Такой (не)безопасный веб

Дмитрий Евтеев,

руководитель отдела анализа защищенности, Positive Technologies

Positive Technologies – это:

MaxPatrol – уникальная система анализа

защищенности и соответствия стандартам

XSpider – инновационный сканер безопасности

Positive Research – один из крупнейших

исследовательских центров в Европе

Positive Hack Days – международный форум по

практической информационной безопасности

Проводим более 20-ти крупномасштабных тестирований на проникновение в год

Анализируем защищенность веб-приложений на потоке

Участвуем в ПК 3, разработке СТО БР ИББС

Развиваем SecurityLab.ru – самый популярный интернет-портал, посвященный информационной безопасности

Лицензиаты ФСТЭК, ФСБ, Министерства обороны РФ

Мы

Опасный мир веб-приложений

По данным компании Positive Technologies за 2010-2011 год

• 64% сайтов содержат критические уязвимости

• 98% сайтов содержат уязвимости средней степени риска

• Если ваш сайт содержит уязвимость RCE, то с вероятностью в 92% он будет заражен вредоносным кодом (!)

http://www.ptsecurity.ru/lab/analytics/

Данные основываются на детальном анализе 123 сайтов, в которых было обнаружено 1817 уязвимостей различной степени риска.

Наиболее распространенные уязвимости

Cross-Site

Request Forgery

Information Le

akage

Brute Force

SQL Injecti

on

Insufficie

nt Anti-automation

Cross-Site

Scripting

Predictable Reso

urce Lo

cation

OS Commanding

Path Traversa

l

Insufficie

nt Transp

ort La

yer P

rotection

0%

10%

20%

30%

40%

50%

60%

70%61%

54% 52%47%

42%40%

36%

28% 28%22%

% сайтов

Языки программирования веб-ресурсов

Самым распространенным языком веб-программирования стал PHP

Значительная доля приложений написана на ASP.NET или Java

Доля сайтов на Perl и Ruby крайне мала

63%

19%

14%

4%

PHP ASP.NET Java другие

Характерные уязвимости для сайтов на различных языках программирования

81% сайтов на PHP содержат критические уязвимости

Наименее распространены критические уязвимости среди сайтов, написанных на ASP.NET

PHP Доля сайтов ASP.NET Доля сайтов Java Доля сайтов

Cross-Site Request Forgery

73%Cross-Site Scripting

39%Insufficient Authorization

41%

SQL Injection 61%Cross-Site Request Forgery

35%Cross-Site Request Forgery

35%

Cross-Site Scripting

43%Insufficient Anti-automation

35%Application Misconfiguration

29%

Insufficient Anti-automation

42% SQL Injection 22%Insufficient Authentication

29%

Path Traversal 42%Application Misconfiguration

17% OS Commanding 29%

Веб-сервера, используемые участниками тестирования

Самым предпочитаемым веб-сервером оказался Apache, на втором месте – Microsoft IIS, на третьем – Nginx

Кроме них участники выбирали Jboss, Tomcat, IBM HTTP Server, Oracle Application Server и другие

57%

17%

10%

16%

Apache IIS Nginx другие

Уязвимости конфигурации и функционирования веб-серверов

Наилучший уровень защищенности среди веб-серверов показал Microsoft IIS

Среди сайтов на Nginx гораздо больший процент содержащих уязвимости, связанные с ошибками администрирования

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

54%

9%

39%

26%

4% 1% 3%

43%

29%

5% 5%0%

5%0%

83%75%

67%

33%25% 25%

8%

Apache IIS nginx% сайтов

Распространенность уязвимостей высокой степени риска на сайтах из различных секторов экономики

Сайты финансового и промышленного секторов лидируют по защищенности от критических уязвимостей

Худший показатель у ресурсов телекоммуникационной области

Финансовый сектор Промышленность Государственный сектор

Информационные технологии

Телекоммуникации0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

43%50%

65%75%

88%% сайтов

Системы управления содержимым сайта

58% используют коммерческие системы управления содержимым, 25% - свободные, 17% - написанные специально для приложения

58%25%

17%

Коммерческие СвободныеСобственной разработки

Сравнение уровня уязвимости сайтов с CMS различных типов

Практически по всем критическим и распространенным уязвимостям сайты с CMS собственной разработки демонстрируют наихудшие показатели защищенности

Сайты со свободными CMS чаще содержат уязвимость OS Commanding и значительно чаще оказываются заражены вредоносным кодом

0%

10%

20%

30%

40%

50%

60%

70%

47%

20%

29%

8%

0%

33%

59%

2%

34%

48%

28%24%

0%

38%

55%

10%

60%

40%45%

5%10%

65% 65%

30%

Коммерческие Свободные Собственной разработки% сайтов

Используемые идентификаторы и пароли

Разграничение доступа

Отсутствие избыточных компонент

Использование встроенных и сторонних средств защиты

Своевременная установка обновлений и мониторинг безопасности

Простые правила обеспечения безопасности веб-приложений

Безопасность операционных систем (на примере Windows)

Простые правила обеспечения безопасности веб-приложений

Безопасность СУБД (на примере MSSQL)

Простые правила обеспечения безопасности веб-приложений

Безопасность языка разработки (на примере PHP)

Простые правила обеспечения безопасности веб-приложений

Безопасность веб-сервера (на примере Apache)

Простые правила обеспечения безопасности веб-приложений

Безопасность системы управления сайтом (на примере CMS 1C-Bitrix)

Простые правила обеспечения безопасности веб-приложений

WASC: http://projects.webappsec.org/

OWASP: http://www.owasp.org/

Securitylab: http://www.securitylab.ru/

Вебинары Positive Technologies: образовательная программа "Практическая безопасность": http://www.ptsecurity.ru/lab/webinars/

Статьи специалистов исследовательского центра Positive Research: http://www.ptsecurity.ru/lab/analytics/

Узнать больше!

Спасибо за внимание!

devteev@ptsecurity.ruhttp://devteev.blogspot.comhttps://twitter.com/devteev