Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Исследование: популярные CMS используют MD5 и разрешают односимвольные пароли

19/06/19

md5Более четверти популярнейших систем управления контентом (CMS) используют для обеспечения безопасности паролей устаревший алгоритм хеширования MD5. К таковым в частности относятся WordPress, osCommerce, SuiteCRM, Simple Machines Forum, miniBB, MyBB, SugarCRM, CMS Made Simple, MantisBT, Phorum, Observium, X3cms и Composr. До тех пор, пока владельцы сайтов под управлением вышеперечисленных систем сами не изменят установленные по умолчанию настройки путем модификации исходного кода CMS, пароли пользователей можно будет легко расшифровать (в случае похищения злоумышленниками баз данных сайтов).

Специалисты Университета Пирея (Греция) изучили 49 популярных CMS, уделив особое внимание используемому по умолчанию механизму хранения паролей. Как оказалось, в 60% случаев использовались либо ненадежные алгоритмы шифрования MD5 и SHA1, либо функции SHA256, SHA512, PBKDF2, которые можно взломать с помощью графического процессора.

Из всех CMS с MHF (memory hard function) 40,82% используют BCRYPT, в том числе Joomla, phpBB, Vanilla Forums, vBulletin и SilverStripe. Ни один проект не использует SCRYPT или Argon2. У проекта SCRYPT отсутствует «родная» библиотека PHP. Большинство CMS написаны на PHP, что делает для них поддержку SCRYPT невозможной. Функция Argon2 только недавно была добавлена в релиз PHP 7.2, поэтому на ее развертывание понадобится время.

14,29% изученных исследователями CMS не используют соль. Более того, 36,73% систем не используют итерацию для хеш-функций, что существенно снижает стоимость взлома пользовательских паролей. В 38,78% CMS не установлены требования по минимальному числу символов в паролях. К примеру, WordPress и Drupal позволяют устанавливать пароли длиной в один символ.

Темы:WordPressУгрозыCMS
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...