Документ обсуждает безопасность веб-приложений, описывая данные о распространенности уязвимостей на различных сайтах, большинство из которых имеют критические недостатки. Positive Technologies сообщает, что 64% сайтов содержат критические уязвимости, а PHP является наиболее популярным языком программирования среди них. Также представлены рекомендации по улучшению безопасности веб-приложений и исследования в данной области.

1. Такой (не)безопасный веб
Дмитрий Евтеев,
руководитель отдела анализа защищенности,
Positive Technologies

2. Positive Technologies – это:
MaxPatrol – уникальная система анализа
защищенности и соответствия стандартам
XSpider – инновационный сканер безопасности
Positive Research – один из крупнейших
исследовательских центров в Европе
Positive Hack Days – международный форум по
практической информационной безопасности

3. Мы
Проводим более 20-ти крупномасштабных
тестирований на проникновение в год
Анализируем защищенность веб-приложений
на потоке
Участвуем в ПК 3, разработке СТО БР ИББС
Развиваем SecurityLab.ru – самый
популярный интернет-портал, посвященный
информационной безопасности
Лицензиаты ФСТЭК, ФСБ, Министерства
обороны РФ

4. Опасный мир веб-приложений
По данным компании Positive Technologies за 2010-
2011 год
• 64% сайтов содержат критические уязвимости
• 98% сайтов содержат уязвимости средней степени риска
• Если ваш сайт содержит уязвимость RCE, то с
вероятностью в 92% он будет заражен вредоносным
кодом (!)
http://www.ptsecurity.ru/lab/analytics/
Данные основываются на детальном анализе 123 сайтов, в которых было обнаружено 1817
уязвимостей различной степени риска.

5. Наиболее распространенные уязвимости
% сайтов
70%
61%
60% 54% 52%
47%
50% 42%
40%
40% 36%
28% 28%
30% 22%
20%
10%
0%

6. Языки программирования веб-ресурсов
4% Самым
распространенным
14% языком веб-
программирования
стал PHP
Значительная доля
19% приложений
написана на
63% ASP.NET или Java
Доля сайтов на
Perl и Ruby крайне
мала
PHP ASP.NET Java другие

7. Характерные уязвимости для сайтов на различных
языках программирования
PHP Доля сайтов ASP.NET Доля сайтов Java Доля сайтов
Cross-Site Request Cross-Site Insufficient
73% 39% 41%
Forgery Scripting Authorization
Cross-Site Request Cross-Site Request
SQL Injection 61% 35% 35%
Forgery Forgery
Cross-Site Insufficient Anti- Application
43% 35% 29%
Scripting automation Misconfiguration
Insufficient Anti- Insufficient
42% SQL Injection 22% 29%
automation Authentication
Application
Path Traversal 42% 17% OS Commanding 29%
Misconfiguration
81% сайтов на PHP содержат критические уязвимости
Наименее распространены критические уязвимости
среди сайтов, написанных на ASP.NET

8. Веб-сервера, используемые участниками
тестирования
16% Самым
предпочитаемым
веб-сервером
оказался Apache, на
10% втором месте –
Microsoft IIS, на
третьем – Nginx
57%
Кроме них
17% участники выбирали
Jboss, Tomcat, IBM
HTTP Server, Oracle
Application Server и
другие
Apache IIS Nginx другие

9. Уязвимости конфигурации и функционирования веб-
серверов
% сайтов Apache IIS nginx
90% 83%
75%
80%
67%
70%
60% 54%
50% 43%
39%
40% 33%
29% 26% 25% 25%
30%
20% 9% 8%
5% 5% 4% 5% 3% 0%
10% 0% 1%
0%
Information Insufficient Predictable Improper Directory Server Insecure Indexing
Leakage Transport Layer Resource Filesystem Indexing Misconfiguration
Protection Location Permissions
Наилучший уровень защищенности среди веб-серверов
показал Microsoft IIS
Среди сайтов на Nginx гораздо больший процент
содержащих уязвимости, связанные с ошибками
администрирования

10. Распространенность уязвимостей высокой степени
риска на сайтах из различных секторов экономики
% сайтов 88%
90% 75%
80% 65%
70%
50%
60% 43%
50%
40%
30%
20%
10%
0%
Финансовый сектор Промышленность Государственный сектор
Информационные технологии
Телекоммуникации
Сайты финансового и промышленного секторов
лидируют по защищенности от критических
уязвимостей
Худший показатель у ресурсов телекоммуникационной
области

11. Системы управления содержимым сайта
17%
58% используют
коммерческие
системы управления
содержимым, 25% -
свободные, 17% -
25% 58%
написанные
специально для
приложения
Коммерческие
Свободные
Собственной разработки

12. Сравнение уровня уязвимости сайтов с CMS различных
типов
% сайтов Коммерческие Свободные Собственной разработки
70% 65% 65%
60% 59%
60% 55%
47% 48%
50% 45%
40%
38%
40% 34% 33%
29% 28% 30%
30% 24%
20%
20%
10% 10%
8%
10% 5%
0% 0% 2%
0%
SQL Injection OS Commanding Path Traversal Malware Detect
Remote File Inclusion (RFI) Scripting
Cross-Site Cross-Site Request Forgery Injection
Null Byte
Практически по всем критическим и распространенным
уязвимостям сайты с CMS собственной разработки
демонстрируют наихудшие показатели защищенности
Сайты со свободными CMS чаще содержат уязвимость OS
Commanding и значительно чаще оказываются заражены
вредоносным кодом

13. Простые правила обеспечения безопасности веб-
приложений
Используемые идентификаторы и
пароли
Разграничение доступа
Отсутствие избыточных компонент
Использование встроенных и
сторонних средств защиты
Своевременная установка обновлений
и мониторинг безопасности

14. Простые правила обеспечения безопасности веб-
приложений
Безопасность операционных систем (на примере Windows)

15. Простые правила обеспечения безопасности веб-
приложений
Безопасность СУБД (на примере MSSQL)

16. Простые правила обеспечения безопасности веб-
приложений
Безопасность языка разработки (на примере PHP)

17. Простые правила обеспечения безопасности веб-
приложений
Безопасность веб-сервера (на примере Apache)

18. Простые правила обеспечения безопасности веб-
приложений
Безопасность системы управления сайтом (на примере CMS
1C-Bitrix)

19. Узнать больше!
WASC: http://projects.webappsec.org/
OWASP: http://www.owasp.org/
Securitylab: http://www.securitylab.ru/
Вебинары Positive Technologies: образовательная
программа "Практическая безопасность":
http://www.ptsecurity.ru/lab/webinars/
Статьи специалистов исследовательского центра
Positive Research:
http://www.ptsecurity.ru/lab/analytics/

20. Спасибо за внимание!
devteev@ptsecurity.ru
http://devteev.blogspot.com
https://twitter.com/devteev