- PVSM.RU - https://www.pvsm.ru -
Веб-приложения давно стали неотъемлемой частью корпоративной информационной системы любой современной организации вне зависимости от рода ее деятельности. Собственные веб-ресурсы создают не только коммерческие компании, но и государственные учреждения, которые развивают веб-сервисы для предоставления онлайн-услуг.
Несмотря на все преимущества веб-приложений, уязвимости в них являются одним из наиболее распространенных путей проникновения в корпоративные информационные системы. Это подтверждается статистическими исследованиями [1], которые ежегодно проводятся экспертами Positive Technologies.
Предметом исследования стали 67 ресурсов крупнейших российских организаций государственной и промышленной отраслей, сферы телекоммуникаций и IT (банковским системам посвящена отдельная работа [2]).
Примечание: в ходе исследования анализировались данные, полученные при проведении работ по оценке уровня защищенности веб-приложений в 2012 году.
В число 10 самых распространенных уязвимости вошли две критические — «Внедрение операторов SQL» и «Обход каталога», которым подвержены 33% и 18% исследованных веб-ресурсов соответственно.
В 2012 году наибольшее распространение получила уязвимость раскрытия информации Fingerprinting, позволяющая идентифицировать программное обеспечение и подготовить плацдарм для атаки: этому недостатку подвержены три четверти исследованных ресурсов (73%). На втором месте с 63% — межсайтовое выполнение сценариев (Cross-site Scripting). Почти в половине систем (46%) присутствуют ошибки, позволяющие автоматически подбирать учетные данные и пароли пользователей (Brute Force).
Согласно результатам проведенного исследования, 83% веб-приложений, разработанных на языке PHP, содержат критические уязвимости, остальные 17% таких систем содержат уязвимости средней и низкой степени риска. На втором месте Perl: почти треть систем содержат уязвимости высокого уровня риска.
В 2012 году наиболее подвержен уязвимостям высокой степени риска был веб-сервер Apache: 88% использующих его веб-ресурсов содержат критические недостатки безопасности. На втором месте Tomcat — 75% ошибок высокого уровня риска. Третье место с 43% уязвимых ресурсов занял Nginx, а самым безопасным стал веб-сервер IIS (14%).
Напомним, что по результатам предыдущего исследования [3] наиболее уязвимыми оказались веб-серверы Nginx и Apache.
Большинство уязвимостей веб-серверов связаны с ошибками администрирования, самой распространенной из которых является Information Leakage.
Максимальная концентрация веб-приложений, содержащих уязвимости высокой степени риска, была выявлена в телекоммуникационной отрасли — 78%. В промышленной сфере ровно половина (50%) ресурсов содержит критические недостатки безопасности, далее с небольшим отрывом следуют сайты IТ- и ИБ-компаний (45%). Что касается государственных организаций, то примерно каждое третье (27%) веб-приложение в этой сфере содержит уязвимость высокого уровня риска.
В целом по сравнению с 2011 годом средний уровень защищенности веб-приложений стал немного выше: в частности, доля сайтов, содержащих критические уязвимости, уменьшилась на 15% и составила почти 45%. Эксперты Positive Technologies обнаружили только одно зараженное веб-приложение, тогда как ранее 10% сайтов содержали вредоносный код. С другой стороны, есть и признаки стагнации: никак не изменилась доля веб-приложений с уязвимостями высокого уровня риска в промышленной сфере, а сайты телеком-сектора повышают уровень безопасности очень медленно.
С полной версией исследования можно ознакомиться на сайте Positive Technologies [1].
Автор: ptsecurity
Источник [4]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/46783
Ссылки в тексте:
[1] статистическими исследованиями: http://ptsecurity.ru/download/analitika_web.pdf
[2] посвящена отдельная работа: http://www.ptsecurity.ru/download/Analitika_DBO.pdf
[3] предыдущего исследования: http://www.ptsecurity.ru/download/%D1%81%D1%82%D0%B0%D1%82%D0%B8%D1%81%D1%82%D0%B8%D0%BA%D0%B0%20RU.pdf
[4] Источник: http://habrahabr.ru/post/199052/
Нажмите здесь для печати.