SlideShare a Scribd company logo

Такой (не)безопасный веб

Download as PPTX, PDF
Dmitry Evteev
Dmitry Evteev
1 of 20
Такой (не)безопасный веб Дмитрий Евтеев, руководитель отдела анализа защищенности, Positive Technologies
Positive Technologies – это: MaxPatrol – уникальная система анализа защищенности и соответствия стандартам XSpider – инновационный сканер безопасности Positive Research – один из крупнейших исследовательских центров в Европе Positive Hack Days – международный форум по практической информационной безопасности
Мы Проводим более 20-ти крупномасштабных тестирований на проникновение в год Анализируем защищенность веб-приложений на потоке Участвуем в ПК 3, разработке СТО БР ИББС Развиваем SecurityLab.ru – самый популярный интернет-портал, посвященный информационной безопасности Лицензиаты ФСТЭК, ФСБ, Министерства обороны РФ
Опасный мир веб-приложений По данным компании Positive Technologies за 2010- 2011 год • 64% сайтов содержат критические уязвимости • 98% сайтов содержат уязвимости средней степени риска • Если ваш сайт содержит уязвимость RCE, то с вероятностью в 92% он будет заражен вредоносным кодом (!) http://www.ptsecurity.ru/lab/analytics/ Данные основываются на детальном анализе 123 сайтов, в которых было обнаружено 1817 уязвимостей различной степени риска.
Наиболее распространенные уязвимости % сайтов 70% 61% 60% 54% 52% 47% 50% 42% 40% 40% 36% 28% 28% 30% 22% 20% 10% 0%
Языки программирования веб-ресурсов 4% Самым распространенным 14% языком веб- программирования стал PHP Значительная доля 19% приложений написана на 63% ASP.NET или Java Доля сайтов на Perl и Ruby крайне мала PHP ASP.NET Java другие
Характерные уязвимости для сайтов на различных языках программирования PHP Доля сайтов ASP.NET Доля сайтов Java Доля сайтов Cross-Site Request Cross-Site Insufficient 73% 39% 41% Forgery Scripting Authorization Cross-Site Request Cross-Site Request SQL Injection 61% 35% 35% Forgery Forgery Cross-Site Insufficient Anti- Application 43% 35% 29% Scripting automation Misconfiguration Insufficient Anti- Insufficient 42% SQL Injection 22% 29% automation Authentication Application Path Traversal 42% 17% OS Commanding 29% Misconfiguration 81% сайтов на PHP содержат критические уязвимости Наименее распространены критические уязвимости среди сайтов, написанных на ASP.NET
Веб-сервера, используемые участниками тестирования 16% Самым предпочитаемым веб-сервером оказался Apache, на 10% втором месте – Microsoft IIS, на третьем – Nginx 57% Кроме них 17% участники выбирали Jboss, Tomcat, IBM HTTP Server, Oracle Application Server и другие Apache IIS Nginx другие
Уязвимости конфигурации и функционирования веб- серверов % сайтов Apache IIS nginx 90% 83% 75% 80% 67% 70% 60% 54% 50% 43% 39% 40% 33% 29% 26% 25% 25% 30% 20% 9% 8% 5% 5% 4% 5% 3% 0% 10% 0% 1% 0% Information Insufficient Predictable Improper Directory Server Insecure Indexing Leakage Transport Layer Resource Filesystem Indexing Misconfiguration Protection Location Permissions Наилучший уровень защищенности среди веб-серверов показал Microsoft IIS Среди сайтов на Nginx гораздо больший процент содержащих уязвимости, связанные с ошибками администрирования
Распространенность уязвимостей высокой степени риска на сайтах из различных секторов экономики % сайтов 88% 90% 75% 80% 65% 70% 50% 60% 43% 50% 40% 30% 20% 10% 0% Финансовый сектор Промышленность Государственный сектор Информационные технологии Телекоммуникации Сайты финансового и промышленного секторов лидируют по защищенности от критических уязвимостей Худший показатель у ресурсов телекоммуникационной области
Системы управления содержимым сайта 17% 58% используют коммерческие системы управления содержимым, 25% - свободные, 17% - 25% 58% написанные специально для приложения Коммерческие Свободные Собственной разработки
Сравнение уровня уязвимости сайтов с CMS различных типов % сайтов Коммерческие Свободные Собственной разработки 70% 65% 65% 60% 59% 60% 55% 47% 48% 50% 45% 40% 38% 40% 34% 33% 29% 28% 30% 30% 24% 20% 20% 10% 10% 8% 10% 5% 0% 0% 2% 0% SQL Injection OS Commanding Path Traversal Malware Detect Remote File Inclusion (RFI) Scripting Cross-Site Cross-Site Request Forgery Injection Null Byte Практически по всем критическим и распространенным уязвимостям сайты с CMS собственной разработки демонстрируют наихудшие показатели защищенности Сайты со свободными CMS чаще содержат уязвимость OS Commanding и значительно чаще оказываются заражены вредоносным кодом
Простые правила обеспечения безопасности веб- приложений Используемые идентификаторы и пароли Разграничение доступа Отсутствие избыточных компонент Использование встроенных и сторонних средств защиты Своевременная установка обновлений и мониторинг безопасности
Простые правила обеспечения безопасности веб- приложений Безопасность операционных систем (на примере Windows)
Простые правила обеспечения безопасности веб- приложений Безопасность СУБД (на примере MSSQL)
Простые правила обеспечения безопасности веб- приложений Безопасность языка разработки (на примере PHP)
Простые правила обеспечения безопасности веб- приложений Безопасность веб-сервера (на примере Apache)
Простые правила обеспечения безопасности веб- приложений Безопасность системы управления сайтом (на примере CMS 1C-Bitrix)
Узнать больше! WASC: http://projects.webappsec.org/ OWASP: http://www.owasp.org/ Securitylab: http://www.securitylab.ru/ Вебинары Positive Technologies: образовательная программа "Практическая безопасность": http://www.ptsecurity.ru/lab/webinars/ Статьи специалистов исследовательского центра Positive Research: http://www.ptsecurity.ru/lab/analytics/
Спасибо за внимание! devteev@ptsecurity.ru http://devteev.blogspot.com https://twitter.com/devteev

