Такой (не)безопасный веб
DESCRIPTION
TRANSCRIPT
Такой (не)безопасный веб
Дмитрий Евтеев,
руководитель отдела анализа защищенности, Positive Technologies
Positive Technologies – это:
MaxPatrol – уникальная система анализа
защищенности и соответствия стандартам
XSpider – инновационный сканер безопасности
Positive Research – один из крупнейших
исследовательских центров в Европе
Positive Hack Days – международный форум по
практической информационной безопасности
Проводим более 20-ти крупномасштабных тестирований на проникновение в год
Анализируем защищенность веб-приложений на потоке
Участвуем в ПК 3, разработке СТО БР ИББС
Развиваем SecurityLab.ru – самый популярный интернет-портал, посвященный информационной безопасности
Лицензиаты ФСТЭК, ФСБ, Министерства обороны РФ
Мы
Опасный мир веб-приложений
По данным компании Positive Technologies за 2010-2011 год
• 64% сайтов содержат критические уязвимости
• 98% сайтов содержат уязвимости средней степени риска
• Если ваш сайт содержит уязвимость RCE, то с вероятностью в 92% он будет заражен вредоносным кодом (!)
http://www.ptsecurity.ru/lab/analytics/
Данные основываются на детальном анализе 123 сайтов, в которых было обнаружено 1817 уязвимостей различной степени риска.
Наиболее распространенные уязвимости
Cross-Site
Request Forgery
Information Le
akage
Brute Force
SQL Injecti
on
Insufficie
nt Anti-automation
Cross-Site
Scripting
Predictable Reso
urce Lo
cation
OS Commanding
Path Traversa
l
Insufficie
nt Transp
ort La
yer P
rotection
0%
10%
20%
30%
40%
50%
60%
70%61%
54% 52%47%
42%40%
36%
28% 28%22%
% сайтов
Языки программирования веб-ресурсов
Самым распространенным языком веб-программирования стал PHP
Значительная доля приложений написана на ASP.NET или Java
Доля сайтов на Perl и Ruby крайне мала
63%
19%
14%
4%
PHP ASP.NET Java другие
Характерные уязвимости для сайтов на различных языках программирования
81% сайтов на PHP содержат критические уязвимости
Наименее распространены критические уязвимости среди сайтов, написанных на ASP.NET
PHP Доля сайтов ASP.NET Доля сайтов Java Доля сайтов
Cross-Site Request Forgery
73%Cross-Site Scripting
39%Insufficient Authorization
41%
SQL Injection 61%Cross-Site Request Forgery
35%Cross-Site Request Forgery
35%
Cross-Site Scripting
43%Insufficient Anti-automation
35%Application Misconfiguration
29%
Insufficient Anti-automation
42% SQL Injection 22%Insufficient Authentication
29%
Path Traversal 42%Application Misconfiguration
17% OS Commanding 29%
Веб-сервера, используемые участниками тестирования
Самым предпочитаемым веб-сервером оказался Apache, на втором месте – Microsoft IIS, на третьем – Nginx
Кроме них участники выбирали Jboss, Tomcat, IBM HTTP Server, Oracle Application Server и другие
57%
17%
10%
16%
Apache IIS Nginx другие
Уязвимости конфигурации и функционирования веб-серверов
Наилучший уровень защищенности среди веб-серверов показал Microsoft IIS
Среди сайтов на Nginx гораздо больший процент содержащих уязвимости, связанные с ошибками администрирования
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
54%
9%
39%
26%
4% 1% 3%
43%
29%
5% 5%0%
5%0%
83%75%
67%
33%25% 25%
8%
Apache IIS nginx% сайтов
Распространенность уязвимостей высокой степени риска на сайтах из различных секторов экономики
Сайты финансового и промышленного секторов лидируют по защищенности от критических уязвимостей
Худший показатель у ресурсов телекоммуникационной области
Финансовый сектор Промышленность Государственный сектор
Информационные технологии
Телекоммуникации0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
43%50%
65%75%
88%% сайтов
Системы управления содержимым сайта
58% используют коммерческие системы управления содержимым, 25% - свободные, 17% - написанные специально для приложения
58%25%
17%
Коммерческие СвободныеСобственной разработки
Сравнение уровня уязвимости сайтов с CMS различных типов
Практически по всем критическим и распространенным уязвимостям сайты с CMS собственной разработки демонстрируют наихудшие показатели защищенности
Сайты со свободными CMS чаще содержат уязвимость OS Commanding и значительно чаще оказываются заражены вредоносным кодом
0%
10%
20%
30%
40%
50%
60%
70%
47%
20%
29%
8%
0%
33%
59%
2%
34%
48%
28%24%
0%
38%
55%
10%
60%
40%45%
5%10%
65% 65%
30%
Коммерческие Свободные Собственной разработки% сайтов
Используемые идентификаторы и пароли
Разграничение доступа
Отсутствие избыточных компонент
Использование встроенных и сторонних средств защиты
Своевременная установка обновлений и мониторинг безопасности
Простые правила обеспечения безопасности веб-приложений
Безопасность операционных систем (на примере Windows)
Простые правила обеспечения безопасности веб-приложений
Безопасность СУБД (на примере MSSQL)
Простые правила обеспечения безопасности веб-приложений
Безопасность языка разработки (на примере PHP)
Простые правила обеспечения безопасности веб-приложений
Безопасность веб-сервера (на примере Apache)
Простые правила обеспечения безопасности веб-приложений
Безопасность системы управления сайтом (на примере CMS 1C-Bitrix)
Простые правила обеспечения безопасности веб-приложений
WASC: http://projects.webappsec.org/
OWASP: http://www.owasp.org/
Securitylab: http://www.securitylab.ru/
Вебинары Positive Technologies: образовательная программа "Практическая безопасность": http://www.ptsecurity.ru/lab/webinars/
Статьи специалистов исследовательского центра Positive Research: http://www.ptsecurity.ru/lab/analytics/
Узнать больше!
Спасибо за внимание!
[email protected]://devteev.blogspot.comhttps://twitter.com/devteev