Навигация

Популярные статьи

Авторские и переводные статьи

Пресс-релизы

Регистрация на сайте


Опрос
Какие телеканалы вы смотрите чаще?







Большинство владельцев сайтов не готовы платить за их безопасность


8 июня 2012 | Интернет / На русском языке / Мир | Добавил: Kravtsova Olga
В период с 2010 по 2011 год эксперты российской компании Positive Technologies в рамках оказания услуг по тестированию на проникновение и анализу защищенности информационных систем проводили детальный анализ веб-приложений ключевых российских компаний и предприятий. Объектами тестирования стали 123 сайта. Оценка защищенности проводилась ручным способом по методам черного и белого ящиков с использованием вспомогательных автоматизированных средств.

Как следует из материалов исследования, на всех 123 порталах были найдены уязвимости (в среднем на каждый из них пришлось по 15 уязвимостей). При этом 64% ресурсов содержали уязвимости критического уровня риска, 98% — среднего уровня и 37% — низкого. Уязвимости успешно эксплуатировались: вредоносным кодом были заражены около 10% сайтов.

Топ-10 наиболее распространенных уязвимостей

Абсолютным лидером стала уязвимость Cross-Site Request Forgery. Она обнаружена на 61% проанализированных сайтов. Далее идут Brute Force и Information Leakage — 52% и 54% соответственно, а также критическая уязвимость SQL Injection (47%). В десятку попали еще две критические уязвимости, OS Commanding и Path Traversal (по 28%), и недостатки среднего уровня риска: Insufficient Anti-automation (42%), Cross-Site Scripting (40%), Predictable Resource Location (36%) и Insufficient Transport Layer Protection (22%).

В целом минувший 2011 год был отмечен ростом доли ресурсов, подверженных уязвимости Cross-Site Request Forgery, тогда как SQL Injection и OS Commanding стали встречаться реже, чем в 2010 г.

Системы управления содержимым

Исследователи обращают внимание на низкую безопасность сайтов, использующих CMS собственной разработки (на таких веб-ресурсах значительно чаще встречались критические уязвимости, чем на порталах с коммерческими и свободными системами). Единственное исключение касается фактического заражения вредоносным кодом. Среди ресурсов, сконструированных на базе CMS собственной разработки, оказались заражены только 5%. Доли сайтов с признаками взлома на коммерческих и свободных системах были заметно выше: 8% и 24% соответственно. Это связано с тем, что веб-приложения на базе самодельных CMS, несмотря на наличие большого количества уязвимостей, меньше подвержены «случайному» взлому в рамках массовой атаки с использованием автоматизированных средств.

С другой стороны, порталы с эксклюзивными движками — отличная мишень для целенаправленного нападения. Почти каждый второй ресурс с собственной CMS содержал следующие критические уязвимости: SQL Injection (60% сайтов), OS Commanding (40%), Path Traversal (45%). Соответствующие доли уязвимых порталов с коммерческими (47%, 20%, 29%) и бесплатными (34%, 48%, 28%) CMS выглядят несколько более оптимистично.
Помимо этого, уязвимость Remote File Inclusion присутствовала исключительно на ресурсах, использующих «самописные» CMS, а Null Byte Injection встретилась на 30% подобных сайтов, что втрое превышает проблемную долю порталов с бесплатными CMS и в 15 раз — с коммерческими. Кроме того, на порталах с уникальными CMS преобладали уязвимости, характерные для осуществления атаки на клиента (Cross-Site Request Forgery и в особенности Cross-Site Scripting).

Среди всех CMS лучше других от кибератак были защищены коммерческие.

Веб-серверы

Наивысший уровень безопасности продемонстрировали сайты под управлением веб-сервера Microsoft IIS. Лишь в отношении двух уязвимостей — Insufficient Transport Layer Protection и Server Misconfiguration — он не показал себя лучшим.

Анализ уязвимостей, связанных с ошибками администрирования, выявил самые значительные проблемы у сайтов на базе веб-серверов nginx: они были подвержены таким уязвимостям, как Server Misconfiguration (25% сайтов), Improper Filesystem Permissions (33%), Transport Layer Protection (75%) и Information Leakage (83%). Для сравнения, доли уязвимых для подобных атак веб-ресурсов, функционирующих на базе Microsoft IIS, оказались гораздо ниже: 5%, 5%, 29% и 43% соответственно. Сайты, использующие веб-серверы Apache, в среднем также показали достойные результаты: 1%, 26%, 9% и 54%.
Порталы на веб-сервере nginx, кроме того, продемонстрировали наибольшую склонность к уязвимостям Predictable Resource Location (67%), Directory Indexing (25%) и Insecure Indexing (8%). Значительно меньше оказалось число ресурсов, уязвимых для Predictable Resource Location, под управлением Apache (39%) и Microsoft IIS (5%). Уязвимость Directory Indexing оказалась характерна для 4% сайтов на базе Apache, а Insecure Indexing — для 3%; обе эти уязвимости не зафиксированы в системах на базе Microsoft IIS.