Recommended

Dmitry Evteev Pt Devteev Ritconf V2
Dmitry Evteev Pt Devteev Ritconf V2Dmitry Evteev Pt Devteev Ritconf V2
Dmitry Evteev Pt Devteev Ritconf V2
rit2010
 
Анализ защищенности интернет-проектов
Анализ защищенности интернет-проектовАнализ защищенности интернет-проектов
Анализ защищенности интернет-проектов
Dmitry Evteev
 
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхАнализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Dmitry Evteev
 
Как взломать телеком и остаться в живых
Как взломать телеком и остаться в живыхКак взломать телеком и остаться в живых
Как взломать телеком и остаться в живых
qqlan
 
Denis Baranov: Root via XSS
Denis Baranov: Root via XSSDenis Baranov: Root via XSS
Denis Baranov: Root via XSS
qqlan
 
Continuous integration with TeamCity
Continuous integration with TeamCityContinuous integration with TeamCity
Continuous integration with TeamCity
Andrei Ivanov
 
DersuDev #1 2015 - Continous Integration
DersuDev #1 2015 - Continous IntegrationDersuDev #1 2015 - Continous Integration
DersuDev #1 2015 - Continous Integration
Igor Karpovich
 
Владислав Чернов, Badoo
Владислав Чернов, BadooВладислав Чернов, Badoo
Владислав Чернов, Badoo
Ontico
 

Recommended

Dmitry Evteev Pt Devteev Ritconf V2
Dmitry Evteev Pt Devteev Ritconf V2Dmitry Evteev Pt Devteev Ritconf V2
Dmitry Evteev Pt Devteev Ritconf V2
rit2010
 
Анализ защищенности интернет-проектов
Анализ защищенности интернет-проектовАнализ защищенности интернет-проектов
Анализ защищенности интернет-проектов
Dmitry Evteev
 
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхАнализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Dmitry Evteev
 
Как взломать телеком и остаться в живых
Как взломать телеком и остаться в живыхКак взломать телеком и остаться в живых
Как взломать телеком и остаться в живых
qqlan
 
Denis Baranov: Root via XSS
Denis Baranov: Root via XSSDenis Baranov: Root via XSS
Denis Baranov: Root via XSS
qqlan
 
Continuous integration with TeamCity
Continuous integration with TeamCityContinuous integration with TeamCity
Continuous integration with TeamCity
Andrei Ivanov
 
