Такой (не)безопасный веб

3,288 views

Published on

  • Be the first to comment

Такой (не)безопасный веб

  1. 1. Такой (не)безопасный веб Дмитрий Евтеев, руководитель отдела анализа защищенности, Positive Technologies
  2. 2. Positive Technologies – это: MaxPatrol – уникальная система анализа защищенности и соответствия стандартам XSpider – инновационный сканер безопасности Positive Research – один из крупнейших исследовательских центров в Европе Positive Hack Days – международный форум по практической информационной безопасности
  3. 3. Мы Проводим более 20-ти крупномасштабных тестирований на проникновение в год Анализируем защищенность веб-приложений на потоке Участвуем в ПК 3, разработке СТО БР ИББС Развиваем SecurityLab.ru – самый популярный интернет-портал, посвященный информационной безопасности Лицензиаты ФСТЭК, ФСБ, Министерства обороны РФ
  4. 4. Опасный мир веб-приложений По данным компании Positive Technologies за 2010- 2011 год • 64% сайтов содержат критические уязвимости • 98% сайтов содержат уязвимости средней степени риска • Если ваш сайт содержит уязвимость RCE, то с вероятностью в 92% он будет заражен вредоносным кодом (!) http://www.ptsecurity.ru/lab/analytics/Данные основываются на детальном анализе 123 сайтов, в которых было обнаружено 1817уязвимостей различной степени риска.
  5. 5. Наиболее распространенные уязвимости% сайтов 70% 61% 60% 54% 52% 47% 50% 42% 40% 40% 36% 28% 28% 30% 22% 20% 10% 0%
  6. 6. Языки программирования веб-ресурсов 4% Самым распространенным 14% языком веб- программирования стал PHP Значительная доля 19% приложений написана на 63% ASP.NET или Java Доля сайтов на Perl и Ruby крайне мала PHP ASP.NET Java другие
  7. 7. Характерные уязвимости для сайтов на различных языках программирования PHP Доля сайтов ASP.NET Доля сайтов Java Доля сайтовCross-Site Request Cross-Site Insufficient 73% 39% 41%Forgery Scripting Authorization Cross-Site Request Cross-Site RequestSQL Injection 61% 35% 35% Forgery ForgeryCross-Site Insufficient Anti- Application 43% 35% 29%Scripting automation MisconfigurationInsufficient Anti- Insufficient 42% SQL Injection 22% 29%automation Authentication ApplicationPath Traversal 42% 17% OS Commanding 29% Misconfiguration 81% сайтов на PHP содержат критические уязвимости Наименее распространены критические уязвимости среди сайтов, написанных на ASP.NET
  8. 8. Веб-сервера, используемые участникамитестирования 16% Самым предпочитаемым веб-сервером оказался Apache, на 10% втором месте – Microsoft IIS, на третьем – Nginx 57% Кроме них 17% участники выбирали Jboss, Tomcat, IBM HTTP Server, Oracle Application Server и другие Apache IIS Nginx другие
  9. 9. Уязвимости конфигурации и функционирования веб-серверов % сайтов Apache IIS nginx 90% 83% 75% 80% 67% 70% 60% 54% 50% 43% 39% 40% 33% 29% 26% 25% 25% 30% 20% 9% 8% 5% 5% 4% 5% 3% 0% 10% 0% 1% 0% Information Insufficient Predictable Improper Directory Server Insecure Indexing Leakage Transport Layer Resource Filesystem Indexing Misconfiguration Protection Location Permissions Наилучший уровень защищенности среди веб-серверов показал Microsoft IIS Среди сайтов на Nginx гораздо больший процент содержащих уязвимости, связанные с ошибками администрирования
  10. 10. Распространенность уязвимостей высокой степенириска на сайтах из различных секторов экономики % сайтов 88% 90% 75% 80% 65% 70% 50% 60% 43% 50% 40% 30% 20% 10% 0% Финансовый сектор Промышленность Государственный сектор Информационные технологии Телекоммуникации Сайты финансового и промышленного секторов лидируют по защищенности от критических уязвимостей Худший показатель у ресурсов телекоммуникационной области
  11. 11. Системы управления содержимым сайта 17% 58% используют коммерческие системы управления содержимым, 25% - свободные, 17% - 25% 58% написанные специально для приложения Коммерческие Свободные Собственной разработки
  12. 12. Сравнение уровня уязвимости сайтов с CMS различныхтипов % сайтов Коммерческие Свободные Собственной разработки 70% 65% 65% 60% 59% 60% 55% 47% 48% 50% 45% 40% 38% 40% 34% 33% 29% 28% 30% 30% 24% 20% 20% 10% 10% 8% 10% 5% 0% 0% 2% 0% SQL Injection OS Commanding Path Traversal Malware Detect Remote File Inclusion (RFI) Scripting Cross-Site Cross-Site Request Forgery Injection Null Byte Практически по всем критическим и распространенным уязвимостям сайты с CMS собственной разработки демонстрируют наихудшие показатели защищенности Сайты со свободными CMS чаще содержат уязвимость OS Commanding и значительно чаще оказываются заражены вредоносным кодом
  13. 13. Простые правила обеспечения безопасности веб-приложений Используемые идентификаторы и пароли Разграничение доступа Отсутствие избыточных компонент Использование встроенных и сторонних средств защиты Своевременная установка обновлений и мониторинг безопасности
  14. 14. Простые правила обеспечения безопасности веб-приложений Безопасность операционных систем (на примере Windows)
  15. 15. Простые правила обеспечения безопасности веб-приложений Безопасность СУБД (на примере MSSQL)
  16. 16. Простые правила обеспечения безопасности веб-приложений Безопасность языка разработки (на примере PHP)
  17. 17. Простые правила обеспечения безопасности веб-приложений Безопасность веб-сервера (на примере Apache)
  18. 18. Простые правила обеспечения безопасности веб-приложений Безопасность системы управления сайтом (на примере CMS 1C-Bitrix)
  19. 19. Узнать больше! WASC: http://projects.webappsec.org/ OWASP: http://www.owasp.org/ Securitylab: http://www.securitylab.ru/ Вебинары Positive Technologies: образовательная программа "Практическая безопасность": http://www.ptsecurity.ru/lab/webinars/ Статьи специалистов исследовательского центра Positive Research: http://www.ptsecurity.ru/lab/analytics/
  20. 20. Спасибо за внимание!devteev@ptsecurity.ruhttp://devteev.blogspot.comhttps://twitter.com/devteev

×