The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Статистика уязвимостей web-приложений

10.09.2008 12:45

Консорциум безопасности web-приложений (WASC) опубликовал отчет по результатам исследования уязвимостей web-приложений за 2007 год. Отчет отталкивается от статистики, полученной в результате проверки безопасности 32717 сайтов и анализа 69476 уязвимостей.

Некоторые интересные факты:

  • Более 7% из проанализированных сайтов могут быть скомпрометированы средствами автоматического взлома. В 7.72% всех рассмотренных web-приложений, в результате автоматического сканирования, были обнаружены серьёзные ошибки безопасности.
  • В качестве самых распространенных уязвимоей отмечаются:
    • Межсайтовое выполнение сценариев (Cross-Site Scripting, XSS): 41% всех найденных уязвимостей, проблеме подвержены 31.47% всех проверенных сайтов;
    • Утечки информации (Information Leakage): 32% уязвимостей, 23.27% сайтов;
    • Подстановка SQL операторов (SQL Injection): 9% уязвимостей, 7.85% сайтов;
    • Размещение важных ресурсов в предсказуемых местах (Predictable Resource Location): 8% уязвимостей, 10.24% сайтов;

    Как правило, XSS и SQL Injection уязвимости обусловлены проблемами на этапе разработки приложений, в то время как утечка информации и предсказуемое размещение ресурсов - результат ошибок при администрировании.

  • Более детальный анализ выявил степень распространение более опасных уязвимостей:
    • Подмена содержимого (Content Spoofing): 5.96% уязвимостей, 18.40% сайтов;
    • Недостаточная авторизация (Insufficient Authorization): 1.73% уязвимостей, 14.16% сайтов;
    • Недостаточная аутентификация (Insufficient Authentication): 1.88% уязвимостей, 12.95% сайтов;
  • Эффективность (вероятность) методов выявления уязвимостей:
    • Аутентификация (Authentication): 56.54%
    • Авторизация (Authorization): 19.01%
    • Атаки на пользователей сайта (Client-side Attacks): 69.37%
    • Выполнение кода на сервере (Command Execution): 27.85%
    • Получение дополнительной информации о web-приложениях (Information Disclosure): 56.54%
    • Логические атаки (Logical Attacks): 13.92%
  • Сравнение отставания вероятности обнаружения наличия уязвимостей при автоматическом сканировании от детального анализа (для опасных уязвимостей вероятность обнаружения проблемы при детальном анализе в 12.5 раз выше, чем при автоматической проверке):
    • Подмена содержимого (Content Spoofing): 18.30%
    • Недостаточная авторизация (Insufficient Authorization): 14.15%
    • Недостаточная аутентификация (Insufficient Authentication): 12.95%
    • Подстановка SQL операторов (SQL Injection): 8.68%
  • Среднее число уязвимостей на сайт, в зависимости от классов опасности (в скобках, результат автоматического сканирования и детального анализа):
    • Незначительная опасность: 3.15 (2.96, 1.11)
    • Средняя опасность: 2.35 (2.04, 2.65)
    • Высокая опасность: 4.22 (2.33, 8.91)
    • Всего: 2.12 (1.61, 13.11)


  1. Главная ссылка к новости (http://www.securityfocus.com/a...)
  2. Web Application Security Consortium: Классификация угроз
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/17822-web
Ключевые слова: web, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (16) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Серж (??), 18:44, 10/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да уж... Ждём-с платных веб-серверных сторожей от Каспера, Нортона и иже с ними :-(
     
     
  • 2.2, kost BebiX (?), 20:11, 10/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    :-)))

    Ага, и первую главу о них в мануале по пхп со словами "Запомните. Вы - будущий быдлокодер, а потому антивирус для вас - очень важно".

    p.s.: шучу, но зачастую так оно и оказывается

     
  • 2.3, melesik (?), 20:12, 10/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Это не поможет
     
  • 2.10, Александр Чуранов (?), 00:47, 11/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Мы их уже сделали:
    http://www.cisco.com/en/US/prod/collateral/contnetw/ps5719/ps9586/data_sheet_
     

  • 1.4, Geol (?), 20:31, 10/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не в коем случае не страдая лишьей беспечностью, всё таки позволю себе заметить, что все эти "уязвимости", по боьшей части являются таковыми только в глазах отделов маркетинга секьюрити компаний. Посмотрим:
    Cross-Site Scripting, XSS - как правило обнаружение данной уязвимости обозначает, что путливое создание, запихав JavaScript в поле формы [почти] добилось выполнения дико хакерского скрипта window.alert('test');. И всё. Это при том, что даже максиум - кража админских кукисов, не гарантирует и вообще, при нормальной системе аутентификации, не предполагает перехват админского пароля. но если в форме можно передать "<", это уязвимость, ага.
    SQL Injection - ровно то же самое. Это идиотизм, считать уязвимыми по причине SQL Injection те сайты, где данные из формы используются для запросов в бд операторами типа mysql_query("SELECT.... WHERE name=".$_POST('user_name');. это неважный стиль, но не вкаком разе не уязвимость.
     
     
  • 2.7, exn (??), 21:16, 10/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >mysql_query("SELECT.... WHERE name=".$_POST('user_name');
    >не вкаком разе не уязвимость.

    если конечно $_POST('user_name') не user'; update table set password=MD5('123') where user_id='administrator';;;; как минимум.

     
     
  • 3.8, Geol (?), 21:25, 10/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > user'; update table set password=MD5('123') where user_id='administrator';;;; как минимум.

    у меня такой код не сработает. Не сработае понескольким причинам, главная из которых - все входные данне всегда проверяются на соответствие своему формату. Без относительно использования той или иной бд.

     

  • 1.5, Аноним (5), 20:38, 10/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Дак а какой выход тогда ?
    позабыть о mysql и всяких cms движках и всем дружно передти чисто на html ???
     
     
  • 2.6, alexmasz (?), 20:42, 10/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >позабыть о mysql и всяких cms движках и всем дружно передти чисто на html ???

    о, как замечательно было бы :)

     
  • 2.9, Аноним (9), 21:39, 10/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Дак а какой выход тогда ?
    >позабыть о mysql и всяких cms движках и всем дружно передти чисто
    >на html ???

    Везде, где можно, перейти на NNTP.

     
     
  • 3.13, Anonymous (?), 10:16, 11/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>Дак а какой выход тогда ?
    >>позабыть о mysql и всяких cms движках и всем дружно передти чисто
    >>на html ???
    >
    >Везде, где можно, перейти на NNTP.

    Владельцы Web-форумов не допустят, чтобы от них сбежало 90% посетителей и они потеряли деньги от рекламы.

    (Я сам бы предпочёл платить провайдеру за сервер NNTP, чем испытывать не себе примитивизм Web-технологий.)

    Бабло пришло в Интернет и отобрало у нас удобство.

     
  • 2.12, Geol (?), 09:48, 11/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Дак а какой выход тогда ?
    >позабыть о mysql и всяких cms движках и всем дружно передти чисто
    >на html ???

    А лучший способ избежать угона машины. ходить пешком.

     

  • 1.14, nobody (??), 13:29, 11/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как то столкнулся по работе с одной фирмой. Меня попросили проверить безопасность разработанного ими сайта. Через 5 минут я слил весь исходный код сайта (так проще выявить все уязвимости), при этом у меня был доступ к сайту только как у обычного пользователя. От просмотра кода у меня волосы встали дыбом. Разработчики даже не знали о существовании таких функций как htmlspecialchars, addslashes и trim. И за такую систему взяли не малые деньги...
    Так что такие большие проценты уязвимых систем отражают лиш уровень подготовки разработчиков.
     
     
  • 2.15, Аноним (9), 13:52, 11/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    А также то, что веб в его нынешнем виде - штука изначально кривая.
     
     
  • 3.16, Bubmik (?), 16:48, 11/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >А также то, что веб в его нынешнем виде - штука изначально
    >кривая.

    и тем не менее ты сам в нем сидишь

     
     
  • 4.17, Аноним (9), 18:18, 11/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Был бы opennet  в виде сервера новостей (NNTP) - сидел бы на нем.
    А так стараюсь пользоваться другими средствами везде, где возможно: почта - SMTP/POP3, онлайн общение - jabber, передача файлов - ftp.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру