Несмотря на все преимущества веб-приложений, уязвимости в них являются одним из наиболее распространенных путей проникновения в корпоративные информационные системы. Это подтверждается статистическими исследованиями, которые ежегодно проводятся экспертами Positive Technologies.
Предметом исследования стали 67 ресурсов крупнейших российских организаций государственной и промышленной отраслей, сферы телекоммуникаций и IT (банковским системам посвящена отдельная работа).
Примечание: в ходе исследования анализировались данные, полученные при проведении работ по оценке уровня защищенности веб-приложений в 2012 году.
Самые распространенные уязвимости
В число 10 самых распространенных уязвимости вошли две критические — «Внедрение операторов SQL» и «Обход каталога», которым подвержены 33% и 18% исследованных веб-ресурсов соответственно.
В 2012 году наибольшее распространение получила уязвимость раскрытия информации Fingerprinting, позволяющая идентифицировать программное обеспечение и подготовить плацдарм для атаки: этому недостатку подвержены три четверти исследованных ресурсов (73%). На втором месте с 63% — межсайтовое выполнение сценариев (Cross-site Scripting). Почти в половине систем (46%) присутствуют ошибки, позволяющие автоматически подбирать учетные данные и пароли пользователей (Brute Force).
Уязвимости, характерные для различных средств разработки веб-приложений
Согласно результатам проведенного исследования, 83% веб-приложений, разработанных на языке PHP, содержат критические уязвимости, остальные 17% таких систем содержат уязвимости средней и низкой степени риска. На втором месте Perl: почти треть систем содержат уязвимости высокого уровня риска.
Уязвимости, характерные для различных веб-серверов
В 2012 году наиболее подвержен уязвимостям высокой степени риска был веб-сервер Apache: 88% использующих его веб-ресурсов содержат критические недостатки безопасности. На втором месте Tomcat — 75% ошибок высокого уровня риска. Третье место с 43% уязвимых ресурсов занял Nginx, а самым безопасным стал веб-сервер IIS (14%).
Напомним, что по результатам предыдущего исследования наиболее уязвимыми оказались веб-серверы Nginx и Apache.
Большинство уязвимостей веб-серверов связаны с ошибками администрирования, самой распространенной из которых является Information Leakage.
Уязвимости по отраслям
Максимальная концентрация веб-приложений, содержащих уязвимости высокой степени риска, была выявлена в телекоммуникационной отрасли — 78%. В промышленной сфере ровно половина (50%) ресурсов содержит критические недостатки безопасности, далее с небольшим отрывом следуют сайты IТ- и ИБ-компаний (45%). Что касается государственных организаций, то примерно каждое третье (27%) веб-приложение в этой сфере содержит уязвимость высокого уровня риска.
Выводы
В целом по сравнению с 2011 годом средний уровень защищенности веб-приложений стал немного выше: в частности, доля сайтов, содержащих критические уязвимости, уменьшилась на 15% и составила почти 45%. Эксперты Positive Technologies обнаружили только одно зараженное веб-приложение, тогда как ранее 10% сайтов содержали вредоносный код. С другой стороны, есть и признаки стагнации: никак не изменилась доля веб-приложений с уязвимостями высокого уровня риска в промышленной сфере, а сайты телеком-сектора повышают уровень безопасности очень медленно.
С полной версией исследования можно ознакомиться на сайте Positive Technologies.
ссылка на оригинал статьи http://habrahabr.ru/company/pt/blog/199052/
Добавить комментарий