Web-сайты, созданные "бюджетными" разработчиками, не имеющими портфолио или рекомендаций, как правило подвержены серьезным уязвимостям. К такому выводу пришли специалисты компании Tripwire по итогам проведенного исследования.
В рамках эксперимента исследователи под видом заказчика, не владеющего техническими навыками, наняли порядка 20 разработчиков для создания web-сайта. При этом стоимость их услуг не превышала $250. От разработчиков требовалось предоставить исходный код сайта с определенным функционалом. На разработку проекта предоставлялось 9 дней. Из 17 заказанных проектов 10 были завершены. В ходе анализа выяснилось, что все они в той или иной мере содержат уязвимости.
В частности, на всех ресурсах отсутствовала какая-либо защита документов от неавторизованного доступа или внедрения бэкдоров, позволяющих получить контроль над сайтом; несколько сайтов позволяли обойти авторизацию путем внедрения SQL-кода, 50% ресурсов содержали уязвимости, позволяющие внедрение SQL-кода, с помощью которых хакеры могли бы модифицировать контент сайта, получить доступ к базам данных или серверу БД.
"Для нас не стало сюрпризом, что все сайты оказались уязвимыми. В течение всего процесса мы сталкивались с проблемами коммуникации и сомнительными практиками. Если бы это был настоящий бизнес-проект, он бы вышел за рамки бюджета и конечных сроков. Более того, заказчик остался бы с незащищенным web-сайтом. Мы не можем реально рассчитывать на снижение числа утечек данных, если сайты не разрабатываются с учетом базовой защиты", - подчеркнул ведущий исследователь Tripwire Крейг Янг (Craig Young).