DersuDev #1 2015 - Continous Integration
DersuDev #1 2015 - Continous IntegrationDersuDev #1 2015 - Continous Integration
DersuDev #1 2015 - Continous Integration
Igor Karpovich
 
Владислав Чернов, Badoo
Владислав Чернов, BadooВладислав Чернов, Badoo
Владислав Чернов, Badoo
Ontico
 
Нужно ли внедрять DevOps. Как добиться чего-то от эксплуатации / Андрей Шорин...
Нужно ли внедрять DevOps. Как добиться чего-то от эксплуатации / Андрей Шорин...Нужно ли внедрять DevOps. Как добиться чего-то от эксплуатации / Андрей Шорин...
Нужно ли внедрять DevOps. Как добиться чего-то от эксплуатации / Андрей Шорин...
Ontico
 
CONTINUOUS INTEGRATION ДЛЯ ЧАЙНИКОВ ВМЕСТЕ С TEAMCITY
CONTINUOUS INTEGRATION ДЛЯ ЧАЙНИКОВ ВМЕСТЕ С TEAMCITYCONTINUOUS INTEGRATION ДЛЯ ЧАЙНИКОВ ВМЕСТЕ С TEAMCITY
CONTINUOUS INTEGRATION ДЛЯ ЧАЙНИКОВ ВМЕСТЕ С TEAMCITY
Pavel Tsukanov
 
Использование сервера Continuous Integration для разработки мобильных приложений
Использование сервера Continuous Integration для разработки мобильных приложенийИспользование сервера Continuous Integration для разработки мобильных приложений
Использование сервера Continuous Integration для разработки мобильных приложений
Alexander Byndyu
 
Состояние сетевой безопасности в 2016 году
Состояние сетевой безопасности в 2016 году Состояние сетевой безопасности в 2016 году
Состояние сетевой безопасности в 2016 году
Qrator Labs
 
penetest VS. APT
penetest VS. APTpenetest VS. APT
penetest VS. APT
Dmitry Evteev
 
Противодействие хищению персональных данных и платежной информации в сети Инт...
Противодействие хищению персональных данных и платежной информации в сети Инт...Противодействие хищению персональных данных и платежной информации в сети Инт...
Противодействие хищению персональных данных и платежной информации в сети Инт...
Dmitry Evteev
 
Интеграция TeamCity и сервера символов | Алексей Соловьев
Интеграция TeamCity и сервера символов | Алексей СоловьевИнтеграция TeamCity и сервера символов | Алексей Соловьев
Интеграция TeamCity и сервера символов | Алексей Соловьев
Positive Hack Days
 
Модель системы Continuous Integration в компании Positive Technologies | Тиму...
Модель системы Continuous Integration в компании Positive Technologies | Тиму...Модель системы Continuous Integration в компании Positive Technologies | Тиму...
Модель системы Continuous Integration в компании Positive Technologies | Тиму...
Positive Hack Days
 
Web Application Testing
Web Application TestingWeb Application Testing
Web Application Testing
Richa Goel
 
Автоматизация нагрузочного тестирования в связке JMeter + TeamСity + Grafana ...
Автоматизация нагрузочного тестирования в связке JMeter + TeamСity + Grafana ...Автоматизация нагрузочного тестирования в связке JMeter + TeamСity + Grafana ...
Автоматизация нагрузочного тестирования в связке JMeter + TeamСity + Grafana ...
Positive Hack Days
 
GitFlow_MOEX
GitFlow_MOEXGitFlow_MOEX
GitFlow_MOEX
Sergey Maximov
 
Web vulnerabilities-2018
Web vulnerabilities-2018Web vulnerabilities-2018
Web vulnerabilities-2018
malvvv
 
Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008
guest5b66888
 
Оценка защищенности Web-приложений
Оценка защищенности Web-приложенийОценка защищенности Web-приложений
Оценка защищенности Web-приложений
SQALab
 
Pt devteev-risspa
Pt devteev-risspaPt devteev-risspa
Pt devteev-risspa
yaevents
 
Node.js Меньше сложности, больше надежности Holy.js 2021
Node.js Меньше сложности, больше надежности Holy.js 2021Node.js Меньше сложности, больше надежности Holy.js 2021
Node.js Меньше сложности, больше надежности Holy.js 2021
Timur Shemsedinov
 
