Skip to main content

10 most common security vulnerabilities in web applications


Problem A1: Unvalidated Input
How Plone handles this: All input in Plone is validated, and the framework makes sure you can never input data that is not of the required type. This is probably the number one reason why Plone sites — even when deployed and developed by people new to web security — are not compromised.
Problem A2: Broken Access Control
How Plone handles this: Plone is based on the well-proven (7 years in production), flexible and granular ACL/roles-based security model of Zope. In addition, Plone utilizes an innovative workflow-based approach to security, which means that end-users never see or modify the security settings — they only work with security presets that have been supplied to them by the developers of the application. This greatly reduces the possibility of misconfigured security settings.
Problem A3: Broken Authentication and Session Management
How Plone handles this: Plone authenticates users in its own database using a SHA-1 hash of their password. Using its modular authentication system Plone can also authenticate users against common authentication systems such as LDAP and SQL as well as any other system for which a plugin is available (Gmail, OpenID, etc.). After authentication, Plone creates a session using a SHA-1 hash of a secret stored on the server and the userid (HMAC-SHA-1). Secrets can be refreshed on a regular basis to add extra security where needed. Note: Older Plone versions (i.e. before Plone 3) use a less secure method where a session cookie containing both the loginname and password for a user are used. It is highly recommended to enforce use of HTTPS encryption for such sites.
Problem A4: Cross Site Scripting
How Plone handles this: Plone has strong filtering in place to make sure that no potentially malicious code can ever be entered into the system. All content that is inserted is stripped of malicious tags like <script>, <embed> and <object>, as well as removing all <form> related tags, stopping users from impersonating any kind of HTTP POST requests. All destructive operations (like deletion of content) and privilege elevation (roles, permissions) are checked to be valid HTTP POST requests in addition to the usual security checking. On an infrastructure level, the TAL template language used to create pages in Plone quotes all HTML by default, effectively preventing cross site scripting.
Problem A5: Buffer Overflow
How Plone handles this: Buffer overflow vulnerabilities are not known to exist in the current versions of Python, and is usually more common in systems based on languages that do not have strict checking for this, like C.
Problem A6: Injection Flaws
How Plone handles this: Injection flaws are most common in systems that use SQL databases for content storage. Plone does not use a SQL database by default.  When setting up SQL databases with Plone, they always communicate through a standard SQL connector that neutralizes injection attempts automatically.
Problem A7: Improper Error Handling
How Plone handles this: Plone provides almost no error information to site visitors (no stack traces, etc.).  When there is an error, Plone logs the error internally. All the front-end user will see is the log entry number of the error, allowing the error to be located in the logs if it is reported to the site admin.
Problem A8: Insecure Storage
How Plone handles this: All the cryptographic methods in the Plone stack have been exposed to public scrutiny for years and have no known vulnerabilities.
Problem A9: Application Denial of Service
How Plone handles this: The most common setup for a Plone site is to to deploy it behind a caching proxy like Squid, Varnish, Apache or IIS. When configured in this way, it's very hard to bring down a Plone site with DoS attacks. (Note: In versions earlier than Plone 2.1.4 and 2.5.1, there was a potential Denial of Service attack identified in the error page of Plone, which was unnecessarily heavy. This was fixed as part of a bigger security audit performed in the same timeframe, and the current releases of Plone do not suffer from this problem.
A10 Insecure Configuration Management
How Plone handles this: Plone has very strict security defaults out-of-the-box, and also runs as an unprivileged user on the server. Plone website users do not have access to the file system. Because of these factors, the most common security configuration vulnerabilities in this area are avoided.

Security track record

Measuring or quantifying security risks in software is hard — security is a process, not a product, and thus requires constant vigilance and good coding practices combined with security reviews. One interesting measure is the number of vulnerabilities reported by the MITRE’s Common Vulnerabilities and Exposures database, which is the main source for tracking and naming security issues.
Here are some counts of the numbers of known vulnerabilities and exposures in some common CMS platforms and their technology stacks - also note that the Python/Zope/Plone stack has existed for several years longer than the others mentioned.
The following data was extracted from the National Vulnerability Database, in March 30, 2011. The figures presented represent the total number of occurrences of the term searched, with the numbers in parenthesis representing the number of occurrences in the past 3 years.
  • Plone/Zope/Python stack:
    • CVE Entries containing Plone: 13 (9)
    • CVE Entries containing Zope: 27 (9)
    • CVE Entries containing Python: 111 (65)
  • PHP-based stacks:
    • CVE Entries containing Drupal: 371 (269)
    • CVE Entries containing Joomla: 653 (441)
    • CVE Entries containing MySQL: 282 (84)
    • CVE Entries containing Postgre: 82 (22)
    • CVE Entries containing PHP: 18,859 (5,813)
  • Other stacks:
    • CVE Entries containing Perl: 3,835 (1,780)
These numbers do not prove anything by themselves, of course, but do suggest a general trend and are a good approximation of our security track record compared to other systems.
One should also note that when installing a CMS stack, one should consider the security records of all stack components (including add-on products and modules). That means if a CMS requires an external database server, the security of that server should be considered in addition to the security of the CMS system itself.

