Разделы

Интернет Безопасность E-commerce Интернет-реклама Веб-сервисы Интернет-ПО

"Дырявый" интернет: рейтинг уязвимостей

По оценкам экспертов, до 70% всех "дырок" в ПО приходится на веб-приложения. Причем результаты последних исследований свидетельствуют о резком росте их числа. Среди браузеров "печальным лидером" является Internet Explorer, а по типам уязвимости лидирует межсайтовое выполнение сценариев.

Рейтинг уязвимостей

В России существуют компании, которые совместно с хостинг-провайдерами проводят постоянное сканирование серверов, размещенных на интернет-площадках. Сканирование проводится в автоматическом режиме с помощью сканера уязвимостей XSpider 7.5. В случае обнаружения недочетов информация об обнаруженных уязвимостях и рекомендации по устранению отправляется владельцам сервера. Так например исследователями в 2006 году было проведено 111 тыс. 936 сканирований, в ходе которых было обнаружено 129 тыс. 197 различных уязвимостей высокого и среднего уровня риска. Уязвимыми оказались 31 тыс. 113 сайтов. Работы проводились с использованием как ручных, так и автоматизированных средств. Всего в статистику вошли данные по различным веб-приложениям, таким как системы клиент-банк, электронные торговые площадки, внешние корпоративные сайты и т.д.

Топ-10 веб-уязвимостей различных классов, Россия, 2006

Место в  рейтинге Вид уязвимости Число уязвимых cайтов Уязвимости, обнаруженные с помощью ручных средств Уязвимости, обнаруженные с помощью автоматизированных средств
1 Межсайтовое выполнение сценариев 83% 44,8% 81%
2 Утечка информации 80% 21,2% 85%
3 Предсказуемое расположение ресурсов 34% 5,4% 95%
4 Внедрение операторов SQL 31% 10,1% 78%
5 Расщепление HTTP-запроса 29% 3,5% 92%
6 Недостаточная авторизация 20% 3,3% 8%
7 Индексирование директорий 20% 3,0% 100%
8 Недостаточное противодействие автоматизации 17% 1,6% 0%
9 Обратный путь в директориях 11% 1,4% 100%
10 Недостаточная аутентификация 11% 1,1% 0%

Источник: Positive Technologies, 2006

Наиболее распространен класс "межсайтовое выполнение сценариев" (Cross-Site Scripting, XSS). В среднем каждый сайт содержит 4 уязвимости данного класса. На втором и третьем местах находятся разнообразные уязвимости, приводящие к утечке важной информации. Неаккуратное разграничение доступа к веб-ресурсам, хранение в общедоступных, но "скрытых" папках конфиденциальных данных, резервные копии сценариев являются наиболее типичными примерами подобных ошибок. С помощью четвертой по популярности уязвимость класса "внедрение операторов SQL" злоумышленники получают возможность читать и модифицировать информацию в базе данных. В некоторых случаях эксплуатация SQL Injection может привести к получению полного контроля над сервером. По этой причине данный тип классифицируется как имеющий высокую степень риска.

Распределение уязвимостей по степени риска, Россия, 2006

 Распределение уязвимостей по степени риска

Источник: Positive Technologies, 2006

Как видно, более половины (54%) из всех обнаруженных недочетов приходится на уязвимости средней степени риска. Изрядную лепту в этот результат вносит межсайтовое выполнение сценариев. На уязвимости низкой и высокой степени риска приходится 27% и 18% соответственно.

По результатам проведенных исследований аналитическая группа MITRE Corporation сделала определенные выводы. Уязвимости, особенно XSS, чаще появляются в лицензионных приложениях чем в программах с открытым кодом. Похоже, что вендорам приложений open source проще сделать свои творения более надежными. Опасность форматирования строки чаще появляется в приложениях из открытых источников. Уязвимости переполнения буфера примерно равны для обоих типов ПО.

Проверки бизнеса в цифровом формате: что изменится с 2025 года. Инфографика
Цифровизация

Многие веб-уязвимости трудно классифицировать по причине многоаспектности, то есть они состоят из различных ошибок, недостатков, и / или конструктивных ограничений. Примерно 30% уязвимостей не могут быть описаны с использованием действующей классификации. Еще 15% ошибок происходят по непонятным причинам. Таким образом, очевидна необходимость объединения усилий исследователей, широкомасштабное изучение этих проблем уязвимости веб-приложений, глобальное объединение знаний.

Елена Тимурова / CNews