaart zich en alles ligt open. Kwestie van veilig ontwerpen = op tijd en zo veel mogelijk met de meeste beperkte rechten aan de slag gaan.
.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
