Поделиться
"Дырявый" интернет: рейтинг уязвимостей
По оценкам экспертов, до 70% всех "дырок" в ПО приходится на веб-приложения. Причем результаты последних исследований свидетельствуют о резком росте их числа. Среди браузеров "печальным лидером" является Internet Explorer, а по типам уязвимости лидирует межсайтовое выполнение сценариев.Рейтинг уязвимостей
В России существуют компании, которые совместно с хостинг-провайдерами проводят постоянное сканирование серверов, размещенных на интернет-площадках. Сканирование проводится в автоматическом режиме с помощью сканера уязвимостей XSpider 7.5. В случае обнаружения недочетов информация об обнаруженных уязвимостях и рекомендации по устранению отправляется владельцам сервера. Так например исследователями в 2006 году было проведено 111 тыс. 936 сканирований, в ходе которых было обнаружено 129 тыс. 197 различных уязвимостей высокого и среднего уровня риска. Уязвимыми оказались 31 тыс. 113 сайтов. Работы проводились с использованием как ручных, так и автоматизированных средств. Всего в статистику вошли данные по различным веб-приложениям, таким как системы клиент-банк, электронные торговые площадки, внешние корпоративные сайты и т.д.
Топ-10 веб-уязвимостей различных классов, Россия, 2006
| Место в рейтинге | Вид уязвимости | Число уязвимых cайтов | Уязвимости, обнаруженные с помощью ручных средств | Уязвимости, обнаруженные с помощью автоматизированных средств |
| 1 | Межсайтовое выполнение сценариев | 83% | 44,8% | 81% |
| 2 | Утечка информации | 80% | 21,2% | 85% |
| 3 | Предсказуемое расположение ресурсов | 34% | 5,4% | 95% |
| 4 | Внедрение операторов SQL | 31% | 10,1% | 78% |
| 5 | Расщепление HTTP-запроса | 29% | 3,5% | 92% |
| 6 | Недостаточная авторизация | 20% | 3,3% | 8% |
| 7 | Индексирование директорий | 20% | 3,0% | 100% |
| 8 | Недостаточное противодействие автоматизации | 17% | 1,6% | 0% |
| 9 | Обратный путь в директориях | 11% | 1,4% | 100% |
| 10 | Недостаточная аутентификация | 11% | 1,1% | 0% |
Источник: Positive Technologies, 2006
Наиболее распространен класс "межсайтовое выполнение сценариев" (Cross-Site Scripting, XSS). В среднем каждый сайт содержит 4 уязвимости данного класса. На втором и третьем местах находятся разнообразные уязвимости, приводящие к утечке важной информации. Неаккуратное разграничение доступа к веб-ресурсам, хранение в общедоступных, но "скрытых" папках конфиденциальных данных, резервные копии сценариев являются наиболее типичными примерами подобных ошибок. С помощью четвертой по популярности уязвимость класса "внедрение операторов SQL" злоумышленники получают возможность читать и модифицировать информацию в базе данных. В некоторых случаях эксплуатация SQL Injection может привести к получению полного контроля над сервером. По этой причине данный тип классифицируется как имеющий высокую степень риска.
Распределение уязвимостей по степени риска, Россия, 2006
Источник: Positive Technologies, 2006
Как видно, более половины (54%) из всех обнаруженных недочетов приходится на уязвимости средней степени риска. Изрядную лепту в этот результат вносит межсайтовое выполнение сценариев. На уязвимости низкой и высокой степени риска приходится 27% и 18% соответственно.
По результатам проведенных исследований аналитическая группа MITRE Corporation сделала определенные выводы. Уязвимости, особенно XSS, чаще появляются в лицензионных приложениях чем в программах с открытым кодом. Похоже, что вендорам приложений open source проще сделать свои творения более надежными. Опасность форматирования строки чаще появляется в приложениях из открытых источников. Уязвимости переполнения буфера примерно равны для обоих типов ПО.
Многие веб-уязвимости трудно классифицировать по причине многоаспектности, то есть они состоят из различных ошибок, недостатков, и / или конструктивных ограничений. Примерно 30% уязвимостей не могут быть описаны с использованием действующей классификации. Еще 15% ошибок происходят по непонятным причинам. Таким образом, очевидна необходимость объединения усилий исследователей, широкомасштабное изучение этих проблем уязвимости веб-приложений, глобальное объединение знаний.
Елена Тимурова / CNews
Короткая ссылка