Comments

Popular posts from this blog

Alat - Alat Fiber Optic dan Fungsinya

1. Fusion Splicer Fusion splicer atau sering dikenal sebagai alat untuk menyambungkan serat optik ini merupakan salah satu alat yang digunakan untuk menyambungkan sebuah core serat optik, dimana serat tersebut terbuat / berbasis kaca, dan mengimplementasikan suatu daya listrik yang telah dirubah menjadi sebuah media sinar berbentuk laser. Sinar laser tersebut berfungsi untuk memanasi kaca yang terputus pada core sehingga bisa tersambung kembali dengan baik. Perlu kalian ketahui, bahwa fusion splicer ini haruslah memiliki tingkat keakuratan yang cukup tinggi, hal ini ditujukan untuk menghasilkan hasil penyambungan yang sempurna, karena pada saat penyambungan tersebut akan terjadi proses pengelasan media kaca serta peleburan kaca yang akan menghasilkan suatu media, dimana media tersebut akan tersambung dengan utuh tanpa adanya celah-celah, hal ini dikarenakan media tersebut memiliki senyawa yang sama. 2. Stripper Atau Miller Sama seperti kabel - kabel yang lain, salah satunya seperti kab

Cara Menghitung Satuan Volt, Ampere, dan Watt

Sangat penting untuk mengetahui satuan dalam bidang yang ingin anda pahami, dalam bidang listrik untuk mengetahui satuan seperti volt, ampere, dan watt. Ketika anda tidak mengetahui satuan dari bidang listrik ini sama saja dengan tidak tahu dalam teori dasar dan anda sekarang bisa memperlajari dengan jelas dalam artikel saya berikan ini. Saya akan memberikan langkah demi langkah agar mudah untuk dipahami. Pengertian Volt (Voltage) Volt (Voltage) adalah standart satuan listrik yang menunjukan atau menerangkan sebuah nilai tegangan dalam listrik. Volt atau bisa disebut tegangan hanya bisa diukur dengan alat yang bernama voltmeter atau multitester, volt mempunyai bermacam-macam nilai tegangan dan juga tipe atau karekter yang berbeda. Volt Mempunyai 2 tipe atau karakter Volt atau tegangan listrik ini mempunyai jenis 2 tipe yaitu tegangan AC atau bisa disebut tegangan bolak-balik. kemudian tegangan DC (Direct Current) atau bisa disebut dengan tegangan searah. Untuk mengatahui apa itu tegan

Cara Menghitung Ampere Motor 3 dan 1 Phase dengan Rumus Daya

Sering kali, anda menjumpai motor listrik untuk menggerakan mesin pada pabrik - pabrik sekarang dan kebanyakan 85% didalam pabrik menggunakan motor listrik untuk menggerakan mesinnya. motor listrik ada 2 jenis Phase yang pertama adalah 3 phase yang di mana ada tegangan R S T sedangkan yang ke dua adalah 1 Phase dimana motor listrik hanya diberi tegangan phase dan Netral aja, contohnya seperti pumpa air dirumah.     Dari motor - motor tersebut maka anda sangat perlu untuk menghitung amperenya dimana anda membeli motor 1 phase tapi kapasitas rumah anda hanya 450 Watt saja maka anda harus menghitung motor airnya harus di bawah dari 450 Watt. Plate Motor 1 Phase  Diatas adalah name plate motor 1 phase dimana   sudah di ketahui KW dan Amperenya jika hanya di   ketahui KWnya saja bagaimana seperti berikut   menghitungya:  Diket : P : 8 KW = 8 x 1000 = 8000 Watt V : 220V Ditanya : Berapa Nilai Amperenya? Rumus daya  Motor 1 Phase: P = V x I I  = P/V Keterangan : P  : Daya ( Watt ) I   : Arus

