论坛软件开发人员在下一个主要版本之前提供洞察力
开发人员证实,自2005年推出以来,开源社区已帮助保护运行MYBB论坛软件的网站免受270多个安beplay体育能用吗全漏洞的侵害。
在下一个主要版本之前发表的博客文章中,MYBB开发团队深入研究了该平台的安全生态系统,并指出仅在当前分支机构中就已经减轻了100多个错误。
MYBB用PHP写成,是受欢迎的开源软件,被认为可以为10,000多个论坛网站提供动力。
MYBB开发团队从去年收集了大量的安全性和脆弱性数据,以分析数字对平台的含义。
“ 12月的MYBB 1.8.22发射带来了流行开源论坛软件1.8分支中解决的漏洞数量超过100,”邮政解释。
这些错误中有将近四分之三(74%)通过MYBB安全计划标记。
开发商说:“这导致了总共12个高风险(12%),33个中等风险(32%)和58个低风险(56%)问题。”
XSS排名榜首
MYBB的1.8分支中的几乎一半(49%)与跨站脚本(XSS)。其中,有36例持续XS,12例反映XSS,还有一个基于DOM的XSS。
其他领先的错误类包括不当访问控制(七个案件),SQL注入(也有七个案件),注入代码(六),信息暴露(六),跨站点伪造(五),路径遍历(四),输入验证不当(三)。
“ MYBB的统计数据与更多Web软件的广泛观察beplay体育能用吗MYBB开发人员说:“拥有XSS,访问控制问题和注入最常见的漏洞类别。”
MYBB被认为为10,000多个论坛网站提供动力
社区努力
Mybb去年以关键的样式表漏洞这本可以使攻击者完全访问对用户帐户,私人线程和存储在论坛数据库中的消息。
得益于RIPS Technologies安全研究人员的协调披露,MYBB开发团队迅速解决了潜在的毁灭性缺陷。
当时,MYBB项目的Tomasz Mlynski讨论了协调披露对开源项目的重要性,并告诉每日swbeplay2018官网ig:
充分合作 - 目前在我们的情况下,不仅涉及协调的披露,而且还涉及解决方案开发和后续渗透测试 - 当安全补丁被纠正或改善时,已经通过多个机会证明了这一点。
我们可以看到该领域的更多资源(由试图破坏我们建立的东西但目标相似的外部,对抗团队提供的资源如何,可以改善安全计划的健康和稳定性,从而更加可靠,更快地提供修复程序。
我们认为,开源项目具有特殊的兴趣和条件,可以提供透明度和高水平的技术细节。
经验丰富的用户应该很好地意识到所有平台都可能很脆弱,因此不同的不是供应商声称的安全性,或者他们很少提到有安全问题,而是将其付诸实践的程序和历史记录。
展望未来,MYBB平台希望保持其在脆弱性补救方面所建立的势头,同时允许不断增长的论坛管理员确保其站点尽可能安全。
该项目维护人员说:“正在考虑的安全改进不仅限于MYBB的内部运作。”
“我们希望未来的MYBB版本需要更少的技术知识和经验来有效,安全地管理董事会 - 这将涉及自动化某些任务和检查,使管理员意识到可疑的问题和错误配置,并提供内置的操作,以代替运行代码或SQL查询手动。”
他们补充说:“如果您管理MYBB 1.8.X董事会,请确保查看新的MYBB安全指南除了保持MYBB及其扩展时,还可以保护您的网站。”beplay体育能用吗
MYBB适合论坛软件,有一个活跃的贡献者社区
开放论坛
在开发管道更新到每日swbeplay2018官网igMlynski本周说:“即将到来的分支机构[MYBB 1.9]目前正在开发中,预计将配备新的Twig Engine,但我们没有发布日期的估计。
“ MyBB 1.8.X将继续收到更新。Once 1.9 is released and stable, the focus will shift to the newest branch, and security and high-priority issues will be addressed in parallel (until 1.8’s end-of-life date) to provide a smooth transition timeline for forum owners.”
MYBB项目的地平线上的其他“重大变化”包括一个非regex解析器,用于清晰验证和控制嵌套标签以限制XSS问题;严格的内容安全策略;和参数化的SQL语句,以帮助防止SQL注入攻击。
开发人员说:“自2005年发布第一个稳定软件包以来,该软件现在已经有270多个安全缺陷。”
“广泛采用的标准将继续添加到MYBB中,进一步降低了由客户结合的漏洞创建的攻击表面,在1.8.x中,该漏洞占有关问题的54%。”
你可能还喜欢在开源SuiteCRM软件中迟来的缺陷
