Уязвимости веб-приложений и систем ДБО в 2013 и 2014 годах
Анна БрееваОтдел аналитики Positive Technologies
Вебинар Positive Technologies, 2 апреля 2015 г.
Статистика уязвимостей веб-приложений за 2014 год
Введение
― В 2014 году было изучено порядка 300 веб-приложений.
― Для выделенных 40 сайтов было обнаружено 1194 уязвимости.
― Уязвимости классифицировались по системе Web Application Security Consortium Threat Classification (WASC TC v. 2).
― Степень риска уязвимостей оценивалась согласно системе Common Vulnerability Scoring System (CVSS v. 2).
Методика исследования
Портрет участников: сферы экономики
Портрет участников: средства разработки и веб-серверы
Портрет участников: стадии разработки систем
Доля уязвимых веб-приложений
Динамика изменения долей уязвимых веб-приложений
Наиболее распространенные уязвимости
Сравнение средств разработки
Доли систем, подверженных уязвимостям высокой степени риска, а также среднее количество уязвимостей на одну систему
Сравнение веб-серверов
Уязвимости конфигурации
ApacheДоля
сайтовIIS
Доля сайтов
NginxДоля
сайтов
Apache-Coyote или Apache
Tomcat
Доля сайтов
Fingerprinting 80% Fingerprinting 78% Fingerprinting 79% Fingerprinting 60%
Brute Force 40% Brute Force 44% Brute Force 36% Brute Force 60%
Information Leakage
40%Insufficient
Transport Layer Protection
22%Insufficient
Transport Layer Protection
29%Information
Leakage60%
Insufficient Transport Layer
Protection30%
Server Misconfiguration
22%Information
Leakage21%
Insufficient Transport Layer
Protection40%
Server Misconfiguration
20%Information
Leakage11%
Predictable Resource Location
14%Insufficient
Session Expiration
20%
Уязвимости, характерные для различных отраслей экономики
Сравнение отраслей экономики
Доли систем, подверженных уязвимостям высокой степени риска, а также среднее количество уязвимостей на одну систему
Сравнение методов тестирования
Сравнение методов тестирования
Сравнение тестовых и продуктивных веб-приложений
Доли систем, подверженных уязвимостям высокой степени риска, а также среднее количество уязвимостей на одну систему
Заключение
― В 2013 году в среднем на каждое веб-приложение приходилось 15,6 уязвимостей, в 2014 году - 29,9.
―WAF был установлен лишь для одного веб-приложения.
― Уровень защищенности веб-приложений остается крайне низким.
― Рекомендуется:
• внедрять процессы безопасной разработки;
• обеспечивать тестирование безопасности приложений при приемке работ;
• регулярно проводить анализ защищенности;
• использовать средства превентивной защиты.
Статистика уязвимостей систем ДБО за 2013 и 2014 года
Введение
Было рассмотрено 28 систем ДБО, анализ защищенности которых проводился в течение 2013 и 2014 гг.
Системы ДБО
Мобильные приложения ДБО (54%)
Исходные данные
Общие результаты
Распределение уязвимостей по категориям
Наиболее распространенные уязвимости систем ДБО
Угрозы ИБ для систем ДБО
Сравнение сфер обслуживания
Доли систем, подверженных уязвимостям высокой степени риска, а также среднее количество уязвимостей на одну систему
Сравнение категорий разработчиков
Доли систем, подверженных уязвимостям высокой степени риска, а также среднее количество уязвимостей на одну систему
Сравнение стадий разработки
Доли систем, подверженных уязвимостям высокой степени риска, а также среднее количество уязвимостей на одну систему
Наиболее критические уязвимости
Недостатки механизмов идентификации
Недостатки механизмов аутентификации
Недостатки механизмов авторизации и защиты транзакций
Уязвимости на уровне кода веб-приложений
Наиболее распространенные уязвимости уровня веб-приложения
Недостатки конфигурации
Другие недостатки
― некорректная обработка широковещательных сообщений (выявлены в 14% систем);
― атаки на алгоритмы округления (выявлены в 11% систем);
― атаки типа «Отказ в обслуживании» (DoS) (выявлены в 11% систем);
― использование немаскированного номера платежной карты (PAN) (выявлены в 7% систем);
― и другие.
Уязвимости клиентского ПО мобильных систем ДБО
Уязвимости клиентского ПО мобильных систем ДБО
Заключение
― Уровень защищенности систем ДБО на сегодняшний день остается низким.
― Рекомендуется:
• внедрять процессы безопасной разработки;
• уделять особое внимание корректной реализации механизмов защиты, а также обеспечить контроль качества кода;
• регулярно проводить анализ защищенности;
• использовать средства превентивной защиты.
Спасибо за внимание!Вопросы?
Анна Бреева
mailto:[email protected]
Отдел аналитики
Positive Technologies