Почти половина веб-ресурсов крупнейших российских компаний имеют критические уязвимости

ПредыдущаяСледующая
Positive Technologies Logo

Компания Positive Technologies опубликовала результаты своего ежегодного аналитического исследования, посвященного уязвимостям веб-приложений. В статистику попали недостатки безопасности, обнаруженные специалистами Positive Technologies в 2012 году в сайтах крупнейших российских организаций из государственной и промышленной отраслей, сферы IТ и телекоммуникаций (банковским системам посвящена отдельная работа).

Предметом исследования стали 67 ресурсов, протестированных в ходе анализа защищенности. Большинство этих веб-приложений можно назвать критически важными: это порталы самообслуживания сотовых операторов, сайты электронного правительства, веб-решения для контроля и управления промышленными объектами и др.

Согласно полученным результатам, все исследованные веб-приложения содержат те или иные уязвимости, при этом в 45% рассмотренных систем обнаружены уязвимости высокой степени риска. Кроме того, 9 из 10 ресурсов содержат уязвимости среднего уровня риска, что близко к результатам прошлых двух лет.

Телеком и промышленность — в зоне повышенного риска

Максимальная концентрация веб-приложений, содержащих уязвимости высокой степени риска, была выявлена в телекоммуникационной отрасли — 78%.

Полученная цифра весьма велика, но все же ниже доли, выявленной в 2010 и 2011 годах (88%). Не в последнюю очередь это связано с возросшим спросом на услуги по анализу кода новых приложений. Крупные операторы связи осознают необходимость оценки степени защищенности, и при заказе новых веб-приложений проводят их аудит до ввода в эксплуатацию.

Как и прежде, профильные для телекоммуникационной отрасли веб-приложения часто подвержены атакам на пользователей (Client-side Attacks), а также насыщены недостатками, которые позволяют межсайтовое выполнение сценариев (Cross-site Scripting). Среди наиболее опасных уязвимостей следует отметить распространенные в веб-приложениях телекома «Обход каталога» (Path Traversal) и «Внедрение SQL-кода» (SQL Injection), а также «Выполнение команд ОС» (OS Commanding) и «Внедрение XML-кода» (XML Injection), которые встречаются немного реже.

В промышленной сфере ровно половина (50%) ресурсов содержит критические недостатки безопасности. Сотрудникам служб ИБ производственных компаний стоит обращать внимание на недостатки «Выполнение команд ОС» и «Внедрение SQL-кода», а также на менее перспективные с точки зрения злоумышленника и при этом весьма многочисленные уязвимости «Межсайтовое выполнение сценариев».

С небольшим отрывом далее следуют сайты IТ- и ИБ-компаний (45%). Особенностью таких компаний является наличие уязвимостей, позволяющих осуществить внедрение операторов XPath. Включение в исследование данных о веб-приложениях ИБ-компаний имело, вероятно, определенное влияние на общую оценку безопасности IТ-организаций, поскольку в 2010 и 2011 годах доля ресурсов с уязвимостями высокого уровня риска составляла 75%.

Что касается государственных организаций, то примерно каждое третье веб-приложение (27%) в этой сфере содержит уязвимость высокого уровня риска. Год назад этот показатель составлял 65%.

Здесь существенно сказались особенности одного крупного государственного проекта, в котором обнаруженные ранее уязвимости успешно устранялись в течение последнего года. Если не рассматривать данные этого проекта, то доля ресурсов с критическими уязвимостями в государственном секторе составит 50% (такой же показатель и в промышленной сфере).

Снижение доли приложений с критическими уязвимостями в госсекторе свидетельствует о позитивной динамике, но процент уязвимых приложений все еще крайне велик, особенно учитывая интенсивный перевод ряда государственных услуг, а значит и огромных объемов конфиденциальной информации, в интернет. При этом большинство веб-приложений госучреждений и промышленной отрасли проходили анализ уже на стадии промышленной эксплуатации и были доступны пользователям. Все это не позволяет утверждать, что ситуация с защищенностью приложений в этих сферах коренным образом изменилась.

Наиболее опасные для сайтов госорганов вектора атак — «Внедрение SQL-кода», «Обход каталога», «Выполнение команд ОС» и «Отказ в обслуживании» (Denial of Service). Кроме того, именно государственным оказался в 2012 году единственный крупный корпоративный сайт, зараженный вирусом.

Уязвимости 2012

Самые распространенные уязвимости

В 2012 году наибольшее распространение получила уязвимость раскрытия информации Fingerprinting, позволяющая идентифицировать программное обеспечение и подготовить плацдарм для атаки: этому недостатку подвержены три четверти исследованных ресурсов (73%). На втором месте с 63% — межсайтовое выполнение сценариев. Почти в половине систем (46%) присутствуют ошибки, позволяющие автоматически подбирать учетные данные и пароли пользователей (Brute Force). В топ-10 вошли также две критические уязвимости — «Внедрение SQL-кода» и «Обход каталога», которым подвержены 33% и 18% исследованных веб-ресурсов соответственно.

Наименее защищены веб-приложения на языке PHP с веб-сервером Apache

Степень уязвимости веб-приложения напрямую зависит от выбора языка программирования и веб-сервера. PHP оказался самым распространенным языком для разработки веб-ресурсов в 2012 году — на нем написано 36% исследованных систем. Обратная сторона популярности — низкий уровень защищенности: 83% сайтов на PHP содержат критические уязвимости. Данный показатель почти в три раза выше, чем у Perl (29%). Что касается веб-приложений, разработанных на языках Java и ASP.NET, то они наименее подвержены ошибкам высокой степени риска — 15% и 10% уязвимых приложений соответственно, однако 85% приложений на Java и 80% на ASP.NET содержат уязвимости средней степени риска, что не позволяет говорить о высоком уровне безопасности.

Разработчикам веб-приложений на PHP стоит обращать пристальное внимание на критические недостатки «Внедрения SQL-кода» и «Выполнение команд ОС», которые обнаружены примерно в каждом втором ресурсе на этом языке. В свою очередь сайты на ASP.NET подвержены уязвимости «Подбор паролей». Этот факт объясняется тем, что данная технология используется, как правило, в коммерческих приложениях, вместе с централизованным хранилищем идентификационных данных пользователей (Active Directory).

В 2012 году наиболее распространенным веб-сервером оказался Nginx (43%), а наиболее подверженным уязвимостям высокой степени риска стал Apache: 88% использующих его веб-ресурсов подвержены критическим недостаткам безопасности. На втором месте Tomcat — 75% ошибок высокого уровня риска. В прошлом году наиболее уязвимыми были веб-серверы Nginx и Apache.

В 2012 году, как и в 2010 и 2011, веб-приложения под управлением серверов Microsoft IIS оказались самыми безопасными: всего 14% исследованных сайтов содержали уязвимости высокой степени риска.

Большинство уязвимостей веб-серверов связаны с ошибками администрирования, самой распространенной из которых является «Утечка информации» (Information Leakage).

Специализированные средства защиты уровня приложений используется только в одном случае из трех

Только 30% протестированных веб-ресурсов использовали Web Application Firewall (WAF). Учитывая, что на каждом из рассмотренных сайтов были обнаружены те или иные уязвимости, наличие такого средства превентивной защиты, как WAF, могло бы снизить риски, однако на сегодняшний день немногие владельцы веб-приложений прибегают к использованию подобных дополнительных инструментов.

В целом по сравнению с 2011 годом средний уровень защищенности веб-приложений стал немного выше: в частности, доля сайтов, содержащих критические уязвимости, уменьшилась на 15% и составила почти 45%. Эксперты Positive Technologies обнаружили только одно зараженное веб-приложение, тогда как ранее 10% сайтов содержали вредоносный код. С другой стороны, есть и признаки стагнации: никак не изменилась доля веб-приложений с уязвимостями высокого уровня риска в промышленной сфере, а сайты телеком-сектора повышают уровень безопасности очень медленно.

Заместитель технического директора Positive Technologies Дмитрий Кузнецов отмечает: «Общая картина защищенности веб-приложений в 2012 году радикально не изменилась. Заметно, что разработчики прикладывают определенные усилия, чтобы делать создаваемые информационные системы более защищенными: увеличился спрос на услуги анализа защищенности веб-приложений, снизилось количество уязвимостей высокого уровня риска, разработчики систем проявляют все больший интерес к средствам анализа исходного кода приложений и WAF. Тем не менее, о серьезном росте уровня защищенности говорить пока не приходится. Выявляемых уязвимостей высокого и среднего уровня опасности по-прежнему достаточно для проведения успешных атак, и веб-приложения по-прежнему остаются наиболее удобной стартовой точкой для преодоления периметра защиты корпоративных и государственных информационных систем».

29 октября 2013 Г.

08:00

Ctrl
ПредыдущаяСледующая

Все новости за сегодня

Samsung провела демонстрацию своего модема Exynos 5G, но в серийных смартфонах он появится лишь в следующем году: У Samsung уже есть прототип модема 5G

Производительность SoC Exynos 7872 оказалась существенно выше, чем у Snapdragon 625: SoC Exynos 7872 набирает в AnTuTu почти 90 000 баллов1

Внешние хранилища WD G-Technology G-Speed Shuttle with Thunderbolt 3 доступны в вариантах объёмом до 48 ТБ: WD представила хранилища G-Technology G-Speed Shuttle with Thunderbolt 3

Samsung совместно с учёными работает над нейроморфным процессором нового поколения: Samsung хочет стать лидером на рынке нейроморфных процессоров20

BMW сделает поддержку Apple CarPlay доступной по подписке: Использование Apple CarPlay в машинах BMW будет обходиться в 80 долларов в год9

Mitsubishi разработала лучшую, по её мнению, автомобильную камеру, которая позволит избавиться от боковых зеркал: У Mitsubishi уже готова камера для замены боковых зеркал в машинах7

Xiaomi расширила список смартфонов и планшетов, которые получат MIUI 9, доведя его до 40 устройств: Оболочку MIUI 9 получат более 40 моделей смартфонов и планшетов Xiaomi 10

На долю Apple, Samsung и LG пришлось 84% всех новых смартфонов, проданных в прошлом квартале: Apple лидирует на рынке США 6

Стартовало производство умных акустических систем Apple HomePod: Inventec наконец-то начала производство Apple HomePod13

AMD представила технологию FuzeDrive, которая может объединить в один виртуальный накопитель SSD, HDD и даже оперативную память: ПО AMD FuzeDrive стоит 20 долларов26

Курс Bitcoin опустился почти до 10 000 долларов (Обновлено): Курс Bitcoin снова сильно просел80

Аналитики Juniper Research уверены, что гибридные умные часы вскоре станут популярнее обычных: Гибридные умные часы могут заполонить рынок носимой электроники 15

Участники Зимних Олимпийских игр 2018 получат тематические смартфоны Samsung Galaxy Note8 PyeongChang 2018 Limited Edition : Смартфон получил белую заднюю панель со знаменитым логотипом Олимпиады и белый стилус22

Apple борется с HBO за права на новый фантастический сериал Джей Джей Абрамса: Apple может заполучить новый сериал Джей Джей Абрамса22

Смартфон Bluboo S3, который пытается копировать Samsung Galaxy S9+, получил аккумулятор емкостью 8300 мА•ч: А также поддержку технологии быстрой зарядки током 3 А при напряжении 9 В,9

Представлены наушники Meizu Live и Meizu Flow Bass: Корпус Meizu Live выполнен при помощи технологии порошковой металлургии из прозрачного поликарбоната с металлическими элементами

Представлен смартфон Meizu M6s, вобравший в себя множество новых для компании решений: Meizu M6s оценили в 155 долларов8

Смартфон Xiaomi Mi 7 будет представлен на MWC 2018 одновременно с Samsung Galaxy S9: В прошлом году стало известно, что Xiaomi и Qualcomm занимаются оптимизацией однокристальной системы Snapdragon 845 для Xiaomi Mi 72

Новый смартфон Huawei имеет экран с соотношением сторон 19:9: Смартфон получил экран разрешением 2280 х 1080 пикселей8

В Китае построили экспериментальный очиститель воздуха высотой 100 м: В Китае возвели гигантский очиститель воздуха20

Samsung зарегистрировала торговую марку Micro QLED: О телевизорах, в которых используется технология Micro QLED, производитель ничего не говорил8

Apple открывает 500-й фирменный магазин, который станет первым Apple Store на родине главного конкурента: Магазин откроется 27 января27

Смартфон Moto Z3 получит изогнутый шестидюймовый дисплей: Появились изображения Moto Z3 и Z3 Play7

Китай лидирует по объему использования смартфонов для оплаты товаров и услуг: Ожидается, что в 2018 году 77,5% пользователей смартфонов в Китае используют их для оплаты товаров и услуг3

Idmix Power Bank — самый быстрый проводной и беспроводной портативный аккумулятор: dmix Power Bank доступен в базовой версии емкостью 8000 мА•ч по цене 59 долларов на стадии предзаказа1

Lenovo может вернуть бренд Zuk: Бренд Zuk просуществовал на рынке меньше двух лет, в течение которых было выпущено всего несколько смартфонов1

В 2018 году Foxconn отвоевала у Quanta Computer часть заказов на MacBook: Foxconn начнет массовое производство соответствующей продукции во втором квартале 2018 года2

Смартфон Moto X5 будет похож на iPhone X, а модели линейки Moto G6 примерят корпуса из стекла и металла: Появились изображения смартфонов Moto X5, Moto G6, G6 Plus и G6 Play20

OnePlus временно заблокировала возможность оплачивать товары в онлайн-магазине посредством карт: OnePlus отключила возможность оплаты картами в своём онлайн-магазине на время расследования

Одноплатный ПК Raspberry Pi Zero WH предлагает уже распаянные разъёмы GPIO: Одноплатный ПК Raspberry Pi Zero WH стоит 15 долларов3

Производительность GPU в SoC Snapdragon 670 практически равна производительности GPU в Snapdragon 820: Snapdragon 670 получит производительное графическое ядро11

Видеокарты снова сильно подорожали на фоне дефицита: Видеокарты AMD и Nvidia сильно подорожали59

Смартфон Cubot X18 Plus получил изогнутый дисплей и Android 8.0 Oreo из коробки: В продажу Cubot x18 Plus поступит в начале марте по очень привлекательной цене7

Смартфон Alcatel 3V получит «стеклянный» корпус, сдвоенную камеру, крупный экран и слабую платформу: Смартфон Alcatel 3V будет стоить 180 евро 2

194
-

iXBT TV

  • Обзор складной гладильной системы MIE Maxima: утюг, отпариватель для одежды и гладильная доска

  • Обзор недорогого Full HD DLP-проектора BenQ W1050 для домашнего кинотеатра

  • Процессор Intel с графикой AMD, экраны любой формы и размера

  • Критическая уязвимость Intel, разбор Apple iMac Pro, Dell XPS 13 стал тоньше

  • Обзор компактной беспроводной колонки JBL Playlist с поддержкой Chromecast

  • Обзор игрового IPS-монитора LG 34UM69G с соотношением сторон 21:9

  • Обзор блока питания Aerocool P7-750W Platinum с гибридной системой охлаждения

  • Apple специально замедляет старые iPhone, VR-революция, крошечный телефон

  • Обзор широкоугольного объектива Canon EF 35 mm F1.4L II USM

  • Обзор робота-пылесоса Kitfort KT-516 со сменными уборочными блоками

  • iMac Pro за $13 000, космический туризм, клавиатурные шпионы от HP

  • Обзор продвинутых сетевых накопителей QNAP D2 Pro и D4 Pro

Календарь

октябрь
Пн
Вт
Ср
Чт
Пт
Сб
Вс

-