FortiWeb - межсетевой экран для веб-приложений
FortiWeb - межсетевой экран для веб-приложенийFortiWeb - межсетевой экран для веб-приложений
FortiWeb - межсетевой экран для веб-приложений
Sergey Malchikov
 
Презентация проекта Webobots (3 курс)
Презентация проекта Webobots (3 курс)Презентация проекта Webobots (3 курс)
Презентация проекта Webobots (3 курс)
Ivan Novikov
 
Load Testing
Load TestingLoad Testing
Load Testing
Eugene Dmitrichenko
 
T N S Add Venture
T N S Add VentureT N S Add Venture
T N S Add Venture
heckfly
 
Reputation services analisys
Reputation services analisys Reputation services analisys
Reputation services analisys
Pavel Korostelev
 
Web Gateway
Web GatewayWeb Gateway
Web Gateway
Andrei Novikau
 

More Related Content

Viewers also liked

Нужно ли внедрять DevOps. Как добиться чего-то от эксплуатации / Андрей Шорин...
Нужно ли внедрять DevOps. Как добиться чего-то от эксплуатации / Андрей Шорин...Нужно ли внедрять DevOps. Как добиться чего-то от эксплуатации / Андрей Шорин...
Нужно ли внедрять DevOps. Как добиться чего-то от эксплуатации / Андрей Шорин...
Ontico
 
Состояние сетевой безопасности в 2016 году
Состояние сетевой безопасности в 2016 году Состояние сетевой безопасности в 2016 году
Состояние сетевой безопасности в 2016 году
Qrator Labs
 
Противодействие хищению персональных данных и платежной информации в сети Инт...
Противодействие хищению персональных данных и платежной информации в сети Инт...Противодействие хищению персональных данных и платежной информации в сети Инт...
Противодействие хищению персональных данных и платежной информации в сети Инт...
Dmitry Evteev
 
Интеграция TeamCity и сервера символов | Алексей Соловьев
Интеграция TeamCity и сервера символов | Алексей СоловьевИнтеграция TeamCity и сервера символов | Алексей Соловьев
Интеграция TeamCity и сервера символов | Алексей Соловьев
Positive Hack Days
 
Web Application Testing
Web Application TestingWeb Application Testing
Web Application Testing
Richa Goel
 
Автоматизация нагрузочного тестирования в связке JMeter + TeamСity + Grafana ...
Автоматизация нагрузочного тестирования в связке JMeter + TeamСity + Grafana ...Автоматизация нагрузочного тестирования в связке JMeter + TeamСity + Grafana ...
Автоматизация нагрузочного тестирования в связке JMeter + TeamСity + Grafana ...
Positive Hack Days
 

Viewers also liked (11)

Нужно ли внедрять DevOps. Как добиться чего-то от эксплуатации / Андрей Шорин...
Нужно ли внедрять DevOps. Как добиться чего-то от эксплуатации / Андрей Шорин...Нужно ли внедрять DevOps. Как добиться чего-то от эксплуатации / Андрей Шорин...
Нужно ли внедрять DevOps. Как добиться чего-то от эксплуатации / Андрей Шорин...
 
CONTINUOUS INTEGRATION ДЛЯ ЧАЙНИКОВ ВМЕСТЕ С TEAMCITY
CONTINUOUS INTEGRATION ДЛЯ ЧАЙНИКОВ ВМЕСТЕ С TEAMCITYCONTINUOUS INTEGRATION ДЛЯ ЧАЙНИКОВ ВМЕСТЕ С TEAMCITY
CONTINUOUS INTEGRATION ДЛЯ ЧАЙНИКОВ ВМЕСТЕ С TEAMCITY
 
Использование сервера Continuous Integration для разработки мобильных приложений
Использование сервера Continuous Integration для разработки мобильных приложенийИспользование сервера Continuous Integration для разработки мобильных приложений
Использование сервера Continuous Integration для разработки мобильных приложений
 
Состояние сетевой безопасности в 2016 году
Состояние сетевой безопасности в 2016 году Состояние сетевой безопасности в 2016 году
Состояние сетевой безопасности в 2016 году
 
penetest VS. APT
penetest VS. APTpenetest VS. APT
penetest VS. APT
 
Противодействие хищению персональных данных и платежной информации в сети Инт...
Противодействие хищению персональных данных и платежной информации в сети Инт...Противодействие хищению персональных данных и платежной информации в сети Инт...
Противодействие хищению персональных данных и платежной информации в сети Инт...
 
