СТАТИСТИКА УЯЗВИМОСТЕЙ ВЕБ-ПРИЛОЖЕНИЙ ЗА 2010-2011 ГОДЫ
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
СТАТИСТИКА УЯЗВИМОСТЕЙ ВЕБ-ПРИЛОЖЕНИЙ ЗА 2010-2011 ГОДЫ Сергей Гордейчик Глеб Грицай Сергей Дроздов Дмитрий Евтеев Юрий Гольцев Владимир Кочетков Александр Зайцев Тимур Юнусов Юрий Дьяченко Денис Баранов Илья Крупенко Андрей Медов Сергей Щербель Иван Полиянчук Дмитрий Серебрянников Анна Белимова Сергей Бобров Артем Чайкин Статистика уязвимости веб-приложений за 2010-2011 год 1
ОГЛАВЛЕНИЕ
1 Введение……………………………………………………………………………………….….. 3
2 Методика исследования………………………………………………………………….…. 4
3 Резюме………….……………………………………………………………………………….…. 5
4 Портрет участников…………………………………………………………………………... 7
5 Статистика уязвимостей…………………………………………………………………..… 9
5.1. Топ-10 наиболее распространенных уязвимостей…………………………….… 9
5.2. Поквартальная динамика…………………………………………………………………... 11
5.3. Уязвимости, характерные для различных языков программирования.… 15
5.4. Сравнение характерных уязвимостей в зависимости от веб-сервера….. 18
5.5. Сравнение уязвимостей, характерных для различных отраслей 22
экономики………………………………………………………………………………………….
5.6. CMS и характерные уязвимости…………………………………………………………. 24
5.7. Анализ защищенности сайтов с вредоносным кодом………………………….. 29
5.8. Анализ защищенности систем ДБО…………………………………………………….. 31
5.9. Анализ данных в контексте требований PCI DSS………………………………… 33
6. О компании……………………………………………………………………………………….. 37
7. Ссылки………………………………………………………………………………………………. 39
8. Приложения………………………………………………………………………………………. 40
Статистика уязвимостей веб-приложений за 2010—2011 годы 2
1. ВВЕДЕНИЕ
Многолетний опыт компании Positive уязвимостей. Это значительно
Technologies по проведению тестов упрощает работу нарушителя,
на проникновение и аудита позволяя ему обнаружить большое
информационной безопасности, а число уязвимых веб-сайтов, чтобы
также экспертиза исследовательско- затем провести атаку на те, которые
го центра Positive Research, представляют наибольший интерес.
показывают, что ошибки в защите
веб-приложений по-прежнему Кроме того, уязвимости некоторых
остаются одним из основных типов допускают не только
недостатков обеспечения защиты автоматическое выявление, но и
информации. Более того, уязвимости автоматическую эксплуатацию.
веб-приложений являются одним из Именно таким образом производится
наиболее распространенных путей массовое внедрение в веб-ресурсы
проникновения в корпоративные вредоносного кода, который затем
информационные системы; используется для создания ботнетов
существует множество факторов, из рабочих станций обычных
делающих веб-сервисы пользователей сети Интернет.
привлекательной целью для атак Возможность использования веб-
злоумышленников. приложений в качестве платформы
для атаки на рабочие места
Усилия разработчиков приложений пользователей сама по себе делает
обычно направлены главным обра- эти приложения привлекательной
зом на решение задач, связанных с целью для нарушителя.
реализацией функций системы.
Вопросам безопасности и качества Таким образом, при подготовке
программного кода уделяется атаки на информационную
недостаточно внимания. В инфраструктуру компании злоумыш-
результате подавляющее ленники в первую очередь
большинство веб-приложений исследуют ее веб-приложения.
содержит уязвимости различной Недооценка риска, который могут
степени критичности. представлять уязвимости в веб-
приложениях, доступные из сети
Простота протокола HTTP позволяет Интернет, является, возможно,
разрабатывать эффективные методы основной причиной низкого уровня
автоматического анализа веб- защищенности большинства из них.
приложений и выявления в них
Статистика уязвимостей веб-приложений за 2010—2011 годы 3
2. МЕТОДИКА ИССЛЕДОВАНИЯ Данная публикация содержит обзор- Input Handling, Improper Output Han- ную статистику уязвимостей веб- dling и Denial of Service, поскольку приложений, полученную в ходе те- они реализуются при эксплуатации стирования на проникновение, ауди- множества других уязвимостей. Про- та безопасности и других работ, вы- ект WASC TC представляет собой полненных экспертами компании попытку классифицировать все угро- Positive Technologies в 2010 и 2011 зы безопасности веб-приложений. годах. Были собраны данные по де- Члены Web Application Security Con- тальному тестированию 123 сайтов, sortium создали его для разработки в которых было обнаружено 1817 и популяризации стандартной тер- уязвимостей различной степени рис- минологии описания проблем без- ка. Оценка защищенности проводи- опасности веб-приложений. Этот до- лась ручным способом по методам кумент дает возможность разработ- черного и белого ящиков с исполь- чикам приложений, специалистам в зованием вспомогательных автома- области безопасности, производите- тизированных средств. Метод черно- лям программных продуктов и ауди- го ящика заключается в проведении торам использовать для взаимодей- работ по оценке защищенности ин- ствия единый язык. В разработке си- формационной системы без предва- стемы Threat Classification активное рительного получения какой-либо участие принимали эксперты компа- информации о ней со стороны вла- нии Positive Technologies. дельца. Метод белого ящика заклю- чается в том, что для оценки защи- В приводимой статистике учитыва- щенности информационной системы ются только уязвимости веб- используются все необходимые дан- приложений. Другие распространен- ные о ней, включая исходный код ные проблемы информационной приложений. В статистику вошли безопасности (к примеру, недостатки данные только по внешним веб- процесса управления обновлениями приложениям, доступным из гло- программного обеспечения) не рас- бальной сети Интернет. сматриваются. Обнаруженные уязвимости класси- Степень критичности уязвимости фицировались согласно системе Web оценивалась согласно системе Com- Application Security Consortium Threat mon Vulnerability Scoring System Classification (WASC TC v. 2 [1]), за (CVSS v. 2 [2]), выделялись высокий, исключением уязвимостей Improper средний и низкий уровень риска. Статистика уязвимостей веб-приложений за 2010—2011 годы 4
3. РЕЗЮМЕ
В данном разделе приведены наибо- 4. PHP оказался самым популяр-
лее значимые заключения по стати- ным языком программирования веб-
стическому анализу уязвимостей, приложений — на нем написано 63%
выявленных в 123 веб-приложениях протестированных ресурсов — и
в ходе тестирований, проведенных в вместе с тем самым незащищенным.
2010 и 2011 годах компанией Positive Сравнение защищенности сайтов на
Technologies. языках PHP, ASP.NET и Java прово-
дилось по уязвимостям, обусловлен-
1. Все исследованные сайты со- ным ошибками в программной реа-
держали уязвимости, причем 64% лизации. Исследование показало,
сайтов — уязвимости высокого что 81% сайтов на PHP содер-
уровня риска, 98% — среднего, и жат критические уязвимости та-
37% — низкого. кого рода, 91% — уязвимости
средней степени риска. Наименее
2. По результатам тестирований распространены критические уязви-
за два года сформирован топ-10 са- мости среди сайтов, написанных на
мых часто встречаемых уязвимостей ASP.NET: только 26% из них содер-
веб-ресурсов. Первое место в списке жат уязвимости высокого уровня
занимает Cross-Site Request Forgery риска; это значительно меньше, чем
(CSRF), которой был подвержен 61% у PHP (81%) и Java (59%).
исследованных ресурсов. В топ во-
шли три критические уязвимо- 5. Веб-сервер nginx продемон-
сти — SQL Injection, OS стрировал наибольшую склонность к
Commanding и Path Traversal с наличию уязвимостей, связанных с
результатами в 47%, 28% и 28% ошибками администрирования, зна-
сайтов соответственно. чительно превзойдя по их распро-
страненности сервера Apache и Mi-
3. Исследование поквартальной crosoft IIS.
динамики показало, что количество
сайтов с уязвимостями высокого и 6. При анализе защищенности
низкого уровня риска сократилось в веб-ресурсов, принадлежащих к
2011 году по сравнению с 2010 го- различным отраслям экономики, от-
дом. В частности это касается одной носительно низкая доля сайтов, со-
из наиболее распространенных уяз- держащих критические уязвимости,
вимостей — SQL Injection. При этом была выявлена в финансовом секто-
доля сайтов, на которых выявлена ре. Лидером по количеству уяз-
самая распространенная уязвимость вимых сайтов оказался теле-
— Cross-Site Request Forgery, — коммуникационный сектор.
напротив, выросла в 2011 году.
Статистика уязвимостей веб-приложений за 2010—2011 годы 5
7. Сайты на основе систем 9. Отдельный анализ систем ди-
управления содержимым (Content станционного банковского обслужи-
Management System, CMS) собствен- вания (ДБО) обнаружил, что в них
ной разработки значительно более практически не встречаются крити-
уязвимы, чем те, которые использу- ческие уязвимости, в том числе и
ют коммерческие или свободные распространенная уязвимость SQL
CMS. При сравнении коммерческих и Injection. Доля уязвимостей с вы-
свободных систем большую защи- соким уровнем риска на сайтах
щенность демонстрируют первые (за ДБО значительно меньше сред-
исключением показателей по от- него показателя по всем систе-
дельным уязвимостям). Ресурсы со мам.
свободными системами значительно
чаще остальных оказываются зара- 10. Проверка соответствия веб-
жены вредоносным кодом. приложений финансового сектора
требованиям стандарта безопасно-
8. Для веб-приложений, на кото- сти платежных карт Payment Card
рых обнаружен вредоносный код, Industry Data Security Standard (PCI
характерно широкое распростране- DSS) показала, что лишь 10% ис-
ние уязвимостей OS Commanding и следованных приложений удо-
Improper Filesystem Permissions. влетворяют стандарту.
Статистика уязвимостей веб-приложений за 2010—2011 годы 6
4. ПОРТРЕТ УЧАСТНИКОВ
Статистическое исследование опи- лило сформировать достаточно точ-
рается на данные, полученные в ре- ные статистические данные, поэтому
зультате проведения подробного соответствующие ресурсы были объ-
анализа защищенности 123 веб- единены в группу «Другие». Наибо-
приложений. С точки зрения отрас- лее широко представлены государ-
левой принадлежности были выде- ственный сектор (25%) и сайты те-
лены следующие группы владельцев лекоммуникационных компаний
сайтов: информационные техноло- (26%). Однако они не имеют преоб-
гии, государственный и финансовый ладающего преимущества, осталь-
секторы, телекоммуникации, про- ные секторы также составляют зна-
мышленность. Небольшое количе- чительные доли в исследуемой вы-
ство представителей образования, борке (см. табл. 1 и рис. 1).
строительства, энергетики не позво-
Таблица 1. Распределение участников по отраслям экономики
Отрасль экономики Доля, %
Телекоммуникации 26
Государственный сектор 25
Финансовый сектор 17
Информационные технологии 13
Промышленность 7
Другие 12
Статистика уязвимостей веб-приложений за 2010—2011 годы 7
Рисунок 1. Распределение участников по отраслям экономики Статистика уязвимостей веб-приложений за 2010—2011 годы 8
5. СТАТИСТИКА УЯЗВИМОСТЕЙ Данная глава содержит анализ рас- ных для различных областей эконо- пространенности и уровней критич- мики. В разделе 5.6 сопоставляется ности уязвимостей различных типов, подверженность атакам ресурсов с классифицированных согласно WASC системами управления содержимыми TC v. 2. В разделе 5.1 представлен собственной разработки, коммерче- топ-10 наиболее распространенных скими и свободными. Раздел 5.7 со- в эти годы уязвимостей. В разделе держит анализ уязвимостей, кото- 5.2 приведена динамика наличия рые были обнаружены на сайтах, за- уязвимостей на сайтах с опорой на раженных вредоносным кодом. В поквартальные данные за 2010 и разделе 5.8 проводится исследова- 2011 годы. В разделе 5.3 проводится ние уязвимостей в системах дистан- сравнительный анализ наличия уяз- ционного банковского обслужива- вимостей на сайтах, написанных на ния. В разделе 5.9 приведен анализ различных языках программирова- соответствия сайтов — участников ния. В разделе 5.4 — анализ уязви- тестирования из финансового секто- мостей на сайтах, работающих под ра требованиям стандарта PCI DSS, управлением различных веб- связанным с безопасностью веб- серверов. Раздел 5.5 посвящен приложений. сравнению уязвимостей, характер- 5.1. ТОП-10 НАИБОЛЕЕ РАСПРОСТРАНЕННЫХ УЯЗВИМОСТЕЙ По результатам анализа защищенно- 47% ресурсов. На более низких по- сти все исследованные ресурсы со- зициях в список входят еще две уяз- держали хотя бы одну уязвимость. вимости с высокой степенью риска Десять уязвимостей, выявленных на — OS Commanding и Path Traversal наибольшем количестве сайтов, (обе с долей уязвимых сайтов в представлены на рис. 2. Лидер в 28%). В список десяти самых рас- этом списке — Cross-Site Request пространенных уязвимостей вошли Forgery, которой оказался подвер- также недостатки среднего уровня жен 61% всех проверенных сайтов. риска: Insufficient Anti-automation Далее следуют Information Leakage и (42% исследованных сайтов), Cross- Brute Force — 54% и 52% сайтов, а Site Scripting (40%), Predictable Re- также SQL Injection с критическим source Location (36%) и Insufficient уровнем риска, обнаруженная на Transport Layer Protection (22%). Статистика уязвимостей веб-приложений за 2010—2011 годы 9
Таблица 2. Наиболее распространенные уязвимости
Уязвимость Доля сайтов, %
Cross-Site Request Forgery 61
Information Leakage 54
Brute Force 52
SQL Injection 47
Insufficient Anti-automation 42
Cross-Site Scripting 40
Predictable Resource Location 36
OS Commanding 28
Path Traversal 28
Insufficient Transport Layer Protection 22
Рисунок 2. Наиболее распространенные уязвимости (доля сайтов, %)
Статистика уязвимостей веб-приложений за 2010—2011 годы 10На рис. 3 приведены данные по до- мостями высокой степени риска в
лям сайтов, на которых выявлены 2011 году ниже по сравнению с 2010
уязвимости различного уровня рис- годом, а средней степени — немного
ка. Видно, что доля сайтов с уязви- выше.
Наиболее распространенными уязвимостями высокой степени риска
являются SQL Injection, OS Commanding и Path Traversal, которые
встречаются практически в каждом третьем приложении.
Рисунок 3. Доли сайтов с уязвимостями (три уровня риска)
5.2. ПОКВАРТАЛЬНАЯ ДИНАМИКА
В данном разделе представлена ди- ким уровнем риска, колеблется
намика наличия уязвимостей разно- главным образом в интервале от
го типа и уровня риска на сайтах, 65% до 80%, спад этого показателя
детальный анализ защищенности ко- отмечен во II и IV кварталах 2011
торых был проведен в 2010—2011 года — до 50%, подъем — во II
годах. квартале 2010 года до значения в
85% сайтов и в IV квартале 2010 го-
Табл. 3 содержит поквартальные да до 91%. В целом в 2011 году про-
данные о количестве сайтов, в кото- тестированные приложения оказа-
рых были обнаружены уязвимости лись более защищенными от атак с
высокого, среднего и низкого уровня высокой степенью критичности. По-
риска. Эти данные графически пред- чти во всех случаях на каждом сайте
ставлены также на рис. 4. Доля сай- присутствует хотя бы одна уязви-
тов, содержащих уязвимости с высо- мость среднего уровня риска; ис-
Статистика уязвимости веб-приложений за 2010-2011 год 11ключение составили III и IV кварта- ня риска, в 2011 году в среднем
лы 2010 года: соответственно 91% и меньше, чем в 2010, однако в конце
82% сайтов с подобными уязвимо- 2011 года вновь начинается подъем
стями. Доля сайтов, на которых об- этого показателя.
наружены уязвимости низкого уров-
Сокращение доли сайтов с критическими уязвимостями объясняется тем,
что многие сайты в 2011 году проходили повторное тестирование после
исправления недочетов, выявленных при предшествующем анализе защи-
щенности.
Таблица 3. Динамика долей сайтов (%)
с уязвимостями различной степени риска
Уровень 2010 2010 2010 2010 2011 2011 2011 2011
риска I II III IV I II III IV
Высокий 67 85 64 91 64 50 65 50
Средний 100 100 91 82 100 100 100 100
Низкий 67 46 45 27 29 17 35 39
Рисунок 4. Динамика долей сайтов с уязвимостями различной степени риска
Статистика уязвимостей веб-приложений за 2010—2011 годы 12В табл. 4 и на рис. 5 приведены года (77%). Динамика уровня
данные по долям сайтов, в которых защищенности от внедрения SQL-
обнаружены наиболее распростра- кода положительная: заметно, что в
ненные критические уязвимости. среднем в 2011 году данная
Лидером по количеству уязимых уязвимость встречалась на
сайтов является SQL Injection. Пик тестируемых сайтах реже, чем в
распространения этой уязвимости 2010 году.
наблюдается во II квартале 2010
Таблица 4. Динамика долей сайтов (%) с критическими уязвимостями
2010 2010 2010 2010 2011 2011 2011 2011
Уязвимость
I II III IV I II III IV
SQL Injection 33 77 55 55 29 33 44 39
Path Traversal 67 8 18 36 21 50 44 11
OS Commanding 67 15 36 36 57 33 15 18
Remote File
0 0 9 0 0 0 0 4
Inclusion
Рисунок 5. Динамика долей сайтов с критическими уязвимостями
В табл. 5 и на рис. 6 представлена верженных соответствующей уязви-
динамика защищенности тестируе- мости, колеблется около значений
мых приложений от межсайтового 30—40% (лишь во II квартале 2010
выполнения сценариев (Cross-Site года наблюдается пик в 69% сай-
Scripting, XSS). Доля ресурсов, под- тов).
Статистика уязвимости веб-приложений за 2010-2011 год 13Таблица 5. Динамика долей сайтов, уязвимых для XSS (в %)
2010 2010 2010 2010 2011 2011 2011 2011
Уязвимость
I II III IV I II III IV
Cross-Site Script-
33 69 36 27 36 50 32 43
ing
Рисунок 6. Динамика долей сайтов, уязвимых для XSS
Динамика подверженности Cross-Site году). Это связано со значительным
Request Forgery приведена в табл. 6 повышением эффективности мето-
и на рис. 7 и демонстрирует рост дов обнаружения данной уязвимо-
доли уязвимых сайтов (с 39% в сти.
среднем в 2010 году до 68% в 2011
Таблица 6. Динамика долей сайтов, уязвимых для CSRF (в %)
2010 2010 2010 2010 2011 2011 2011 2011
Уязвимость
I II III IV I II III IV
Cross-Site Request
33 69 36 18 79 50 71 71
Forgery
Статистика уязвимостей веб-приложений за 2010—2011 годы 14Рисунок 7. Динамика долей сайтов, уязвимых для CSRF
5.3. УЯЗВИМОСТИ, ХАРАКТЕРНЫЕ ДЛЯ РАЗЛИЧНЫХ ЯЗЫКОВ ПРО-
ГРАММИРОВАНИЯ
Среди тестируемых ресурсов встре- ванных сайтов. Значительны доли
чаются веб-приложения, написанные ASP.NET (19%) и Java (14%).
на различных языках программиро- Остальные языки программирования
вания; при этом для каждого языка встречаются гораздо реже. Распре-
характерен свой набор наиболее деление сайтов — участников тести-
значимых уязвимостей. Большинство рования по лежащему в их основе
разработчиков предпочли PHP: на языку программирования визуально
нем написаны 63% всех протестиро представлено на рис. 8.
Рисунок 8. Распределение ресурсов по языку программирования
Статистика уязвимостей веб-приложений за 2010—2011 годы 15В табл. 7 приведено по пять уязви- уязвимости (исключение составляет
мостей с максимальной долей под- Application Misconfiguration, занявшая
верженных им сайтов — в зависимо- место Path Traversal). В рейтинг сре-
сти от языка программирования. ды Java вошли уязвимости Insuffi-
Среди веб-приложений, разработан- cient Authorization, Cross-Site Request
ных на языке PHP, наиболее часто Forgery, Application Misconfiguration,
встречаются следующие уязвимости: Insufficient Authentication и лишь од-
Cross Site Scripting, Cross-Site Request на критическая уязвимость — OS
Forgery, Insufficient Anti-automation, а Commanding. Можно заметить, что
также две критические — SQL Injec- доли уязвимых сайтов на ASP.NET и
tion и Path Traversal. Для платформы Java ниже по сравнению с аналогич-
ASP.NET характерны те же самые ными показателями для языка PHP.
Таблица 7. Наиболее распространенные уязвимости в зависимости от языка
программирования
Доля Доля Доля
PHP сайтов, ASP.NET сайтов, Java сайтов,
% % %
Cross-Site
Cross-Site Insufficient
Request 73 39 41
Scripting Authorization
Forgery
SQL Cross-Site Cross-Site Request
61 35 35
Injection Request Forgery Forgery
Cross-Site Insufficient Application
43 35 29
Scripting Anti-automation Misconfiguration
Insufficient
Insufficient
Anti- 42 SQL Injection 22 29
Authentication
automation
Path Application
42 17 OS Commanding 29
Traversal Misconfiguration
На рис. 9 представлены данные по SQL Injection (61% сайтов в сравне-
распределению критических и дру- нии с 22% на ASP.NET и 18% на
гих распространенных уязвимостей, Java) и Path Traversal (42% — при
связанных с ошибками при разра- 18% у Java и отсутствии этой уязви-
ботке приложений. Числа указывают мости на платформе ASP.NET). Уяз-
на доли сайтов, на которых выявле- вимость OS Commanding была обна-
ны соответствующие уязвимости. ружена в 4% случаев на ASP.NET и в
Среди сайтов на языке PHP доли ре- 29% случаев на Java. На этих плат-
сурсов со всеми этими уязвимостями формах не выявлено ни одной уяз-
выше, что особенно характерно для вимости типа Null Byte Injection, в
Статистика уязвимости веб-приложений за 2010-2011 год 16отличие от PHP, для которого уязви- ет 73% и более чем в два раза пре-
мыми оказались 12% приложений. восходит данный показатель для
Доля PHP-сайтов, уязвимых для ASP.NET и Java (по 35% сайтов).
Cross-Site Request Forgery, составля-
Рисунок 9. Доли сайтов на различных языках программирования с
уязвимостями высокого и среднего уровня риска
В целом уязвимости с высокой степенью критичности чаще
встречаются на PHP сайтах: 81% ресурсов (см. рис. 10) подвержены
подобным проблемам.
Второе место занимает Java с 59%, и ресурсов, содержащих уязвимости со
всего 26% сайтов на ASP.NET со- средним и низким уровнем риска,
держат уязвимости с высокой степе- незначительны.
нью риска. Различия по количеству
Статистика уязвимостей веб-приложений за 2010—2011 годы 17Рисунок 10. Доли сайтов на различных языках программирования
с критическими уязвимостями
5.4. СРАВНЕНИЕ ХАРАКТЕРНЫХ УЯЗВИМОСТЕЙ В ЗАВИСИМОСТИ ОТ
ВЕБ-СЕРВЕРА
Среди протестированных сайтов сайтов по используемым веб-
присутствуют приложения, функци- серверам приведено в табл. 8 и гра-
онирующие под управлением серве- фически изображено на рис. 11.
ров Apache, Microsoft IIS, nginx, Видно, что участники тестирования
Jboss, Tomcat, IBM HTTP Server, предпочитают сервер Apache: его
Oracle Application Server и др. Однако доля составляет более половины —
только первые три представлены до- 57%.
статочно широко. Распределение
Таблица 8. Распределение сайтов по используемому веб-серверу
Сервер Доля, %
Apache 57
IIS 17
Nginx 10
Другие 16
Статистика уязвимостей веб-приложений за 2010—2011 годы 18Рисунок 11. Распределение сайтов по используемому веб-серверу
Многие уязвимости веб-приложений, IIS, nginx и прочих веб-серверов. Во
выделенные согласно классифика- всех случаях лидером стала уязви-
ции WASC TC v. 2, связаны с ошиб- мость Information Leakage. Кроме
ками администрирования. В табл. 9 нее широко распространены также
приведен рейтинг таких уязвимо- уязвимости Predictable Resource Lo-
стей, отсортированных по доле уяз- cation, Improper Filesystem Permis-
вимых сайтов, которые работают sions и Insufficient Transport Layer
под управлением Apache, Microsoft Protection.
Таблица 9.1. Рейтинг уязвимостей, связанных с ошибками администрирования,
для различных серверов
Apache Доля сайтов, IIS Доля сайтов,
% %
Information Leakage 54 Information Leakage 43
Predictable Resource 39 Insufficient Transport 29
Location Layer Protection
Improper Filesystem 26 Improper Filesystem 5
Permissions Permissions
Insufficient Transport 9 Predictable Resource 5
Layer Protection Location
Directory Indexing 4 Server Misconfiguration 5
Insecure Indexing 3
Server Misconfiguration 1
Статистика уязвимостей веб-приложений за 2010—2011 годы 19Таблица 9.2. Рейтинг уязвимостей, связанных с ошибками администрирования,
для различных серверов
Доля сайтов, Доля сайтов,
Nginx Другие
% %
Information Leakage 83 Information Leakage 48
Insufficient Transport Predictable Resource
75 38
Layer Protection Location
Predictable Resource Insufficient Transport
67 29
Location Layer Protection
Improper Filesystem
33 Directory Indexing 10
Permissions
Improper Filesystem
Directory Indexing 25 10
Permissions
Server Misconfiguration 25 Server Misconfiguration 5
Insecure Indexing 8
Более подробное сравнение по рас- 33% сайтах под управлением веб-
пространенным уязвимостям, свя- сервера nginx, 26% под управлением
занным с конфигурацией и функцио- Apache, 5% у Microsoft IIS и 10% для
нированием веб-серверов, приведе- прочих веб-серверов. Insufficient
но на рис. 12 и 13. Уязвимость Server Transport Layer Protection оказалась
Misconfiguration характерна для 25% характерна для 75% систем с серве-
сайтов, работающих под управлени- ром nginx, 29% c Microsoft IIS, 9% с
ем nginx. Значительно меньше доли Apache, а также для 35% систем с
Apache и Microsoft IIS — 1% и 5% другими серверами. Уязвимость In-
соответственно; кроме того, этой formation Leakage была обнаружена
уязвимости подвержены в среднем на 83% ресурсов, использовавших
5% сайтов, построенных на прочих веб-сервер nginx, на 54% для
платформах. Уязвимость Improper Apache, на 43% для Microsoft IIS и в
Filesystem Permissions выявлена на 48% для всех прочих случаев.
Статистика уязвимостей веб-приложений за 2010—2011 годы 20Рисунок 12. Доли уязвимых сайтов на различных веб-серверах Уязвимость Predictable Resource Lo- рована на сайтах, использующих Mi- cation присутствовала на 67% сайтах crosoft IIS. Не было выявлено среди под управлением nginx, на 39% сай- сайтов под управлением веб-сервера тов с Apache и лишь на 5% — с Mi- IIS также и содержащих уязвимость crosoft IIS (см. рис. 13). Directory In- Insecure Indexing, в то время как она dexing обнаружена на 25% ресурсах, была обнаружена на сайтах под использующих nginx, и на 4% сай- управлением Apache (3%) и nginx тов, использующих Apache; данная (8%). уязвимость вовсе не была зафикси- Рисунок 13. Доли уязвимых сайтов на различных веб-серверах (продолжение) Статистика уязвимостей веб-приложений за 2010—2011 годы 21
nginx превосходит все остальные веб-сервера по количеству
уязвимых сайтов для всех типов уязвимостей, связанных с
ошибками администрирования.
