PunkSPIDER – on-line databáza zraniteľností vo webových stránkach. Kto a na čo ju využije?

Prog­ra­má­tor Ale­jan­dro Ca­ce­res pre­zen­to­val no­vý pro­jekt, kto­rý si dá­va za cieľ nas­ke­no­vať a zhro­maž­diť bez­peč­nos­tné di­ery vo všet­kých webo­vých strán­kach.

Sof­tvér, kto­rý prog­ra­mo­val spo­lu s ko­le­gom, po­me­no­val Pun­kSPI­DER, a ako ozná­mil, do­te­raz sa mu po­da­ri­lo po­mo­cou ne­ho iden­ti­fi­ko­vať stov­ky ti­síc zra­ni­teľ­ných miest webo­vých ap­li­ká­cií. Zís­ka­né in­for­má­cie sú voľ­ne prís­tup­né na inter­ne­te v po­do­be pri­po­mí­na­jú­cej webo­vý vy­hľa­dá­vač, keď­že Ca­ce­res tvr­dí, že pou­ží­va­te­lia by ma­li mať prís­tup k in­for­má­ciám o sta­ve za­bez­pe­če­nia webo­vých strá­nok, kto­ré den­ne pou­ží­va­jú.

web-loco-formazione.jpg

Oh­la­sy na tú­to webo­vú služ­bu sa rôz­nia, keď­že v ta­kej­to po­do­be tu pred­tým nič ne­bo­lo. Exis­tu­je už sí­ce ro­ky Me­tas­ploit, ale ten umož­ňu­je len jed­no­du­ché vy­tvo­re­nie exploi­tu a nei­den­ti­fi­ku­je kon­krét­ne zra­ni­teľ­né sys­té­my. Ca­ce­res pre server The­Re­gis­ter.co.uk po­ve­dal, že je­ho cie­ľom je upo­zor­niť fir­my na tie­to zra­ni­teľ­nos­ti, a nie po­má­hať hac­ke­rom. V pod­sta­te je prav­da, že sku­toč­ným hac­ke­rom by pou­ží­va­nie tej­to kon­tro­ver­znej webo­vej služ­by nep­ri­nie­slo žiad­ne prev­rat­né in­for­má­cie, pre­to­že tí pou­ží­va­jú vlas­tné nás­tro­je po­dob­né­ho ty­pu.

Os­tá­va te­da ka­te­gó­ria hac­ke­rov tzv. script kid­dies, kto­rí vy­uží­va­jú voľ­ne dos­tup­né exploi­ty a cie­le hľa­da­jú pod­ľa to­ho, aký exploit ma­jú prá­ve k dis­po­zí­cii. Služ­ba Pun­kSPI­DER však ni­ja­ko neu­mož­ňu­je pod­ni­kať pro­ti zra­ni­teľ­ným strán­kam úto­ky a ani neu­vá­dza spô­so­by na­pad­nu­tia tých­to webo­vých ap­li­ká­cií. Ale­jan­dro Ca­ce­res sám tvr­dí, že ske­no­va­nie strá­nok na zra­ni­teľ­nos­ti je len mier­ne a sof­tvér iden­ti­fi­ku­je iba zá­klad­né bez­peč­nos­tné di­ery. Pre­to je pres­ved­če­ný, že služ­ba mô­že viac po­môcť má­lo tech­nic­ky zdat­ným ma­ji­te­ľom webo­vých strá­nok než black hat hac­ke­rom. Svoj pro­jekt pri­rov­ná­va viac k server­u Sho­danHQ.com než k Me­tas­po­loi­tu. Si­tuáciu vy­svet­ľu­je aj tým, že vo svo­jom za­mes­tna­ní po­mo­cou sys­té­mu IDS bež­ne de­te­gu­je ske­no­va­nie hac­ker­ské­ho ro­bo­ta, kto­rý hľa­dá vo webo­vej ap­li­ká­cii zra­ni­teľ­nos­ti.