Интеграция TeamCity и сервера символов | Алексей Соловьев
Интеграция TeamCity и сервера символов | Алексей СоловьевИнтеграция TeamCity и сервера символов | Алексей Соловьев
Интеграция TeamCity и сервера символов | Алексей Соловьев
 
Модель системы Continuous Integration в компании Positive Technologies | Тиму...
Модель системы Continuous Integration в компании Positive Technologies | Тиму...Модель системы Continuous Integration в компании Positive Technologies | Тиму...
Модель системы Continuous Integration в компании Positive Technologies | Тиму...
 
Web Application Testing
Web Application TestingWeb Application Testing
Web Application Testing
 
Автоматизация нагрузочного тестирования в связке JMeter + TeamСity + Grafana ...
Автоматизация нагрузочного тестирования в связке JMeter + TeamСity + Grafana ...Автоматизация нагрузочного тестирования в связке JMeter + TeamСity + Grafana ...
Автоматизация нагрузочного тестирования в связке JMeter + TeamСity + Grafana ...
 
GitFlow_MOEX
GitFlow_MOEXGitFlow_MOEX
GitFlow_MOEX
 

Similar to Такой (не)безопасный веб

Web vulnerabilities-2018
Web vulnerabilities-2018Web vulnerabilities-2018
Web vulnerabilities-2018
malvvv
 
Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008
guest5b66888
 
Pt devteev-risspa
Pt devteev-risspaPt devteev-risspa
Pt devteev-risspa
yaevents
 
FortiWeb - межсетевой экран для веб-приложений
FortiWeb - межсетевой экран для веб-приложенийFortiWeb - межсетевой экран для веб-приложений
FortiWeb - межсетевой экран для веб-приложений
Sergey Malchikov
 
T N S Add Venture
T N S Add VentureT N S Add Venture
T N S Add Venture
heckfly
 
Марат Мавлютов - Современный веб как сложная система
Марат Мавлютов - Современный веб как сложная системаМарат Мавлютов - Современный веб как сложная система
Марат Мавлютов - Современный веб как сложная система
Yandex
 
безопасность веб приложений сегодня. дмитрий евтеев. зал 4
безопасность веб приложений сегодня. дмитрий евтеев. зал 4безопасность веб приложений сегодня. дмитрий евтеев. зал 4
безопасность веб приложений сегодня. дмитрий евтеев. зал 4
rit2011
 
Безопасность веб-приложений сегодня
Безопасность веб-приложений сегодняБезопасность веб-приложений сегодня
Безопасность веб-приложений сегодня
Dmitry Evteev
 

Similar to Такой (не)безопасный веб (18)

Web vulnerabilities-2018
Web vulnerabilities-2018Web vulnerabilities-2018
Web vulnerabilities-2018
 
Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008
 
Оценка защищенности Web-приложений
Оценка защищенности Web-приложенийОценка защищенности Web-приложений
Оценка защищенности Web-приложений
 
Pt devteev-risspa
Pt devteev-risspaPt devteev-risspa
Pt devteev-risspa
 
Node.js Меньше сложности, больше надежности Holy.js 2021
Node.js Меньше сложности, больше надежности Holy.js 2021Node.js Меньше сложности, больше надежности Holy.js 2021
Node.js Меньше сложности, больше надежности Holy.js 2021
 
FortiWeb - межсетевой экран для веб-приложений
FortiWeb - межсетевой экран для веб-приложенийFortiWeb - межсетевой экран для веб-приложений
FortiWeb - межсетевой экран для веб-приложений
 
Презентация проекта Webobots (3 курс)
Презентация проекта Webobots (3 курс)Презентация проекта Webobots (3 курс)
Презентация проекта Webobots (3 курс)
 
Load Testing
Load TestingLoad Testing
Load Testing
 
T N S Add Venture
T N S Add VentureT N S Add Venture
T N S Add Venture
 
Reputation services analisys
Reputation services analisys Reputation services analisys
Reputation services analisys
 
Web Gateway
Web GatewayWeb Gateway
Web Gateway
 
Марат Мавлютов - Современный веб как сложная система
Марат Мавлютов - Современный веб как сложная системаМарат Мавлютов - Современный веб как сложная система
Марат Мавлютов - Современный веб как сложная система
 
безопасность веб приложений сегодня. дмитрий евтеев. зал 4
безопасность веб приложений сегодня. дмитрий евтеев. зал 4безопасность веб приложений сегодня. дмитрий евтеев. зал 4
безопасность веб приложений сегодня. дмитрий евтеев. зал 4
 
Безопасность веб-приложений сегодня
Безопасность веб-приложений сегодняБезопасность веб-приложений сегодня
Безопасность веб-приложений сегодня
 
Каким будет Selenium 3.0 и Selenium 4.0
Каким будет Selenium 3.0 и Selenium 4.0Каким будет Selenium 3.0 и Selenium 4.0
Каким будет Selenium 3.0 и Selenium 4.0
 
Андрей Ковалев - Безопасность сайта: мифы и реальность
Андрей Ковалев - Безопасность сайта: мифы и реальностьАндрей Ковалев - Безопасность сайта: мифы и реальность
Андрей Ковалев - Безопасность сайта: мифы и реальность
 
Функциональное программирование на Elixir
Функциональное программирование на ElixirФункциональное программирование на Elixir
Функциональное программирование на Elixir
 
Web Threats
Web ThreatsWeb Threats
Web Threats
 

More from Dmitry Evteev

Уязвимости систем ДБО в 2011-2012 гг.
Уязвимости систем ДБО в 2011-2012 гг.Уязвимости систем ДБО в 2011-2012 гг.
Уязвимости систем ДБО в 2011-2012 гг.
Dmitry Evteev
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...
Dmitry Evteev
 
Реальные опасности виртуального мира.
Реальные опасности виртуального мира.Реальные опасности виртуального мира.
Реальные опасности виртуального мира.
Dmitry Evteev
 
Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.
Dmitry Evteev
 
Демонстрация атаки на ДБО
Демонстрация атаки на ДБОДемонстрация атаки на ДБО
Демонстрация атаки на ДБО
Dmitry Evteev
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
Dmitry Evteev
 
Типовые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских системТиповые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских систем
Dmitry Evteev
 
Услуги PT для банков
Услуги PT для банковУслуги PT для банков
Услуги PT для банков
Dmitry Evteev
 
PHDays 2012: Future Now
PHDays 2012: Future NowPHDays 2012: Future Now
PHDays 2012: Future Now
Dmitry Evteev
 
Собираем команду хакеров
Собираем команду хакеровСобираем команду хакеров
Собираем команду хакеров
Dmitry Evteev
 
Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)
Dmitry Evteev
 
Тестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftТестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях Microsoft
Dmitry Evteev
 
PHDays CTF 2011 Quals/Afterparty: как это было
PHDays CTF 2011 Quals/Afterparty: как это былоPHDays CTF 2011 Quals/Afterparty: как это было
PHDays CTF 2011 Quals/Afterparty: как это было
Dmitry Evteev
 
Как взламывают сети государственных учреждений
Как взламывают сети государственных учрежденийКак взламывают сети государственных учреждений
Как взламывают сети государственных учреждений
Dmitry Evteev
 
Практика проведения DDoS-тестирований
Практика проведения DDoS-тестированийПрактика проведения DDoS-тестирований
Практика проведения DDoS-тестирований
Dmitry Evteev
 
Мобильный офис глазами пентестера
Мобильный офис глазами пентестераМобильный офис глазами пентестера
Мобильный офис глазами пентестера
Dmitry Evteev
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)
Dmitry Evteev
 
CC HackQuest 2010 Full Disclosure (мастер-класс)
CC HackQuest 2010 Full Disclosure (мастер-класс)CC HackQuest 2010 Full Disclosure (мастер-класс)
CC HackQuest 2010 Full Disclosure (мастер-класс)
Dmitry Evteev
 
Chaos Constructions HackQuest 2010 Full Disclosure (мастер-класс)
Chaos Constructions HackQuest 2010 Full Disclosure (мастер-класс)Chaos Constructions HackQuest 2010 Full Disclosure (мастер-класс)
Chaos Constructions HackQuest 2010 Full Disclosure (мастер-класс)
Dmitry Evteev
 

More from Dmitry Evteev (20)

Уязвимости систем ДБО в 2011-2012 гг.
Уязвимости систем ДБО в 2011-2012 гг.Уязвимости систем ДБО в 2011-2012 гг.
Уязвимости систем ДБО в 2011-2012 гг.
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...
 
