Документ анализирует актуальные угрозы в области веб-приложений, выделяя такие проблемы, как кража конфиденциальной информации и атаки типа DDoS. По данным компании Positive Technologies, 83% сайтов имеют критические уязвимости, что делает их легкой мишенью для хакеров. Отмечается необходимость комплексного подхода к безопасности веб-приложений, включая постоянный мониторинг и тестирование уязвимостей.

1. Актуальные угрозы Web- приложений Дмитрий Евтеев Positive Technologies

2. Угрозы Web- приложений Нарушение конфиденциальности Кража конфиденциальной информации, в том числе данных клиентов/партнеров Нарушение целостности Подмена заглавной страницы ( deface ) Распространение вредоносного программного обеспечения и запрещенного контента $ 500,000 украдено у грузоперевозчиков путем подмены данных на сайте ( http://www.securitylab.ru/news/361590.php ) Нарушение доступности Удаление содержимого DoS ( Denial of Service ) и DDoS (Distributed Denial of Service) атаки Внешние факторы и воздействия

3. Опасный мир Web- приложений По данным компании Positive Technologies за 2008 год 83% сайтов содержат критические уязвимости 78% сайтов содержат уязвимости средней степени риска вероятность автоматизированного заражения страниц уязвимого Web-приложения вредоносным кодом составляет приблизительно 15-20% http://ptsecurity.ru/analytics.asp Данные основываются на проведении 16121 автоматических сканирований, детальном анализе 59 Web-приложений, в том числе с проведением анализа исходного кода более 10-ти из них.

4. Опасный мир Web- приложений Хакеры сфокусировали свое внимание на Web-сервисах 75% всех атак направлено на уровень Web-приложений (Gartner) 60% всех зафиксированных атак в настоящее время нацелено на эксплуатацию уязвимостей в Web-приложениях (SANS) Большинство Web-приложений уязвимы 90% сайтов являются уязвимыми (Watchfire) 78% уязвимых Web-приложений могут быть легко атакованы (Symantec) 80% организаций к 2010 году столкнутся с хотя бы одним инцидентом, связанным с безопасностью web-приложений (Gartner) Согласно последним данным аналитиков IBM 75% атак приходиться на Web- приложения, в то время как на обеспечение их безопасности тратиться только 10% от общих затрат.

5. Уязвимости Web -приложений Статистика уязвимостей Web- приложений Positive Technologies за 2008 год ( Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp

6. Уязвимости Web -приложений Статистика уязвимостей Web- приложений Positive Technologies за 2008 год ( Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp

7. Уязвимость типа «Внедрение операторов SQL » Web- сервер СУБД http://web/? id=6329&print=Y … . SELECT * from news where id = 6329 … .

8. Уязвимость типа «Внедрение операторов SQL » Web- сервер СУБД http://web/? id=6329&print=Y … . SELECT * from news where id = 6329 … .

9. Уязвимость типа «Внедрение операторов SQL » Web- сервер СУБД http://web/? id=6329&print=Y … . SELECT * from news where id = 6329 … .

10. Уязвимость типа «Внедрение операторов SQL » Web- сервер СУБД http://web/? id=6329+union+select+id,pwd,0+from... … . SELECT * from news where id = 6329 union select id,pwd,0 from… … .

11. Уязвимость типа «Внедрение операторов SQL » Web- сервер СУБД http://web/? id=6329+union+select+id,pwd,0+from... … . SELECT * from news where id = 6329 union select id,pwd,0 from… … .

12. Уязвимость типа «Внедрение операторов SQL » Web- сервер СУБД http://web/? id=6329+union+select+id,pwd,0+from... … . SELECT * from news where id = 6329 union select id,pwd,0 from… … .

13. Массовые заражения Web- приложений "Лаборатория Касперского" предупреждает о массовом взломе - на 10,000 серверов были размещены опасные ссылки ScanSafe сообщают об обнаружении в сети Интернет более 64,000 web -сайтов, зараженных одним и тем же интернет-червем Распределение критических уязвимостей по инфицированным сайтам

14. Уязвимости Web -приложений Статистика уязвимостей Web- приложений Positive Technologies за 2008 год ( Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp

15. Уязвимость типа «Межсайтовое выполнение сценариев» Web- сервер http://web/?search=secureweb … print &quot;<b>secureweb</b>&quot;; …

16. Уязвимость типа «Межсайтовое выполнение сценариев» Web- сервер http://web/?search=secureweb … print &quot;<b>secureweb</b>&quot;; …

17. Уязвимость типа «Межсайтовое выполнение сценариев» Web- сервер 1. fuzzing, поиск уязвимости

18. Уязвимость типа «Межсайтовое выполнение сценариев» Web- сервер 1. fuzzing, поиск уязвимости 2. Передача «заряженной» ссылки : http://web/?search=secureweb&quot;><script>...</script> 3. Переход по ссылке