Языки программирования

Самым распространенным языком программирования для создания веб-приложений оказался PHP — на нем написано 63% протестированных ресурсов. Вместе с тем, у PHP выявлены наиболее серьезные проблемы с безопасностью. Исследование показало, что 81% сайтов на этом языке содержат критические уязвимости, а на 91% ресурсов обнаружены изъяны системы защиты средней степени риска.

Второе место по числу критических уязвимостей в веб-приложениях занимает язык Java (59%). Наименее распространены уязвимости высокого уровня риска среди сайтов, написанных на ASP.NET: их содержат только 26% таких сайтов. Многие сайты содержали распространенные уязвимости, связанные с ошибками при разработке приложений. Подобные проблемы чаще всего наблюдались у ресурсов на языке PHP — особенно в отношении SQL Injection (61% сайтов в сравнении с 22% на ASP.NET и 18% на Java) и Path Traversal (42% против 18% на Java и отсутствия уязвимостей в сайтах на ASP.NET). Уязвимость OS Commanding на платформе ASP.NET была обнаружена только в 4% случаев, на Java — в 29% случаев, а на PHP — чаще всего (36%). На ASP.NET- и Java-сайтах не выявлено ни одной уязвимости типа Null Byte Injection, в отличие от приложений, разработанных на языке PHP (12%). Доля PHP-порталов, уязвимых для Cross-Site Request Forgery, составляет 73% и более чем в два раза превосходит этот показатель для ASP.NET и Java (35%). Таким образом, PHP является лидером по распространенности всех серьезных уязвимостей, связанных с ошибками или недоработками в коде приложений.

Системы ДБО и сайты финансового сектора

Отдельным объектом исследования стали системы дистанционного банковского обслуживания — веб-приложения, наиболее чувствительные к проблемам информационной безопасности. Самыми распространенными уязвимостями здесь оказались Insufficient Authorization (31% всех уязвимостей), Cross-Site Scripting (18%) и Fingerprinting (9%). Обнаруженные в системах ДБО критические уязвимости составляют лишь 1% от общего числа проблем с безопасностью этой группы, что значительно меньше среднего показателя (13%). Основная часть выявленных уязвимостей (90%) связана со средним уровнем риска.

Как показал специальный анализ веб-ресурсов финансового сектора, требованиям по защите веб-приложений стандарта безопасности платежных карт PCI DSS v. 2 удовлетворяют только 10% приложений. Около 24% сайтов оказались подвержены различным инъекциям, среди которых наиболее распространена SQL Injection. Лидером по количеству не соответствующих ресурсов стало требование 6.5: на трех четвертях (76%) сайтов происходит утечка информации в результате некорректной обработки ошибок. Уязвимости Cross-Site Scripting и Cross-Site Request Forgery присутствовали примерно в половине тестируемых веб-приложений (52% и 43% соответственно).

Основные причины заражения вредоносным кодом

В ходе исследования были подробно изучены ресурсы, на которых был обнаружен вредоносный код (их доля составила 10%). Практически все сайты, зараженные вредоносным кодом (92%), написаны на языке PHP и работают под управлением веб-сервера Apache. Половина взломанных веб-приложений функционируют под управлением свободных CMS.

При сравнении распределения уязвимостей на сайтах с вредоносным кодом и без него эксперты Positive Technologies выяснили, что заражению информационного ресурса наиболее способствует наличие уязвимостей OS Commanding и Improper Filesystem Permissions. Треть всех сайтов с уязвимостью OS Commanding оказалась инфицирована.

«Хотелось бы, чтобы защищенность веб-приложений росла гораздо быстрее, чем это происходит сейчас. Выбор популярных или свободных решений приводит к множеству уязвимостей, но большинство держателей ресурсов все еще не готовы платить за безопасность», — прокомментировал результаты исследования Дмитрий Евтеев, руководитель отдела анализа защищенности Positive Technologies.

Источник: CyberSecurity
Комментарии (0) | Распечатать | | Добавить в закладки:  

Другие новости по теме:


 



Телепрограммы для газет и сайтов.
25-ть лет стабильной работы: телепрограммы, анонсы, сканворды, кроссворды, головоломки, гороскопы, подборки новостей и другие дополнительные материалы. Качественная работа с 1997 года. Разумная цена.

Форум

Фоторепортажи

Авторская музыка

Погода

Афиша

Кастинги и контакты ТВ шоу

On-line TV

Партнеры

Друзья

Реклама

Статистика
Главная страница  |  Регистрация  |  Добавить новость Copyright © 2002-2012 Все о ТВ и телекоммуникациях. Все права защищены.