Ca­ce­res sa na ten­to open sour­ce pro­jekt sna­ží vy­zbie­rať fi­nan­cie aj na server­i Kic­kstar­ter.com, kde uvá­dza, že chce tú­to služ­bu po­ne­chať dos­tup­nú nav­ždy za­dar­mo pre všet­kých pou­ží­va­te­ľov. Dú­fa v ús­pech pro­jek­tu a je­ho ďal­šie zlep­šo­va­nie nap­rík­lad vy­tvo­re­ním plu­gi­nu pre Fi­re­fox, kto­rý by pou­ží­va­te­ľov auto­ma­tic­ky upo­zor­nil, keď nav­ští­via zra­ni­teľ­nú webo­vú strán­ku. Chcel by ta­kis­to vy­tvo­riť sú­bor pra­vi­diel pre sys­té­mo­vých ad­mi­nis­trá­to­rov, kto­rí by ich moh­li im­ple­men­to­vať do fi­rewal­lu, aby za­brá­ni­li pou­ží­va­te­ľom pri­pá­jať sa na zle za­bez­pe­če­né webo­vé strán­ky.

Zdroj: kic­kstar­ter.com
the­re­gis­ter.co.uk



Ohodnoťte článok:
   
 

24 hodín

týždeň

mesiac

Najnovšie články

EÚ schvá­li­la sys­tém Pri­va­cy Shield na ochra­nu európ­skych dát na ame­ric­kých server­och
Európska únia ukončila rokovania s americkou stranou týkajúce sa odovzdávania osobných údajov spoločnostiam sídliacim v USA. čítať »
 
Hac­ke­ri ov­lád­li dro­ny NA­SA a plá­no­va­li ha­vá­riu Glo­bal Hawk
Hackerskej skupine vystupujúcej pod názvom AnonSec sa podarilo nabúrať do špeciálneho programu na ovplyvňovanie počasia, nad ktorým má v súčasnosti kontrolu americká NASA. čítať »
 
Alian­cii Fair-play a plat­for­me Slo­ven­sko.Di­gi­tal sa ne­poz­dá­va­jú šty­ri IT pro­jek­ty mi­nis­terstiev
Neziskové občianske združenie Aliancia Fair-play (AFP) a Platforma Slovensko.Digital žiadajú ministerstvá vnútra, dopravy a školstva, aby zastavili a prehodnotili obstarávania štyroch veľkých IT projektov, ktoré v rezortoch momentálne prebiehajú. čítať »
 
Mô­že sa zo zmu­to­va­nej zi­ky stať glo­bál­na hroz­ba?
Vírus zika sa začal rýchlo šíriť po celom svete. V teplých oblastiach oboch amerických kontinentov, kam sa dostal začiatkom minulého roka, už možno hovoriť o pandémii. čítať »
 
Jad­ro­vé zbra­ne ma­jú ochrá­niť Zem pred prí­pad­ným ar­ma­ge­do­nom
Aj keď sa o jadrových zbraniach hovorí zväčša v negatívom svetle, vedci v nich paradoxne vidia efektívny spôsob na záchranu Zeme pred prípadnou hrozbou. čítať »
 
Di­gi­tál­na bez­peč­nosť v ro­ku 2016: Inter­net ve­cí, mo­bil­né za­ria­de­nia a ochra­na de­tí
ESET každý rok pripravuje svoj prehľad bezpečnostných tém, ktoré budú v najbližších mesiacoch trápiť bežných používateľov alebo firmy a organizácie. čítať »
 
Len 17-roč­ný mla­dík vy­na­šiel ven­ti­lá­to­ro­vý sys­tém brá­nia­ci ší­re­niu mik­ró­bov v lie­tad­le
Chytiť nejakú chorobu na palube lietadla nie je nič príjemné. Pritom mnohé vírusy nebezpečných chorôb, ako je napr. SARS či vtáčia chrípka, sa v nedávnej minulosti šírili po svete práve prostredníctvom lietadiel. čítať »
 
ESET pri­dá­va do kon­zo­ly vzdia­le­nej sprá­vy ma­na­žo­va­nie iP­ho­nov a iPa­dov
ESET vydáva ESET Virtualization Security. Toto nové riešenie pre VMware vShield nevyžadujúce nasadenie agenta kombinuje využitie ESET Virtualization Security s konzolou vzdialenej správy ESET Remote Administrator tak, aby poskytovalo ochranu oceňovaného skenovacieho jadra spolu s osvedčenou vzdialenou správou. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter