Корпоративные приложения на базе специализированного клиентского ПО все чаще заменяются веб-версиями и облачными сервисами.
Поэтому неудивительно, что уязвимости веб-приложений становятся одной из основные векторы атаки по корпоративным информационным системам.
В данной статье представлена статистика наиболее распространенных уязвимостей, собранная экспертами Positive Technologies в процессе анализа безопасности веб-приложений в 2014 году.
Источники и методология
Всего за год наши специалисты проанализировали около 300 веб-приложений.Из них выявлено 40 систем, для которых был проведен углубленный анализ с наиболее полным охватом проверок.
В статистику вошли только данные о внешних веб-приложениях, доступных из глобальной сети Интернет. Оценка защищенности проводилась методами черного, серого и белого ящика с использованием вспомогательных автоматизированных средств.
Обнаруженные уязвимости были классифицированы по соответствующим угрозам с использованием системы WASC TC v. В версии 2 уровень риска уязвимостей оценивался с помощью CVSS v. 2. В статистику вошли только уязвимости, связанные с ошибками в коде и конфигурации веб-приложений.
Изученные веб-приложения принадлежали компаниям, представляющим различные отрасли: электронную коммерцию (30%), финансы и банковское дело (22%), промышленность (17%), информационные технологии (15%) и телекоммуникации (13%); В исследовании также приняло участие одно правительственное учреждение.
Большинство веб-приложений, включенных в выборку, были разработаны на основе PHP (58%) и ASP.NET (25%).
Самым распространенным веб-сервером в исследовании этого года был Nginx (37% веб-приложений), за ним следовали Apache (26%) и Microsoft IIS (24%).
Большую часть ресурсов составляли производственные системы (85%), но были осмотрены и испытательные полигоны, находившиеся в процессе разработки или принятия на вооружение.
Общие результаты
Все 40 исследованных веб-приложений содержат те или иные уязвимости, всего их 1194. При этом 68% систем содержат уязвимости высокого риска.Этот показатель выше прошлогоднего (62%).
При этом в 2013 году в среднем на одно веб-приложение приходилось 15,6 уязвимостей, а в 2014 году это число увеличилось почти вдвое — до 29,9. Большинство выявленных уязвимостей (89%) вызваны ошибками в программном коде, и только 11% недостатков связаны с неправильной настройкой веб-приложений.
Доли уязвимых сайтов в зависимости от степени риска уязвимости
В 2014 году самой распространенной (73% систем) уязвимостью стала уязвимость низкого риска «Идентификация программного обеспечения» (Fingerprinting).
Второе место (70%) занимает самая распространенная уязвимость 2013 года — «Межсайтовый скриптинг» (XSS).
В результате эксплуатации этой ошибки в коде злоумышленник может организовать атаку на пользователей веб-приложения, например, с целью получить доступ к их личному кабинету.
Более половины веб-сайтов содержат уязвимости, связанные с использованием предсказуемых значений идентификаторов пользователя и сеанса (Credential/Session Prediction).
Критически опасная уязвимость SQL Injection поднялась с 6-го на 4-е место и теперь обнаруживается почти в половине веб-приложений (48%).
«эксплуатация данной уязвимости может привести к несанкционированному доступу к важной информации, хранящейся в базах данных приложения; Кроме того, зачастую можно развить атаку до получения полного контроля над сервером.
Уязвимости в инструментах разработки
Как и в прошлом году, наиболее уязвимыми оказались PHP-приложения: 81% систем, написанных на этом языке, содержат критические уязвимости (в прошлом году — 76%).А вот для ресурсов на базе ASP.NET этот показатель снизился с 55 до 44%.
Каждое веб-приложение PHP содержит в среднем 11 критических уязвимостей.
Для ASP.NET этот показатель составил 8,4, но в данном случае на статистику большое влияние оказала одна система, содержащая 60 уязвимостей высокого риска: в других приложениях на базе ASP.NET среднее количество уязвимостей составило всего 2. Также можно отметить, что доля ресурсов PHP, затронутых уязвимостью межсайтового скриптинга, значительно выше (95%), чем соответствующая доля ресурсов ASP.NET (44%).
Это может быть связано с тем, что ASP.NET имеет встроенные базовые механизмы защиты от атак этого типа (Проверка запроса).
Наиболее распространенные уязвимости (по инструментам разработки)
Уязвимости по серверам
86% изученных веб-приложений, работающих под управлением сервера Nginx, содержат уязвимости высокого риска.Доля уязвимых ресурсов на базе Microsoft IIS существенно снизилась по сравнению с 2013 годом и составила 44% вместо 71%.
Количество уязвимых сайтов под Apache увеличилось на 10% и составило 70%.
Наиболее распространенной ошибкой при администрировании веб-сервера является «Идентификация программного обеспечения» (отпечаток пальца).
В частности, данная уязвимость встречается на 8 из 10 веб-ресурсов, работающих под управлением Apache. Это связано с тем, что стандартная конфигурация исследуемых серверов предполагает раскрытие информации о версии веб-сервера в сообщениях об ошибках (например, при обращении к несуществующему ресурсу).
Уязвимости по отраслям
Банковская отрасль лидировала по количеству систем с уязвимостями высокого риска (89%).Это может быть связано с тем, что большая часть исследованных ресурсов не являлась системами дистанционного банковского обслуживания или другими системами, в которых обрабатываются данные финансовых транзакций, поэтому банки уделяли меньше внимания обеспечению защиты данных приложений.
Также для телекоммуникационной отрасли отмечен высокий процент веб-приложений, подверженных критически опасным уязвимостям (80%).
Далее следуют промышленность (71%) и информационные технологии (67%).
В электронной коммерции доля систем с уязвимостями высокого риска также достаточно высока — 42%.
По среднему количеству уязвимостей на систему наименее защищенными оказались сайты промышленных предприятий: на одно приложение приходится 18 критических уязвимостей.
Стоит отметить, что упомянутое ранее приложение, в котором было выявлено 60 критических уязвимостей, относилось к промышленному сектору.
Без его учета соответствующий показатель для этого сектора экономики составляет 13,1 уязвимостей высокого риска на систему, что совпадает с показателем для банковской отрасли.
В 2014 году уязвимости высокой степени опасности SQL-инъекций, XML-инъекций и обхода каталогов встречались чаще, чем другие уязвимости.
Как и в 2013 году, критически опасная уязвимость «SQL-инъекция» была обнаружена в веб-приложениях во всех исследованных отраслях.
Доли уязвимых сайтов из различных секторов экономики
Уязвимости на производственных и тестовых площадках
Критически опасные уязвимости были обнаружены в 71% продуктивных веб-ресурсов; для испытательных полигонов этот показатель составляет 50%.Среднее количество уязвимостей высокого риска, выявленных в тестовых системах (12,8), почти в два раза выше, чем в производственных системах, где в среднем было выявлено 7 критических уязвимостей.
Однако в среднем в производственных системах было выявлено больше уязвимостей среднего риска (20,6 против 14,3 для тестовых систем).
Такая ситуация с безопасностью уже работающих систем наглядно демонстрирует необходимость реализации процессов безопасности на всех этапах жизненного цикла приложений (SSDLC).
Сравнение методов тестирования
В ходе исследования безопасности специалисты Positive Technologies сравнили результаты тестирования «белого ящика» (с использованием внутренних данных о системе, включая анализ исходных кодов) с результатами тестирования методами «черного и серого ящика» (когда анализ проводится с привилегиями, идентичными потенциального злоумышленника).Доля сайтов, содержащих уязвимости высокого и среднего риска, оказалась примерно одинаковой для этих методов тестирования.
Можно сделать вывод, что отсутствие у злоумышленника доступа к исходным кодам не обеспечивает безопасность веб-приложений.
С другой стороны, анализ исходного кода в дополнение к анализу черного и серого ящика может выявить больше уязвимостей для каждого приложения.
В частности, тестирование «белого ящика» обнаруживает в среднем в 3,5 раза больше уязвимостей среднего риска по сравнению с методами «черного» и «серого ящика».
Еще один яркий пример: в каждом ресурсе, проверенном методами черного и серого ящика, было обнаружено в среднем 4 уязвимости типа «Межсайтовый скриптинг» — но метод белого ящика выявил в среднем 29 уязвимостей этого типа.
Среднее количество выявленных уязвимостей определенного типа на систему (в зависимости от метода тестирования)
В целом, сегодня уровень безопасности веб-приложений остается крайне низким — и даже хуже, чем в прошлом году.
Несмотря на это, системы обнаружения и предотвращения вторжений на уровне приложений ( брандмауэры веб-приложений ) практически не используются: такой механизм использовался для защиты только одного из всех рассмотренных в данном исследовании сайтов.
Теги: #исследования #уязвимости #информационная безопасность #статистика #информационная безопасностьПолную версию данного исследования, а также сборник Positive Research’ 2015 со всеми исследованиями уязвимостей прошлого года (SCADA, ДБО, телеком и т.д.) можно найти на сайте www.ptsecurity.ru/lab/analytics
А если вас интересуют современные методы исследования безопасности веб-приложений, приглашаем вас послушать бесплатный вебинар Владимира Кочеткова, руководителя отдела разработки анализаторов исходного кода компании Positive Technologies. Вебинар состоится 12 ноября в 14:00, предварительная регистрация здесь: www.ptsecurity.ru/lab/webinars/#42235
-
Футболка Для Экг Из России
19 Oct, 24 -
Новый Алгоритм Защиты От Спама Google
19 Oct, 24 -
Год В Scrum: Наблюдения Scrum-Мастера
19 Oct, 24 -
Браузерный Тест В V8 Benchmark Suite
19 Oct, 24 -
Джаббер → Evernote
19 Oct, 24 -
Как Мне Помог Мельд
19 Oct, 24