Минимальное количество уязви- содержали недостатки Insufficient
мостей связано с веб-сервером Transport Layer Protection и Server
Microsoft IIS. Впрочем, при- Misconfiguration по сравнению с
ложения под управлением веб- приложениями под управлением
сервера Microsoft IIS чаще других веб-сервера Apache.
5.5. СРАВНЕНИЕ УЯЗВИМОСТЕЙ, ХАРАКТЕРНЫХ ДЛЯ РАЗЛИЧНЫХ
ОТРАСЛЕЙ ЭКОНОМИКИ
Набор участников проведенного ис- — или непременно и то, и другое. По
следования позволяет оценить раз- областям экономики варьируется
ницу в защищенности приложений в также и возможный ущерб от реали-
зависимости от отраслевой принад- зации атак. В итоге, для различных
лежности владельца анализируемых областей экономики значимы разные
систем. Разделение участников по наборы уязвимостей, устранение ко-
отраслям экономики приведено на торых становится первоочередной
рис. 1 в разделе 4. целью мероприятий по обеспечению
информационной безопасности.
В зависимости от рода деятельности
владельца и назначения системы Опираясь на данные, представ-
наибольшую значимость могут при- ленные на рис. 14, можно сделать
обретать конфиденциальность ин- вывод:
формации, или доступность ресурса,
Наибольшее внимание к защищенности своих ресурсов от
критических уязвимостей проявляют владельцы сайтов из
финансового и промышленного секторов
где доли приложений с такими снижается до 88%, а в сфере
уязвимостями составляют телекоммуникаций составляет
соответственно 43% и 50%. 96%. Доля сайтов с уязвимостями
Почти 100% сайтов содержат низкой критичности значительно
уязвимости средней степени варьируется, лидером является
риска, но в промышленном финансовый сектор — 71%. Затем
секторе этот показатель следует сфера информационных
Статистика уязвимостей веб-приложений за 2010—2011 годы 22технологий — 56% сайтов, сфере телекоммуникаций: всего
промышленность — 38%, 13% протестированных систем
государственные организации — содержат уязвимости низкой
23%, минимум наблюдается в степени риска.
Максимальное же число сайтов с уязвимостями высокого уровня
риска наблюдалось в сфере телекоммуникаций — 88%.
Рисунок 14. Доли сайтов с уязвимостями высокого уровня риска, принадлежа-
щих разным отраслям экономики
Большое количество уязвимостей в Рис. 15 демонстрирует присутствие
телекоммуникационном секторе обу- критических уязвимостей на сайтах
словлено пестрым разнообразием из различных отраслей. Вновь заме-
типов систем, которое зачастую ста- тен невысокий уровень уязвимости в
новится следствием роста компаний, сферах финансов и промышленно-
а также сделок по слиянию и погло- сти.
щению.
Статистика уязвимостей веб-приложений за 2010—2011 годы 23Рисунок 15. Доли уязвимых сайтов из различных отраслей экономики
Рис. 16 представляет разницу в рас- части сайтов; их значительная доля
пределении выявленных уязвимо- при учете всех уязвимостей объяс-
стей по уровню риска в отдельных няется высокой концентрацией на
экономических отраслях. Максимум тех сайтах, где они все-таки были
критических уязвимостей наблюда- обнаружены. В финансовом секторе
ется в сферах промышленности и критические уязвимости составляют
информационных технологий. Ранее наименьшую долю — всего 2%.
мы отмечали, что в промышленности Также относительно невелика их
критические уязвимости присут- часть на сайтах государственного
ствуют на относительно небольшой сектора (9%).
Рисунок 16. Распределение уязвимостей по уровню риска на сайтах из различ-
ных отраслей экономики
Статистика уязвимостей веб-приложений за 2010—2011 годы 245.6. CMS И ХАРАКТЕРНЫЕ УЯЗВИМОСТИ
На большинстве протестированных но, больше половины (58%) вла-
веб-ресурсов используются коммер- дельцев сайтов — участников иссле-
ческие или свободные системы дования отдают предпочтение ком-
управления содержимым. Распреде- мерческим системам; свободные CMS
ление сайтов по типам CMS приве- выбрали 25%, и 17% разрабатывали
дено в табл. 10 и визуально проде- приложение самостоятельно.
монстрировано на рис. 17. Как вид-
Таблица 10. Распределение сайтов по типам CMS
Тип Доля, %
Коммерческие 58
Свободные 25
Собственной разработки 17
Рисунок 17. Распределение сайтов по типу CMS
Был проведен анализ характерных Information Leakage, Cross-Site Re-
уязвимостей ресурсов с различными quest Forgery, Insufficient Anti-
типами CMS (в табл. 11 приведены automation и SQL Injection. На сайтах
наиболее распространенные уязви- со свободными CMS распространены
мости). На сайтах, использующих Cross-Site Request Forgery, OS Com-
коммерческие системы, чаще всего manding, Brute Force, Information
встречаются уязвимости Brute Force, Leakage и Cross-Site Scripting. В слу-
Статистика уязвимостей веб-приложений за 2010—2011 годы 25чае использования CMS собственной tion, Information Leakage и Predicta-
разработки — Cross-Site Request For- ble Resource Location.
gery, Cross-Site Scripting, SQL Injec-
Таблица 11. Наиболее распространенные уязвимости в зависимости от типа CMS
Доля Доля Собственной Доля
Коммерческие Свободные
сайтов, % сайтов, % разработки сайтов, %
Cross-Site
Cross-Site Re-
Brute Force 62 Request For- 55 65
quest Forgery
gery
Information OS Cross-Site
62 48 65
Leakage Commanding Scripting
Cross-Site
59 Brute Force 45 SQL Injection 60
Request Forgery
Insufficient Anti- Information Information
55 45 50
automation Leakage Leakage
Predictable
Cross-Site
SQL Injection 47 38 Resource 50
Scripting
Location
На рис. 18 представлены данные о мерческими CMS и 34% с бесплат-
сайтах, содержащих уязвимости SQL ными. OS Commanding — на 48%
Injection и OS Commanding, а также сайтов со свободными системами,
вредоносный код. Уязвимость SQL 40% ресурсов с CMS собственного
Injection выявлена на 60% ресурсов, производства и 20% с коммерчески-
использующих CMS собственной ми.
разработки, на 47% ресурсов с ком-
Вредоносным кодом оказались заражены 24% сайтов с бесплатными си-
стемами управления содержимым, 8% — с коммерческими и 5% — соб-
ственной разработки.
Различия в подверженности вредоносному коду объясняются относитель-
ной простотой создания вредоносного ПО для систем с открытым исходным
кодом, а также широким использованием автоматических систем для про-
ведения атак.
При этом системы собственной раз- при проведении массовой атаки с
работки, несмотря на наличие боль- использованием автоматизирован-
шого количества уязвимостей, менее ных средств.
подвержены «случайному» взлому
Статистика уязвимостей веб-приложений за 2010—2011 годы 26Рисунок 18. Сайты с различными типами CMS,
содержащие критические уязвимости
Рис. 19 демонстрирует степень под- Scripting, которой подвержены 65%
верженности протестированных ре- сайтов с CMS собственной разработ-
сурсов атакам на клиент с учетом ки, 38% сайтов на базе бесплатных
типа используемой системы управ- CMS и 33% — под управлением ком-
ления содержимым. Уязвимости мерческих. Различия в подвержен-
Cross-Site Scripting и Cross-Site Re- ности атаке Cross-Site Request For-
quest Forgery преобладают на сай- gery невелики: незначительно боль-
тах, где используется CMS собствен- шая доля уязвимых ресурсов при-
ной разработки. Значительные раз- надлежит здесь CMS собственной
личия наблюдаются в распростра- разработки.
ненности уязвимости Cross-Site
Рисунок 19. Сайты с различными типами CMS,
содержащие распространенные уязвимости
Статистика уязвимостей веб-приложений за 2010—2011 годы 27На рис. 20 приводится сравнение ре- CMS собственной разработки. Значи-
сурсов с различными типами CMS по тельная доля сайтов с «собственны-
степени распространенности уязви- ми» CMS оказалась подвержена ата-
мостей Path Traversal, Remote File ке Null Byte Injection (30%); со сво-
Inclusion и Null Byte Injection. Path бодными и коммерческими система-
Traversal заметно чаще встречался ми — доли в 10% и 2% соответ-
на сайтах с CMS собственной разра- ственно.
ботки (45%), чем на сайтах с ком-
мерческими (29%) и бесплатными Практически по всем уязвимостям
(28%) системами. Уязвимость Re- сайты с коммерческими системами
mote File Inclusion присутствовала управления содержимым показали
только на ресурсах, использовавших высокий уровень защищенности.
Наименее защищенными оказались сайты с CMS собственной разработки
(за исключением подверженности заражению вредоносным кодом).
Рисунок 20. Сайты с различными типами CMS,
содержащие критические уязвимости
При анализе распределения обнару- или системы собственной разработ-
женных уязвимостей по уровням ки, составляют по 25% и значитель-
риска (рис. 21) мы обнаружили, что но превышают долю критических
доли критических уязвимостей на уязвимостей на сайтах с коммерче-
сайтах, использующих свободные скими CMS, которая составляет 7%.
системы управления содержимым
Статистика уязвимостей веб-приложений за 2010—2011 годы 28Рисунок 21. Распределение уязвимостей по уровням риска
на сайтах с различными типами CMS
5.7. АНАЛИЗ ЗАЩИЩЕННОСТИ САЙТОВ С ВРЕДОНОСНЫМ КОДОМ
В ходе исследования отдельно были кода. Их доля, как можно видеть на
рассмотрены ресурсы, на которых рис. 22, составила 10%.
обнаружилось наличие вредоносного
Рисунок 22. Доля сайтов с вредоносным кодом
В табл. 12 приведено распределение ресурсов, на которых выявлен вредонос-
ный код, по языку программирования и типам используемых CMS. Половина за-
раженных сайтов работает под управлением свободных CMS.
Статистика уязвимостей веб-приложений за 2010—2011 годы 29Практически все сайты, зараженные вредоносным кодом (92%), —
написаны на языке PHP и работают под управлением веб-сервера
Apache.
Таблица 12. Распределение ресурсов с вредоносным кодом
в зависимости от языка программирования и типа CMS
CMS собственной
Коммерческая CMS Свободная CMS
разработки
PHP 34% 50% 8%
ASP.NET — — —
Java 8% — —
В табл. 13 приведены наиболее рас- Перечень уязвимостей для сайтов
пространенные уязвимости сайтов с без вредоносного кода значительно
вредоносным кодом. В список вошли отличается: Cross-Site Request For-
уязвимости OS Commanding (92% gery (59%), Brute Force (56%), In-
уязвимых сайтов), Cross-Site Request formation Leakage (53%), SQL Injec-
Forgery (75%), SQL Injection (58%), tion (44%) и Insufficient Anti-
Improper Filesystem Permissions automation (43%).
(50%) и Cross-Site Scripting (42%).
Таблица 13. Уязвимости,
наиболее распространенные на сайтах с вредоносным кодом
С вредоносным Доля Без вредоносного Доля
кодом сайтов, % кода сайтов, %
OS Commanding 92 Cross-Site Request
59
Forgery
Cross-Site Request Forgery 75 Brute Force 56
SQL Injection 58 Information Leakage 53
Improper Filesystem 50 SQL Injection
44
Permissions
Cross-Site Scripting 42 Insufficient Anti-
43
automation
На рис. 23 приведено сравнение по Треть всех ресурсов, содержащих
распределению уязвимостей на сай- эту уязвимость, была заражена. За-
тах с вредоносным кодом и без него. метны различия в долях сайтов, со-
Статистика уязвимостей веб-приложений за 2010—2011 годы 30держащих уязвимость Improper вого — в 44% случаев. Итак, можно
Filesystem Permissions: 50% зара- утверждать, что наличие уязвимо-
женных и 17% не инфицированных стей OS Commanding и Improper
узлов. Уязвимы для SQL Injection Filesystem Permissions способствует
оказались сайты с вредоносным ко- заражению информационного ресур-
дом в 58% случаев, сайты без тако- са.
92% сайтов с вредоносным кодом оказались уязвимы к атаке OS
Commanding.
Рисунок 23. Распределение уязвимостей
в зависимости от наличия вредоносного кода
5.8. АНАЛИЗ ЗАЩИЩЕННОСТИ СИСТЕМ ДБО
Отдельным объектом исследования ленных уязвимостей с указанием со-
стали сайты дистанционного банков- ответствующей доли уязвимостей
ского обслуживания — системы, ДБО — участников исследования.
наиболее чувствительные к пробле- Самой распространенной уязвимо-
мам информационной безопасности. стью оказалась Insufficient Authoriza-
В табл. 14 приведен список выяв- tion.
Таблица 14. Распределение уязвимостей на сайтах систем ДБО
Уязвимость Доля уязвимостей, %
Insufficient Authorization 31
Статистика уязвимостей веб-приложений за 2010—2011 годы 31Cross-Site Scripting 18 Fingerprinting 9 Predictable Resource Location 8 Cross-Site Request Forgery 6 Information Leakage 6 Insufficient Authentication 5 Insufficient Anti-automation 4 Brute Force 3 Credential/Session Prediction 3 Abuse of Functionality 2 Content Spoofing 2 Insufficient Transport Layer Protection 2 Directory Indexing 1 Insufficient Session Expiration 1 Path Traversal 1 Обнаруженные на сайтах ДБО критические уязвимости составляют лишь 1% от общего числа, что значительно меньше среднего показателя (13%). Как видно на рис. 24, уязвимостей с явленных уязвимостей (90%) связа- низкой степенью критичности также на со средним уровнем риска. немного — 9%. Основная часть вы- Статистика уязвимостей веб-приложений за 2010—2011 годы 32
Рисунок 24. Распределение уязвимостей различного уровня риска
на сайтах ДБО
5.9. АНАЛИЗ ДАННЫХ В КОНТЕКСТЕ ТРЕБОВАНИЙ PCI DSS
В настоящем разделе приводится другим веб-приложениям, попадаю-
анализ соответствия протестирован- щим в область действия стандарта. В
ных систем финансового сектора табл. 15 перечислены требования
требованиям стандарта PCI DSS v. 2 стандарта, регламентирующие обя-
[3]. Здесь представлены данные не зательное устранение конкретных
только по системам ДБО, но и по уязвимостей в веб-приложениях.
Таблица 15. Требования стандарта PCI DSS v. 2
Требование Процедура
6.5.1 Внедрение кода, в Необходимо проверять входную информацию и сле-
частности SQL-кода. К дить за тем, чтобы данные, вводимые пользовате-
подобным атакам также лем, не могли влиять на значения команд, использо-
относится внедрение ко- ваться в параметризованных запросах и др.
манд ОС, операторов
LDAP и Xpath и др.
6.5.2 Переполнение бу- Необходимо проверять границы буфера и усекать
фера вводимые строки
Статистика уязвимости веб-приложений за 2010-2011 год 336.5.3 Небезопасное хра- Необходимо обеспечить отсутствие уязвимостей
нение материалов шиф- шифрования
рования
6.5.4 Небезопасная пе- Необходимо реализовать надежное шифрование
редача информации данных аутентификации и других важных данных
при их передаче
6.5.5 Некорректная об- Необходимо не допускать утечки данных в сообще-
работка ошибок ниях об ошибках
6.5.7 Межсайтовое вы- Необходимо проверять все параметры перед их
полнение сценариев включением в код, использовать контекстно-
зависимое экранирование символов.
6.5.8 Некорректное Необходимо реализовать корректную аутентифика-
управление доступом, цию пользователей и очищение вводимой информа-
например небезопасные ции; пользователи не должны иметь доступ к ссыл-
прямые объектные ссыл- кам на внутренние объекты
ки, отсутствие ограниче-
ния доступа по URL-
адресу и обход каталога
6.5.9 Межсайтовая под- Необходимо не допускать автоматической отправки
мена запросов браузером данных аутентификации и идентификато-
ров сессии
Только 10% приложений полностью удовлетворяют требованиям PCI DSS к
защите веб-ресурсов.
Статистика уязвимостей веб-приложений за 2010—2011 годы 34Рисунок 25. Доля сайтов, соответствующих требованиям PCI DSS На рис. 26 представлены доли сай- ных элементов, среди которых, по тов с уязвимостями, противореча- общим данным, наиболее распро- щими требованиям стандарта PCI странено внедрение SQL-кода. Ли- DSS по защите веб-приложений, ко- дером по количеству несоответству- торые перечислены в табл. 12, — ющих ресурсов стало требование отдельно для каждого требования. 6.5.5: на 76% сайтов происходит Около 24% сайтов оказались под- утечка информации в результате не- вержены атакам внедрения различ- корректной обработки ошибок. Распространенные уязвимости к атакам Cross-Site Scripting и Cross-Site Re- quest Forgery присутствовали соответственно на 52% и 43% тестируемых сайтов. Статистика уязвимостей веб-приложений за 2010—2011 годы 35
Рисунок 26. Доли сайтов, не соответствующих отдельным требованиям PCI DSS Общая доля сайтов финансового ваниям 6.5.1—6.5.5, 6.5.7—6.5.9, со- сектора, не соответствующих требо- ставила 90%. Статистика уязвимостей веб-приложений за 2010—2011 годы 36
6. О КОМПАНИИ Positive Technologies — лидер евро- Technologies расположены в Москве, пейского рынка систем анализа за- Лондоне, Риме, Сеуле и Тунисе. щищенности и соответствия стан- дартам. Компания входит в число Разработанные экспертами ком- наиболее динамично развивающихся пании программные продукты за- участников рынка ИТ, демонстрируя служили международное признание ежегодный рост более 50%. Офисы в сфере практической информаци- и представительства Positive онной безопасности. Продукты Система контроля защищенности и новение, контроля соответствия соответствия стандартам MaxPatrol стандартам — в сочетании с под- помогает обеспечивать безопасность держкой анализа различных опера- корпоративных информационных си- ционных систем, СУБД и веб- стем и формировать комплексное приложений. представление о реальном уровне защищенности IT-инфраструктуры Система анализа защищенности организации. Система позволяет XSpider более 10 лет является при- контролировать выполнение требо- знанным лидером среди средств се- ваний государственных, отраслевых тевого аудита ИБ. На сегодняшний и международных стандартов, таких день это один из лучших интеллек- как Федеральный закон № 152-ФЗ туальных сканеров безопасности в «О персональных данных», СТО БР мире. Более 1000 международных ИББС, ISO 27001/27002, SOX 404, PCI компаний успешно используют DSS. В MaxPatrol объединены актив- XSpider для анализа и контроля за- ные механизмы оценки защищенно- щищенности корпоративных ресур- сти, включая функции системных сов. проверок, тестирования на проник- Услуги Компания Positive Technologies спе- никновение и внедрении процессов циализируется на проведении ком- мониторинга информационной без- плексного аудита информационной опасности. Статус PCI DSS Approved безопасности, на оценке защищен- Scanning Vendor позволяет прово- ности прикладных систем и веб- дить работы по проверке соответ- приложений, тестировании на про- ствия данному стандарту. Статистика уязвимостей веб-приложений за 2010—2011 годы 37
Исследования Positive Research — один из круп- висов компании. Эксперты центра нейших в Европе исследовательских проводят исследовательские и кон- центров в области информационной структорские работы, анализ угроз и безопасности. В его задачи входит уязвимостей, содействуют разработ- анализ передовых тенденций IT- чикам в устранении ошибок в раз- индустрии, а также их использова- личных системах и приложениях. ние для развития продуктов и сер- Лицензии Свою деятельность Positive Technol- ГАЗПРОМСЕРТ), а ее специалисты ogies осуществляет на основе лицен- участвуют в работе различных меж- зий ФСБ, ФСТЭК и Министерства дународных ассоциаций: Web Appli- обороны РФ. Продукты компании cation Security Consortium, (ISC)², сертифицированы ФСТЭК, Минобо- ISACA, Certified Ethical Hacker, Cen- роны и ОАО «Газпром» (по системе ter for Internet Security. Клиенты В числе заказчиков Positive стран СНГ и Балтии, а также Вели- Technologies — более 1000 государ- кобритании, Германии, Голландии, ственных учреждений, финансовых Израиля, Ирана, Китая, Мексики, организаций, телекоммуникацион- США, Таиланда, Турции, Эквадора, ных и розничных компаний, про- ЮАР и Японии. мышленных предприятий России, Вклад в развитие индустрии Принимая активное участие в жизни опасности Positive Hack Days и раз- отрасли, Positive Technologies высту- вивает SecurityLab — самый попу- пает организатором международного лярный русскоязычный портал о ИБ. форума по информационной без- Статистика уязвимостей веб-приложений за 2010—2011 годы 38
7. ССЫЛКИ 1. WASC Threat Classification v. 2.0: http://projects.webappsec.org/Threat- Classification. 2. Common Vulnerability Scoring System: http://www.first.org/cvss. 3. PCI Data Security Standard: https://www.pcisecuritystandards.org/security_standards/index.php. 4. OWASP Top Ten Project: https://www.owasp.org/index.php/OWASP_Top_Ten_Project. Статистика уязвимостей веб-приложений за 2010—2011 годы 39
8. ПРИЛОЖЕНИЯ
Приложение А. Методика оценки степени риска
Таблица А.1. Методика оценки степени риска
Классификация угроз Базовая оценка по шкале CVSS
Abuse of Functionality 4 (AV:N/AC:H/Au:N/C:P/I:P/A:N)
Brute Force Attack 6.8 (AV:N/AC:M/Au:N/C:P/I:P/A:P)
Buffer Overflow 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C)
Content Spoofing 5 (AV:N/AC:L/Au:N/C:N/I:P/A:N)
Credential/Session Prediction 6.8 (AV:N/AC:M/Au:N/C:P/I:P/A:P)
Cross-Site Scripting 6.4 (AV:N/AC:L/Au:N/C:P/I:P/A:N)
Cross-Site Request Forgery 5 (AV:N/AC:L/Au:N/C:N/I:P/A:N)
Denial of Service 7.8 (AV:N/AC:L/Au:N/C:N/I:N/A:C)
Format String Attack 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C)
HTTP Request Splitting 6.4 (AV:N/AC:L/Au:N/C:P/I:P/A:N)
HTTP Response Splitting 6.4 (AV:N/AC:L/Au:N/C:P/I:P/A:N)
HTTP Request Smuggling 6.4 (AV:N/AC:L/Au:N/C:P/I:P/A:N)
HTTP Response Smuggling 6.4 (AV:N/AC:L/Au:N/C:P/I:P/A:N)
Integer Overflow 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C)
LDAP Injection 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C)
Mail Command Injection 5 (AV:N/AC:L/Au:N/C:N/I:P/A:N)
Null Byte Injection 5 (AV:N/AC:L/Au:N/C:N/I:P/A:N)
OS Commanding 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C)
Path Traversal 7.8 (AV:N/AC:L/Au:N/C:C/I:N/A:N)
Predictable Resource Location 5 (AV:N/AC:L/Au:N/C:P/I:N/A:N)
Remote File Inclusion 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C)
Routing Detour 5 (AV:N/AC:L/Au:N/C:P/I:N/A:N)
SOAP Array Abuse 7.8 (AV:N/AC:L/Au:N/C:N/I:N/A:C)
SSI Injection 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C)
Session Fixation 6.8 (AV:N/AC:M/Au:N/C:P/I:P/A:P)
SQL Injection 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C)
URL Redirectors 2.6 (AV:N/AC:H/Au:N/C:N/I:P/A:N)
XPath Injection 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C)
Статистика уязвимостей веб-приложений за 2010—2011 годы 40XML Attribute Blowup 5 (AV:N/AC:L/Au:N/C:P/I:N/A:N) XML External Entity 5 (AV:N/AC:L/Au:N/C:P/I:N/A:N) XML Entity Expansion 5 (AV:N/AC:L/Au:N/C:P/I:N/A:N) XML Injection 7.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P) XQuery Injection 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C) Application Misconfiguration 5.1 (AV:N/AC:H/Au:N/C:P/I:P/A:P) Directory Indexing 5 (AV:N/AC:L/Au:N/C:P/I:N/A:N) Fingerprinting 0 (AV:N/AC:L/Au:N/C:N/I:N/A:N) Improper Parsing 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C) Improper Permissions 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C) Information leakage 5 (AV:N/AC:L/Au:N/C:P/I:N/A:N) Insecure Indexing 5 (AV:N/AC:L/Au:N/C:P/I:N/A:N) Insufficient Anti-automation 4 (AV:N/AC:H/Au:N/C:P/I:P/A:N) Insufficient Authentication 6.8 (AV:N/AC:M/Au:N/C:P/I:P/A:P) Insufficient Authorization 6.8 (AV:N/AC:M/Au:N/C:P/I:P/A:P) Insufficient Data Protection 5 (AV:N/AC:L/Au:N/C:P/I:N/A:N) Insufficient Password Recovery 5.1 (AV:N/AC:H/Au:N/C:P/I:P/A:P) Insufficient Process Validation 4 (AV:N/AC:H/Au:N/C:P/I:P/A:N) Insufficient Session Expiration 6.8 (AV:N/AC:M/Au:N/C:P/I:P/A:P) Insufficient Transport Layer Protection 4 (AV:N/AC:H/Au:N/C:P/I:P/A:N) Server Misconfiguration 5.1 (AV:N/AC:H/Au:N/C:P/I:P/A:P) Improper File System Permissions 4.4 (AV:L/AC:M/Au:N/C:P/I:P/A:P) Статистика уязвимостей веб-приложений за 2010—2011 годы 41
Приложение В. Распространенность уязвимостей
Таблица В.1. Распределение уязвимостей долям сайтов
Доля уязви- Доля сай-
Тип уязвимости
мости, % тов, %
Abuse of Functionality 0,33 4,88
Application Misconfiguration 2 17,07
Brute Force 35,48 52,03
Buffer Overflow 0 0
Content Spoofing 0,39 4,88
Credential/Session Prediction 1,22 8,13
Cross-Site Request Forgery 4,77 60,98
Cross-Site Scripting 14,30 39,84
Directory Indexing 0,44 6,50
Fingerprinting 3,27 34,15
Format String 0 0
HTTP Request Smuggling 0 0
HTTP Request Splitting 0,28 0,81
HTTP Response Smuggling 0,06 0,81
HTTP Response Splitting 0,11 1,63
Improper Filesystem Permissions 1,61 20,33
Information Leakage 7,15 53,66
Insecure Indexing 0,17 2,44
Insufficient Anti-automation 3,27 42,28
Insufficient Authentication 1,77 16,26
Insufficient Authorization 2,61 11,38
Insufficient Process Validation 0 0
Insufficient Session Expiration 0,28 4,07
Insufficient Transport Layer
1,55 21,95
Protection
Integer Overflows 0 0
LDAP Injection 0 0
Mail Command Injection 0,06 0,81
Null Byte Injection 0,55 7,32
Статистика уязвимостей веб-приложений за 2010—2011 годы 42OS Commanding 2,44 27,64
Path Traversal 2,44 27,64
Predictable Resource Location 4,66 35,77
Remote File Inclusion 0,17 1,63
Routing Detour 0 0
Server Misconfiguration 0,33 4,88
Session Fixation 0,67 9,76
SOAP Array Abuse 0 0
SQL Injection 6,82 45,53
SSI Injection 0 0
URL Redirector Abuse 0,5 6,5
XML Attribute Blowup 0 0
XML Entity Expansion 0 0
XML External Entities 0,11 0,81
XML Injection 0 0
XPath Injection 0,06 0,81
XQuery Injection 0 0
Insufficient Password Recovery 0,17 2,44
Malware Detect 0,83 9,76
Статистика уязвимостей веб-приложений за 2010—2011 годы 43Статистика уязвимости веб-приложений за 2010-2011 год 44
Вы также можете почитать