19. Уязвимость типа «Межсайтовое выполнение сценариев» Web- сервер 1. fuzzing, поиск уязвимости 2. Передача «заряженной» ссылки : http://web/?search=secureweb&quot;><script>...</script> 3. Переход по ссылке 4. Выполнение исполняемого кода в браузере пользователя

20. Уязвимость типа «Межсайтовое выполнение сценариев» Web- сервер 1. fuzzing, поиск уязвимости 2. Передача «заряженной» ссылки : http://web/?search=secureweb&quot;><script>...</script> 3. Переход по ссылке 4. Выполнение исполняемого кода в браузере пользователя 5. Например, передача Web-сессии (cookies) 6. Работа с Web-приложением от имени атакованного пользователя

21. Уязвимости Web -приложений Статистика уязвимостей Web- приложений Positive Technologies за 2008 год ( Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp

22. Уязвимость типа «Предсказуемое расположение ресурсов» Web- сервер http://web/test/ http://web/admin.php http://web/pwd.txt http://web/info.txt http://web/db/ http://web/readme.txt

23. Уязвимость типа «Предсказуемое расположение ресурсов» Web- сервер http://web/sql/ http://web/php.php http://web/phpmyadmin/ http://web/phpinfo.php http://web/adm/

24. Уязвимости Web -приложений Статистика уязвимостей Web- приложений Positive Technologies за 2008 год ( Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp

25. Уязвимость типа «Подбор» Web- сервер http://web/secure/

26. Уязвимость типа «Подбор» Web- сервер http://web/secure/

27. Статистика используемых паролей в России Более 40% паролей можно взломать из-за простоты Статистика по паролям низкой стойкости у администраторов : Данные основываются на анализе более чем 185 тысяч паролей пользователей ( http://www.ptsecurity.ru/download/PT-Metrics-Passwords-2009.pdf ).

28. Уязвимости Web -приложений Статистика уязвимостей Web- приложений Positive Technologies за 2008 год ( Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp

29. Уязвимость типа «Утечка информации» Web- сервер

30. Уязвимости Web -приложений Статистика уязвимостей Web- приложений Positive Technologies за 2008 год ( Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp

31. Уязвимость типа «Недостаточная аутентификация» Web- сервер http://web/secure/

32. Уязвимость типа «Недостаточная аутентификация» Web- сервер http://web/secure/members.php

33. Уязвимости Web -приложений Статистика уязвимостей Web- приложений Positive Technologies за 2008 год ( Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp

34. Уязвимость типа «Обратный путь в директориях» Web- сервер http://web/?file=positive.jpg … . $handle = fopen(&quot;positive.jpg&quot;,&quot;r&quot;); $contents = fread($handle, filesize(&quot;positive.jpg&quot;)); ….

35. Уязвимость типа «Обратный путь в директориях» Web- сервер http://web/?file=../../../../../../etc/passwd … . $handle = fopen(&quot;../../../../../../etc/passwd&quot;,&quot;r&quot;); $contents = fread($handle, filesize(&quot;../../../../../../etc/passwd&quot;)); ….

36. Уязвимости Web -приложений Статистика уязвимостей Web- приложений Positive Technologies за 2008 год ( Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp

37. Уязвимость типа «Идентификация приложений» Web- сервер http://web/ CMS: Tribiq CMS VERSION: 5.0

38. Уязвимость типа «Идентификация приложений» Web- сервер http://web/ CMS: Tribiq CMS VERSION: 5.0

39. Уязвимость типа «Идентификация приложений» Web- сервер http://web/ CMS: Tribiq CMS VERSION: 5.0

40. Критические уязвимости можно встретить даже на широко известных и крупных интернет - ресурсах Опасный мир Web- приложений

41. Концепция безопасного Web- приложения Уязвимость не является свойством Web-приложения! Безопасность должна быть разумной Безопасность должна быть комплексной Безопасность – это непрерывный процесс

42. Концепция безопасного Web- приложения Из чего складывается защищенность Web- ресурса ? Процесс разработки Web- приложения Жизненный цикл разработки программного обеспечения (SDLC) Требования к информационной безопасности (архитектура приложения) Состояние промышленной среды Поддержка актуального состояния ОС/ПО и сопутствующих компонентов Безопасные конфигурации ( CIS , etc) Обеспечение доступности Анализ защищенности Проверка выполнения требований к информационной безопасности Тестирование функций (fuzzing) и поиск уязвимостей (WASC, OWASP) Непрерывный мониторинг IDS/IPS Web Application Firewall (WAF)

43. Positive Technologies 7 лет работы в области информационной безопасности Основные направления деятельности разработка одного из лучших сетевых сканеров XSpider ; разработка уникального продукта - системы контроля защищенности и соответствия стандартам MaxPatrol ; предоставление консалтинговых и сервисных услуг в области информационной безопасности; развитие специализированного портала Securitylab. Positive Technologies – лаборатория безопасности постоянный мониторинг новых уязвимостей; внутренняя система описания уязвимостей; одна из наиболее профессиональных команд в Европе; MaxPatrol – ежедневные обновления.

44. Спасибо за внимание! [email_address] http://devteev.blogspot.com/