Реальные опасности виртуального мира.
Реальные опасности виртуального мира.Реальные опасности виртуального мира.
Реальные опасности виртуального мира.
 
Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.
 
Демонстрация атаки на ДБО
Демонстрация атаки на ДБОДемонстрация атаки на ДБО
Демонстрация атаки на ДБО
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
 
Типовые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских системТиповые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских систем
 
Услуги PT для банков
Услуги PT для банковУслуги PT для банков
Услуги PT для банков
 
PHDays 2012: Future Now
PHDays 2012: Future NowPHDays 2012: Future Now
PHDays 2012: Future Now
 
Собираем команду хакеров
Собираем команду хакеровСобираем команду хакеров
Собираем команду хакеров
 
Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)
 
Тестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftТестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях Microsoft
 
PHDays CTF 2011 Quals/Afterparty: как это было
PHDays CTF 2011 Quals/Afterparty: как это былоPHDays CTF 2011 Quals/Afterparty: как это было
PHDays CTF 2011 Quals/Afterparty: как это было
 
Как взламывают сети государственных учреждений
Как взламывают сети государственных учрежденийКак взламывают сети государственных учреждений
Как взламывают сети государственных учреждений
 
Введение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложенийВведение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложений
 
Практика проведения DDoS-тестирований
Практика проведения DDoS-тестированийПрактика проведения DDoS-тестирований
Практика проведения DDoS-тестирований
 
Мобильный офис глазами пентестера
Мобильный офис глазами пентестераМобильный офис глазами пентестера
Мобильный офис глазами пентестера
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)
 
CC HackQuest 2010 Full Disclosure (мастер-класс)
CC HackQuest 2010 Full Disclosure (мастер-класс)CC HackQuest 2010 Full Disclosure (мастер-класс)
CC HackQuest 2010 Full Disclosure (мастер-класс)
 
Chaos Constructions HackQuest 2010 Full Disclosure (мастер-класс)
Chaos Constructions HackQuest 2010 Full Disclosure (мастер-класс)Chaos Constructions HackQuest 2010 Full Disclosure (мастер-класс)
Chaos Constructions HackQuest 2010 Full Disclosure (мастер-класс)
 

Такой (не)безопасный веб

  • 1. Такой (не)безопасный веб Дмитрий Евтеев, руководитель отдела анализа защищенности, Positive Technologies
  • 2. Positive Technologies – это: MaxPatrol – уникальная система анализа защищенности и соответствия стандартам XSpider – инновационный сканер безопасности Positive Research – один из крупнейших исследовательских центров в Европе Positive Hack Days – международный форум по практической информационной безопасности
  • 3. Мы Проводим более 20-ти крупномасштабных тестирований на проникновение в год Анализируем защищенность веб-приложений на потоке Участвуем в ПК 3, разработке СТО БР ИББС Развиваем SecurityLab.ru – самый популярный интернет-портал, посвященный информационной безопасности Лицензиаты ФСТЭК, ФСБ, Министерства обороны РФ
  • 4. Опасный мир веб-приложений По данным компании Positive Technologies за 2010- 2011 год • 64% сайтов содержат критические уязвимости • 98% сайтов содержат уязвимости средней степени риска • Если ваш сайт содержит уязвимость RCE, то с вероятностью в 92% он будет заражен вредоносным кодом (!) http://www.ptsecurity.ru/lab/analytics/ Данные основываются на детальном анализе 123 сайтов, в которых было обнаружено 1817 уязвимостей различной степени риска.
  • 5. Наиболее распространенные уязвимости % сайтов 70% 61% 60% 54% 52% 47% 50% 42% 40% 40% 36% 28% 28% 30% 22% 20% 10% 0%
  • 6. Языки программирования веб-ресурсов 4% Самым распространенным 14% языком веб- программирования стал PHP Значительная доля 19% приложений написана на 63% ASP.NET или Java Доля сайтов на Perl и Ruby крайне мала PHP ASP.NET Java другие
  • 7. Характерные уязвимости для сайтов на различных языках программирования PHP Доля сайтов ASP.NET Доля сайтов Java Доля сайтов Cross-Site Request Cross-Site Insufficient 73% 39% 41% Forgery Scripting Authorization Cross-Site Request Cross-Site Request SQL Injection 61% 35% 35% Forgery Forgery Cross-Site Insufficient Anti- Application 43% 35% 29% Scripting automation Misconfiguration Insufficient Anti- Insufficient 42% SQL Injection 22% 29% automation Authentication Application Path Traversal 42% 17% OS Commanding 29% Misconfiguration 81% сайтов на PHP содержат критические уязвимости Наименее распространены критические уязвимости среди сайтов, написанных на ASP.NET
  • 8. Веб-сервера, используемые участниками тестирования 16% Самым предпочитаемым веб-сервером оказался Apache, на 10% втором месте – Microsoft IIS, на третьем – Nginx 57% Кроме них 17% участники выбирали Jboss, Tomcat, IBM HTTP Server, Oracle Application Server и другие Apache IIS Nginx другие
  • 9. Уязвимости конфигурации и функционирования веб- серверов % сайтов Apache IIS nginx 90% 83% 75% 80% 67% 70% 60% 54% 50% 43% 39% 40% 33% 29% 26% 25% 25% 30% 20% 9% 8% 5% 5% 4% 5% 3% 0% 10% 0% 1% 0% Information Insufficient Predictable Improper Directory Server Insecure Indexing Leakage Transport Layer Resource Filesystem Indexing Misconfiguration Protection Location Permissions Наилучший уровень защищенности среди веб-серверов показал Microsoft IIS Среди сайтов на Nginx гораздо больший процент содержащих уязвимости, связанные с ошибками администрирования
  • 10. Распространенность уязвимостей высокой степени риска на сайтах из различных секторов экономики % сайтов 88% 90% 75% 80% 65% 70% 50% 60% 43% 50% 40% 30% 20% 10% 0% Финансовый сектор Промышленность Государственный сектор Информационные технологии Телекоммуникации Сайты финансового и промышленного секторов лидируют по защищенности от критических уязвимостей Худший показатель у ресурсов телекоммуникационной области
  • 11. Системы управления содержимым сайта 17% 58% используют коммерческие системы управления содержимым, 25% - свободные, 17% - 25% 58% написанные специально для приложения Коммерческие Свободные Собственной разработки
  • 12. Сравнение уровня уязвимости сайтов с CMS различных типов % сайтов Коммерческие Свободные Собственной разработки 70% 65% 65% 60% 59% 60% 55% 47% 48% 50% 45% 40% 38% 40% 34% 33% 29% 28% 30% 30% 24% 20% 20% 10% 10% 8% 10% 5% 0% 0% 2% 0% SQL Injection OS Commanding Path Traversal Malware Detect Remote File Inclusion (RFI) Scripting Cross-Site Cross-Site Request Forgery Injection Null Byte Практически по всем критическим и распространенным уязвимостям сайты с CMS собственной разработки демонстрируют наихудшие показатели защищенности Сайты со свободными CMS чаще содержат уязвимость OS Commanding и значительно чаще оказываются заражены вредоносным кодом
  • 13. Простые правила обеспечения безопасности веб- приложений Используемые идентификаторы и пароли Разграничение доступа Отсутствие избыточных компонент Использование встроенных и сторонних средств защиты Своевременная установка обновлений и мониторинг безопасности
  • 14. Простые правила обеспечения безопасности веб- приложений Безопасность операционных систем (на примере Windows)
  • 15. Простые правила обеспечения безопасности веб- приложений Безопасность СУБД (на примере MSSQL)
  • 16. Простые правила обеспечения безопасности веб- приложений Безопасность языка разработки (на примере PHP)
  • 17. Простые правила обеспечения безопасности веб- приложений Безопасность веб-сервера (на примере Apache)
  • 18. Простые правила обеспечения безопасности веб- приложений Безопасность системы управления сайтом (на примере CMS 1C-Bitrix)
  • 19. Узнать больше! WASC: http://projects.webappsec.org/ OWASP: http://www.owasp.org/ Securitylab: http://www.securitylab.ru/ Вебинары Positive Technologies: образовательная программа "Практическая безопасность": http://www.ptsecurity.ru/lab/webinars/ Статьи специалистов исследовательского центра Positive Research: http://www.ptsecurity.ru/lab/analytics/