Исследователи из греческого Университета Пирея изучили рынок популярных CMS, рассмотрев 49 часто используемых CMS и 47 популярных фреймворков, и пришли к печальному выводу: системы управления контентом по сей день используют по умолчанию алгоритм  MD5 для хеширования и хранения паролей.

Среди таких «нарушителей» исследователи называют WordPress, osCommerce, SuiteCRM, Simple Machines, miniBB, MyBB, SugarCRM, CMS Made Simple, MantisBT, Phorum, Observium, X3cms и Composr. Фактически использование MD5 по умолчанию означает, что если владельцы таких сайтов не изменили настройки по умолчанию, то пароли пользователей будут подвергаться риску, например, если потенциальный злоумышленник похитит БД сайта.

В настоящее время слабыми и устаревшими считаются те хеш-функции, которые ранее уже были взломаны, и их небезопасность была доказана (например, MD5 и SHA1). Более устойчивыми считаются сложные и более новые решения, такие как BCRYPT, SCRYPT и Argon2.

Увы, почти 60% протестированных аналитиками CMS используют устаревшие алгоритмы (например, MD5 или SHA1) или же прибегают к таким решениями, как SHA256, SHA512, PBKDF2, атаки на которые можно значительно облегчить, используя мощности GPU.

Также выяснилось, что все CMS с включенным MHF (memory hard function) используют BCRYPT. Таковых насчитывается 40,82%, включая Joomla, phpBB, Vanilla Forums, vBulletin и SilverStripe.

Исследователям не удалось обнаружить ни одной CMS, использующей SCRYPT или Argon2.  Специалисты объясняют, что причина такой непопулярности SCRYPT кроется в отсутствии доступной нативной библиотеки PHP, из-за чего большинство CMS попросту не могут ее поддержать. В свою очередь, Argon2 был добавлен в PHP 7.2, что произошло недавно, и может пройти некоторое время, прежде чем он получит широкое распространение.

Интересно и то, что использование соли оказалось распространено не так широко, как можно было бы ожидать. По данным исследователей, 14,29% протестированных CMS не солят своих хеши, оставляя пользователей уязвимыми для атак с использованием радужных таблиц.

Однако, как уже было сказано выше, эксперты проверяли не только CMS, но и популярные фреймворки. Увы, в данной области ситуация оказалась немногим лучше. 23,40% фреймворков выбирают слабые (распараллеливаемые) хеш-функции, тогда как 12,77% из них не используют итерации.

При этом лишь 27,66% фреймворков по умолчанию используют хеш-функцию BCRYPT, а SCRYPT и Argon2 тоже отсутствуют в настройках по умолчанию.

Хуже того, в отличие от CMS, многие фреймворки вообще не предлагают схему хеширования по умолчанию, оставляя это на откуп разработчикам.  Таковых насчитывается 48,94%, что тоже может привести к выбору слабой схемы хеширования и подвергнуть пользователей угрозе.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    4 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии