Добавить новость
Добавить компанию
Добавить мероприятие
Наиболее уязвимые сайты сделаны на PHP и уникальных CMS: отчет компании Positive Technologies
08.06.2012 10:13
версия для печати
Как следует из материалов исследования, на всех 123 порталах были найдены уязвимости (в среднем на каждый из них пришлось по 15 уязвимостей). При этом 64% ресурсов содержали уязвимости критического уровня риска, 98% — среднего уровня и 37% — низкого. Уязвимости успешно эксплуатировались: вредоносным кодом были заражены около 10% сайтов. Топ-10 наиболее распространенных уязвимостей Абсолютным лидером стала уязвимость Cross-Site Request Forgery. Она обнаружена на 61% проанализированных сайтов. Далее идут Brute Force и Information Leakage — 52% и 54% соответственно, а также критическая уязвимость SQL Injection (47%). В десятку попали еще две критические уязвимости, OS Commanding и Path Traversal (по 28%), и недостатки среднего уровня риска: Insufficient Anti-automation (42%), Cross-Site Scripting (40%), Predictable Resource Location (36%) и Insufficient Transport Layer Protection (22%). В целом минувший 2011 год был отмечен ростом доли ресурсов, подверженных уязвимости Cross-Site Request Forgery, тогда как SQL Injection и OS Commanding стали встречаться реже, чем в 2010 г. Системы управления содержимым Исследователи обращают внимание на низкую безопасность сайтов, использующих CMS собственной разработки (на таких веб-ресурсах значительно чаще встречались критические уязвимости, чем на порталах с коммерческими и свободными системами). Единственное исключение касается фактического заражения вредоносным кодом. Среди ресурсов, сконструированных на базе CMS собственной разработки, оказались заражены только 5%. Доли сайтов с признаками взлома на коммерческих и свободных системах были заметно выше: 8% и 24% соответственно. Это связано с тем, что веб-приложения на базе самодельных CMS, несмотря на наличие большого количества уязвимостей, меньше подвержены «случайному» взлому в рамках массовой атаки с использованием автоматизированных средств. С другой стороны, порталы с эксклюзивными движками — отличная мишень для целенаправленного нападения. Почти каждый второй ресурс с собственной CMS содержал следующие критические уязвимости: SQL Injection (60% сайтов), OS Commanding (40%), Path Traversal (45%). Соответствующие доли уязвимых порталов с коммерческими (47%, 20%, 29%) и бесплатными (34%, 48%, 28%) CMS выглядят несколько более оптимистично. Помимо этого, уязвимость Remote File Inclusion присутствовала исключительно на ресурсах, использующих «самописные» CMS, а Null Byte Injection встретилась на 30% подобных сайтов, что втрое превышает проблемную долю порталов с бесплатными CMS и в 15 раз — с коммерческими. Кроме того, на порталах с уникальными CMS преобладали уязвимости, характерные для осуществления атаки на клиента (Cross-Site Request Forgery и в особенности Cross-Site Scripting). Среди всех CMS лучше других от кибератак были защищены коммерческие. Веб-серверы Наивысший уровень безопасности продемонстрировали сайты под управлением веб-сервера Microsoft IIS. Лишь в отношении двух уязвимостей — Insufficient Transport Layer Protection и Server Misconfiguration — он не показал себя лучшим. Анализ уязвимостей, связанных с ошибками администрирования, выявил самые значительные проблемы у сайтов на базе веб-серверов nginx: они были подвержены таким уязвимостям, как Server Misconfiguration (25% сайтов), Improper Filesystem Permissions (33%), Transport Layer Protection (75%) и Information Leakage (83%). Для сравнения, доли уязвимых для подобных атак веб-ресурсов, функционирующих на базе Microsoft IIS, оказались гораздо ниже: 5%, 5%, 29% и 43% соответственно. Сайты, использующие веб-серверы Apache, в среднем также показали достойные результаты: 1%, 26%, 9% и 54%. Порталы на веб-сервере nginx, кроме того, продемонстрировали наибольшую склонность к уязвимостям Predictable Resource Location (67%), Directory Indexing (25%) и Insecure Indexing (8%). Значительно меньше оказалось число ресурсов, уязвимых для Predictable Resource Location, под управлением Apache (39%) и Microsoft IIS (5%). Уязвимость Directory Indexing оказалась характерна для 4% сайтов на базе Apache, а Insecure Indexing — для 3%; обе эти уязвимости не зафиксированы в системах на базе Microsoft IIS. Языки программирования Самым распространенным языком программирования для создания веб-приложений оказался PHP — на нем написано 63% протестированных ресурсов. Вместе с тем, у PHP выявлены наиболее серьезные проблемы с безопасностью. Исследование показало, что 81% сайтов на этом языке содержат критические уязвимости, а на 91% ресурсов обнаружены изъяны системы защиты средней степени риска. Второе место по числу критических уязвимостей в веб-приложениях занимает язык Java (59%). Наименее распространены уязвимости высокого уровня риска среди сайтов, написанных на ASP.NET: их содержат только 26% таких сайтов. Многие сайты содержали распространенные уязвимости, связанные с ошибками при разработке приложений. Подобные проблемы чаще всего наблюдались у ресурсов на языке PHP — особенно в отношении SQL Injection (61% сайтов в сравнении с 22% на ASP.NET и 18% на Java) и Path Traversal (42% против 18% на Java и отсутствия уязвимостей в сайтах на ASP.NET). Уязвимость OS Commanding на платформе ASP.NET была обнаружена только в 4% случаев, на Java — в 29% случаев, а на PHP — чаще всего (36%). На ASP.NET- и Java-сайтах не выявлено ни одной уязвимости типа Null Byte Injection, в отличие от приложений, разработанных на языке PHP (12%). Доля PHP-порталов, уязвимых для Cross-Site Request Forgery, составляет 73% и более чем в два раза превосходит этот показатель для ASP.NET и Java (35%). Таким образом, PHP является лидером по распространенности всех серьезных уязвимостей, связанных с ошибками или недоработками в коде приложений. Системы ДБО и сайты финансового сектора Отдельным объектом исследования стали системы дистанционного банковского обслуживания — веб-приложения, наиболее чувствительные к проблемам информационной безопасности. Самыми распространенными уязвимостями здесь оказались Insufficient Authorization (31% всех уязвимостей), Cross-Site Scripting (18%) и Fingerprinting (9%). Обнаруженные в системах ДБО критические уязвимости составляют лишь 1% от общего числа проблем с безопасностью этой группы, что значительно меньше среднего показателя (13%). Основная часть выявленных уязвимостей (90%) связана со средним уровнем риска. Как показал специальный анализ веб-ресурсов финансового сектора, требованиям по защите веб-приложений стандарта безопасности платежных карт PCI DSS v. 2 удовлетворяют только 10% приложений. Около 24% сайтов оказались подвержены различным инъекциям, среди которых наиболее распространена SQL Injection. Лидером по количеству не соответствующих ресурсов стало требование 6.5: на трех четвертях (76%) сайтов происходит утечка информации в результате некорректной обработки ошибок. Уязвимости Cross-Site Scripting и Cross-Site Request Forgery присутствовали примерно в половине тестируемых веб-приложений (52% и 43% соответственно). Основные причины заражения вредоносным кодом В ходе исследования были подробно изучены ресурсы, на которых был обнаружен вредоносный код (их доля составила 10%). Практически все сайты, зараженные вредоносным кодом (92%), написаны на языке PHP и работают под управлением веб-сервера Apache. Половина взломанных веб-приложений функционируют под управлением свободных CMS. При сравнении распределения уязвимостей на сайтах с вредоносным кодом и без него эксперты Positive Technologies выяснили, что заражению информационного ресурса наиболее способствует наличие уязвимостей OS Commanding и Improper Filesystem Permissions. Треть всех сайтов с уязвимостью OS Commanding оказалась инфицирована. «Хотелось бы, чтобы защищенность веб-приложений росла гораздо быстрее, чем это происходит сейчас. Выбор популярных или свободных решений приводит к множеству уязвимостей, но большинство держателей ресурсов все еще не готовы платить за безопасность», — прокомментировал результаты исследования Дмитрий Евтеев, руководитель отдела анализа защищенности Positive Technologies. Редактор раздела: Алена Журавлева (info@mskit.ru) Рубрики: Web, Безопасность Ключевые слова: анализ информационной безопасности, безопасность, CMS
наверх
Для того, чтобы вставить ссылку на материал к себе на сайт надо:
|
|||||
А знаете ли Вы что?
MSKIT.RU: последние новости Москвы и Центра13.11.2024 Т2 запустил первый тариф после ребрендингаз> 31.10.2024 «Осенний документооборот – 2024»: взгляд в будущее системы электронного документооборотаз>
|
||||