在只需四个小时内,坏人可以撤消工程师为开源内容管理系统(CMS)的软件补丁,并建立一个能够将数百万个网站转换为垃圾邮件发送者,恶意软件主机或DDOS攻击者的漏洞。
“德国协会CMS花园的成员David Jardin说:”正常网站所有者没有足够的时间来应用更新,“David Jardin表示,促进了开源CMS软件,包括Drupal,Joomla,WordPress等。
为了更快地帮助普通用户修补程序,CMS花园正在参与政府资助的项目,安全的网站和内容管理系统(Siwecos),使中小企业的网站更加安全。
Siwecos.Jardin说,是一种三管齐下的努力。
项目参与者包括波鸿大学的研究人员正在建立一个扫描引擎,将为企业主提供有关其网站上的潜在安全问题的反馈,例如SSL错误配置或漏洞到跨站点脚本攻击。
CMS花园正在贡献第二部分:一系列用于不同开源CMS的插件,将提供从CMS管理界面内的反馈,其中站点所有者可以立即采取行动。
第三部分,一个jardin最兴奋,是一项服务,它将帮助网络托管公司在达到易受攻击的CMS安装之前过滤攻击。
Jardin将该项目投入到6月的消息,恶意软件和移动反滥用工作组(M3AAWG,旨在争夺互联网基础设施的组织)的会议。
由于Jardin看到它,CMS花园促进了没有固有的不安全感。问题是使用它们的站点所有者只需时间将其系统保持最新“。然后,更好地将它们从循环中取出。
“我想通过直接与网络主机进行责任链删除网站所有者,”他说。
他不期望网络主机修补客户的CMSES。相反,与修补程序出门的同时,他为Web提供了Web应用程序防火墙提供的Web主机,旨在阻止与修补程序相同的利用。
“他们可以立即将它涂在一起,并在最终用户身边工作,让他们更多的时间来应用补丁,”他说。“我们一直在为joomla项目和许多德国网络主持人提供了很多时间的小规模,具有巨大效果。”
在最近的事件中,一个德国托管公司,其中一个过滤器应用了一个过滤器在释放了Joomla补丁后的第一天在每小时阻止了150,000个请求。
Web主机可以为自己创造此类过滤器,但这将涉及它们也涉及逆向工程。JARDIN说,将其留给像CMS花园这样的团体更快,更安全。
“对于CMS社区而言,这不是一个大不了的事项,因为我们很了解我们的系统。我们可以弄清楚没有许多副作用,没有误报的规则,以及网络托管公司,它是免费的和安全的。“
虽然Siwecos项目由德国政府资助,而主要针对德国中小企业,互联网交通没有界限。
“甚至德国公司甚至遍布全球网站,”Jardin说。“我们几乎是每个人都在谈论,所以它更加是全球性计划。”
Siwecos扫描系统将使用模块化API。它现在处于封闭的测试测试中,但它的开发人员希望在9月份将其打开,当他们将为它发布第一个插件时。开发中的模块包括用于扫描与安全性相关的HTTP标头,例如内容安全策略的HTTP标头。
“CSP标题是非常相关的,因为即使网站已经被感染,他们也可以防止漏洞利用,”Jardin说。还将有扫描仪在服务器设置中验证SSL和TLS认证,并检查HTML代码中的恶意软件。
Jardin希望在9月推出Web主机服务。它将首先私人邮件列表开始,以避免在可以修补或以其他方式保护之前避免给予额外的线索来利用CMSES。
“如果你看一下防火墙规则,那么一个经验丰富的攻击者建立一个漏洞的规则将变得相当容易。这就是我们想要限制收件人圈子的原因。”
Siwecos的Web App防火墙元素与Work WordPress的一些重叠与某些Web主机一起进行。但是,Siwecos正在使用多个CMS项目,并将对更多的网络主机开放。“我们项目的美丽是它是有关所有CMSES的信息的一个中央地。”
根据Jardin的说法,商业网络应用防火墙供应商没有任何可能从项目中担心,并且很多都要收益。
“他们不知道我们的应用程序,他们没有任何有关安全问题的前面的信息。它将至少24到48小时,直到他们将规则集成到位,我们可以从一开始就可以提供。这就是完全新的东西。“