45% веб-ресурсов крупнейших российских компаний содержат критические уязвимости

в 8:11, , рубрики: cross-site request forgery, cross-site scripting, Блог компании Positive Technologies, веб-приложения, информационная безопасность, уязвимости, метки: , , , , , ,

Веб-приложения давно стали неотъемлемой частью корпоративной информационной системы любой современной организации вне зависимости от рода ее деятельности. Собственные веб-ресурсы создают не только коммерческие компании, но и государственные учреждения, которые развивают веб-сервисы для предоставления онлайн-услуг.

Несмотря на все преимущества веб-приложений, уязвимости в них являются одним из наиболее распространенных путей проникновения в корпоративные информационные системы. Это подтверждается статистическими исследованиями, которые ежегодно проводятся экспертами Positive Technologies.

Предметом исследования стали 67 ресурсов крупнейших российских организаций государственной и промышленной отраслей, сферы телекоммуникаций и IT (банковским системам посвящена отдельная работа).

Примечание: в ходе исследования анализировались данные, полученные при проведении работ по оценке уровня защищенности веб-приложений в 2012 году.

Самые распространенные уязвимости

В число 10 самых распространенных уязвимости вошли две критические — «Внедрение операторов SQL» и «Обход каталога», которым подвержены 33% и 18% исследованных веб-ресурсов соответственно.

В 2012 году наибольшее распространение получила уязвимость раскрытия информации Fingerprinting, позволяющая идентифицировать программное обеспечение и подготовить плацдарм для атаки: этому недостатку подвержены три четверти исследованных ресурсов (73%). На втором месте с 63% — межсайтовое выполнение сценариев (Cross-site Scripting). Почти в половине систем (46%) присутствуют ошибки, позволяющие автоматически подбирать учетные данные и пароли пользователей (Brute Force).

image

Уязвимости, характерные для различных средств разработки веб-приложений

Согласно результатам проведенного исследования, 83% веб-приложений, разработанных на языке PHP, содержат критические уязвимости, остальные 17% таких систем содержат уязвимости средней и низкой степени риска. На втором месте Perl: почти треть систем содержат уязвимости высокого уровня риска.

image

Уязвимости, характерные для различных веб-серверов

В 2012 году наиболее подвержен уязвимостям высокой степени риска был веб-сервер Apache: 88% использующих его веб-ресурсов содержат критические недостатки безопасности. На втором месте Tomcat — 75% ошибок высокого уровня риска. Третье место с 43% уязвимых ресурсов занял Nginx, а самым безопасным стал веб-сервер IIS (14%).

Напомним, что по результатам предыдущего исследования наиболее уязвимыми оказались веб-серверы Nginx и Apache.

image

Большинство уязвимостей веб-серверов связаны с ошибками администрирования, самой распространенной из которых является Information Leakage.

Уязвимости по отраслям

Максимальная концентрация веб-приложений, содержащих уязвимости высокой степени риска, была выявлена в телекоммуникационной отрасли — 78%. В промышленной сфере ровно половина (50%) ресурсов содержит критические недостатки безопасности, далее с небольшим отрывом следуют сайты IТ- и ИБ-компаний (45%). Что касается государственных организаций, то примерно каждое третье (27%) веб-приложение в этой сфере содержит уязвимость высокого уровня риска.

image

Выводы

В целом по сравнению с 2011 годом средний уровень защищенности веб-приложений стал немного выше: в частности, доля сайтов, содержащих критические уязвимости, уменьшилась на 15% и составила почти 45%. Эксперты Positive Technologies обнаружили только одно зараженное веб-приложение, тогда как ранее 10% сайтов содержали вредоносный код. С другой стороны, есть и признаки стагнации: никак не изменилась доля веб-приложений с уязвимостями высокого уровня риска в промышленной сфере, а сайты телеком-сектора повышают уровень безопасности очень медленно.

С полной версией исследования можно ознакомиться на сайте Positive Technologies.

Автор: ptsecurity

Источник

Поделиться

* - обязательные к заполнению поля