Cara Menentukan Ukuran Kabel Instalasi Listrik

Dalam sebuah instalasi listrik di sebuah rumah atau bangunan, penggunaan kabel listrik haruslah diperhatikan betul. Mengingat kesalahan penggunaan dan pemasangan kabel dapat membahayakan manusia atau penghuni rumah. Dalam menggunakan sebuah kabel ini dari anda harus tahu jenis kabel yang akan di pasang, berapa ukuran kabel listrik, luas penampang maupun panjang kabel listrik. Ukuran Kabel Listrik Seperti yang kita ketahui bersama bahwa fungsi sebuah kabel listrik adalah untuk menghantarkan arus listrik dari sumber listrik menuju beban daya suatu alat listrik. Yang dimaksud dengan ukuran kabel lisrik adalah luas penampang kabel . Sehingga setiap ukuran kabel listrik akan menggunakan satuan mm2 . Mengapa menggunakan ukuran kabel yang tepat sangat penting ? karena kesalahan dalam penentuan ukuran kabel dapat menyebabkan resiko yang fatal. Beberapa kode yang sering ditemukan pada sebuah kabel listrik yaitu : 1 X   1,5 mm 1 X   2,5 mm 2 X   1,5 mm 2 X   2,5 mm Keterangan : Angka sebelum kal

Pengertian Konektor RJ45 dan Fungsinya Lengkap

 RJ45 adalah konektor kabel ethernet yang kebanyakan memiliki fungsi sebagai konektor pada topologi jaringan komputer LAN (Local Area Network) dan topologi jaringan lainnya. RJ itu sendiri adalah singkatan dari Registered Jack yang merupakan standard peralatan pada jaringan yang mengatur tentang pemasangan kepala konektor dan urutan kabel, yang digunakan untuk menghubungkan 2 atau lebih peralatan telekomunikasi (Telephone Jack) ataupun peralatan jaringan (Computer Networking). Juga merupakan suatu interface fisik dari jaringan kerja (network) , untuk kegunaan telekomunikasi dan komunikasi data. Konektor RJ45 memiliki fungsi untuk memudahkan penggantian pesawat telpon atau memudahkan untuk di pindah-pindah serta mudah untuk di cabut tanpa khawatir tersengat aliran listrik dan menghubungkan konektor LAN melalui sebuah pusat network. Konektor RJ45 memiliki 8 buah pin. Pin pertama terdapat di paling kiri apabila pin RJ45 menghadap ke anda, di ikuti pin nomor 2, 3, 4 dan seterusnya. Cara pe

Jenis Kabel Listrik beserta Fungsi dan Gambarnya

Berbicara mengenai kabel listrik tentu sangat luas sekali. Kabel listrik sendiri merupakan komponen yang memiliki peran vital dalam berbagai peralatan elektronik yang kita gunakan sehari-hari. Dari kegunaannya, jenis-jenis kabel listrik ini sangat banyak dan beragam. Pemakaian jenis kabel pun harus tepat agar tidak menyebabkan konsleting listrik. Untuk itu penting sekali mengetahui jenis jenis kabel listrik berikut ini. Kabel listrik Kabel listrik merupakan sebuah komponen konduktor yang berfungsi untuk menghantarkan arus listrik ke benda-benda atau peralatan yang membutuhkan energi listrik agar dapat bekerja. Meskipun jenis-jenis kabel listrik sangat banyak, tetapi pada umumnya setiap kabel listrik terdiri dari dua bagian utama, yakni bagian isolator dan bagian konduktor. Bagian-bagian Kabel Listrik Pada kabel listrik, bahan isolator merupakan bahan yang tidak dapat menghantarkan arus listrik. Pada isolator terdiri dari pembungkus kabel yang memiliki fungsi sebagai pelindung (agar tid

Fungsi dan Cara Setting MCCB ( Moulded Case Circuit Breaker )

Mengulas lebih dalam tentang MCCB - dunia listrik sangat banyak sekali peralatan listrik sebagai pengaman untuk keselamatan dari bahaya listrik maupun untuk mengamankan sebuah motor dan peralatan listrik lainya dari bahaya short circuit. Apa itu MCCB ? MCCB adalah singkatan dari Moulded Case Circuit Breaker, sebagai pengaman terjadinya hubung singkat short circuit dan beban lebih overload agar tidak terjadinya kerusakan pada motor listrik maupun kebakaran yang disebabkan oleh short circuit yang selalu menimbulkan bunga api. MCCB biasanya digunakan oleh industri karena MCCB hanya untuk pengaman listrik 3 phase, dan motor listrik industri juga menggunakan listrik 3 phase, jadi jika anda ingin bertemu apa itu namanya mccb dan dan digunakan untuk apa mampir deh pabrik terdekat dan minta tolong untuk dilihatkan apa itu mccb. Pole MCCB Mccb memiliki macam – macam pole: 1 Pole, 2 Pole, 3 Pole, 4 Pole Mccb memiliki macam – macam kA: 36kA, 50kA, 85kA, 100kA Karakter MCCB - Hanya menggunakan 3 p

MENGENAL PANEL LISTRIK , JENIS DAN SPESIFIKASINYA

Pengertian Panel Listrik Panel listrik adalah suatu benda berbentuk kubus dengan berbagai ukuran ataupun bervariasi dengan sebelah sisi dibuat lubang selebar hampir sama dengan belakangnya, dan nantinya di baut penutup seperti daun pintu agar bisa dibuka dan ditutup, dan didalam panel tersebut terdapat papan yang dikaitkan dengan sisi belakang pintu di pakai baut yang nantinya papan tersebut dapat dilepas dan dipasang kembali. Pada umumnya panel listrik adalah terbuat dari plat besi dengan ketebalan 0,5 – 1 mm. Biasanya disesuaikan dengan ukuran atau besarnya panel, dan nantinya papan tersebut yang akan digunakan tempat pemasangan komponen-komponen listrik. Fungsi Panel Listrik Fungsi dari panel listrik adalah untuk menempatkan komponen listrik sebagai pendukung dari mesin-mesin listrik agar bisa beroperasi  sesuai dengan prinsip kerja dari mesin listrik itu sendiri. Untuk mengamankan komponen listrik supaya terlindungi dari pengaruh di sekelilingnya. Untuk menata komponen atau rangkai

Perbedaan Antara KW, KVA, KWH, KVAr

Apa definisi KVA, KW, Watt, KWH, KVar, dan apa perbedaannya? Mungkin kita pernah menjumpai satuan listrik yang terkadang ditulis dengan menggunakan Watt, KW, atau KVA, Dan ini sering menjadi pertanyaan bagi kita, apa sebenarnya perbedaan satuan KW dan KVA, dan berapa 1 kVA, atau mungkin berapa itu 1 KVA KW? Selain itu kita juga sering mendengar istilah KWH, maka pertanyaannya, 1 KWH berapa Watt, atau 1 Kw berapa KWH? Untuk menjawab pertanyaan tersebut, berikut penjelasan mengenai apa yang dimaksud dengan KVA, KW, Watt, KWH, Kvar, dan apa perbedaannya. Apa yang dimaksud dengan KVA, KW, KVAr, dan KWH? Dalam listrik tiga fasa, terdapat 3 jenis daya listrik yang disebut juga dengan segitiga daya, yaitu: Daya Semu (KVA) Daya Aktif (KW) Daya Reaktif (KVAr) KVA KVA (Kilo Volt Ampere) untuk daya listrik yang tidak terlalu besar biasanya cukup menggunakan satuan daya VA (Volt Ampere). 1 KVA = 1000VA KVA adalah satuan daya listrik yang diperoleh dari perhitungan rumus daya, atau biasa disebut de

Inside the Box: UCLA's New Portable Data Center

When UCLA found out that a planned upgrade to its brick and mortar data center was going to surpass the original budget estimate by several million dollars, it began thinking "inside the box"--and chose cargo-container computing. By Dian Schaffhauser 08/11/11 The latest and potentially most powerful research data center at the University of California Los Angeles (UCLA) was delivered on the back of a flat bed truck from Austin, TX. It was put in place with a crane. The facility resembles the kind of container used to run portable recycling centers. But when it's fully loaded and performing research in physics, economics, genomics, and biochemistry, among other disciplines, the Performance Optimized Datacenter, or POD, will support more than 1,500 compute nodes. This far exceeds the campus' traditional "brick and mortar" data centers in sheer computing power, and yet it fits into a compact space of 40' x 8'. The story of UCLA&#