|
Почти половина веб-ресурсов крупнейших российских компаний имеют критические уязвимости
Компания
Самые распространенные уязвимости В 2012 году наибольшее распространение получила уязвимость раскрытия информации Fingerprinting, позволяющая идентифицировать программное обеспечение и подготовить плацдарм для атаки: этому недостатку подвержены три четверти исследованных ресурсов (73%). На втором месте с 63% — межсайтовое выполнение сценариев. Почти в половине систем (46%) присутствуют ошибки, позволяющие автоматически подбирать учетные данные и пароли пользователей (Brute Force). В топ-10 вошли также две критические уязвимости — «Внедрение SQL-кода» и «Обход каталога», которым подвержены 33% и 18% исследованных веб-ресурсов соответственно. Наименее защищены веб-приложения на языке PHP с веб-сервером Apache Степень уязвимости веб-приложения напрямую зависит от выбора языка программирования и веб-сервера. PHP оказался самым распространенным языком для разработки веб-ресурсов в 2012 году — на нем написано 36% исследованных систем. Обратная сторона популярности — низкий уровень защищенности: 83% сайтов на PHP содержат критические уязвимости. Данный показатель почти в три раза выше, чем у Perl (29%). Что касается веб-приложений, разработанных на языках Java и ASP.NET, то они наименее подвержены ошибкам высокой степени риска — 15% и 10% уязвимых приложений соответственно, однако 85% приложений на Java и 80% на ASP.NET содержат уязвимости средней степени риска, что не позволяет говорить о высоком уровне безопасности. Разработчикам веб-приложений на PHP стоит обращать пристальное внимание на критические недостатки «Внедрения SQL-кода» и «Выполнение команд ОС», которые обнаружены примерно в каждом втором ресурсе на этом языке. В свою очередь сайты на ASP.NET подвержены уязвимости «Подбор паролей». Этот факт объясняется тем, что данная технология используется, как правило, в коммерческих приложениях, вместе с централизованным хранилищем идентификационных данных пользователей (Active Directory). В 2012 году наиболее распространенным веб-сервером оказался Nginx (43%), а наиболее подверженным уязвимостям высокой степени риска стал Apache: 88% использующих его веб-ресурсов подвержены критическим недостаткам безопасности. На втором месте Tomcat — 75% ошибок высокого уровня риска. В прошлом году наиболее уязвимыми были веб-серверы Nginx и Apache. В 2012 году, как и в 2010 и 2011, веб-приложения под управлением серверов Microsoft IIS оказались самыми безопасными: всего 14% исследованных сайтов содержали уязвимости высокой степени риска. Большинство уязвимостей веб-серверов связаны с ошибками администрирования, самой распространенной из которых является «Утечка информации» (Information Leakage). Специализированные средства защиты уровня приложений используется только в одном случае из трех Только 30% протестированных веб-ресурсов использовали Web Application Firewall (WAF). Учитывая, что на каждом из рассмотренных сайтов были обнаружены те или иные уязвимости, наличие такого средства превентивной защиты, как WAF, могло бы снизить риски, однако на сегодняшний день немногие владельцы веб-приложений прибегают к использованию подобных дополнительных инструментов. В целом по сравнению с 2011 годом средний уровень защищенности веб-приложений стал немного выше: в частности, доля сайтов, содержащих критические уязвимости, уменьшилась на 15% и составила почти 45%. Эксперты Positive Technologies обнаружили только одно зараженное веб-приложение, тогда как ранее 10% сайтов содержали вредоносный код. С другой стороны, есть и признаки стагнации: никак не изменилась доля веб-приложений с уязвимостями высокого уровня риска в промышленной сфере, а сайты телеком-сектора повышают уровень безопасности очень медленно. Заместитель технического директора Positive Technologies Дмитрий Кузнецов отмечает: «Общая картина защищенности веб-приложений в 2012 году радикально не изменилась. Заметно, что разработчики прикладывают определенные усилия, чтобы делать создаваемые информационные системы более защищенными: увеличился спрос на услуги анализа защищенности веб-приложений, снизилось количество уязвимостей высокого уровня риска, разработчики систем проявляют все больший интерес к средствам анализа исходного кода приложений и WAF. Тем не менее, о серьезном росте уровня защищенности говорить пока не приходится. Выявляемых уязвимостей высокого и среднего уровня опасности по-прежнему достаточно для проведения успешных атак, и веб-приложения по-прежнему остаются наиболее удобной стартовой точкой для преодоления периметра защиты корпоративных и государственных информационных систем». Смотри так же другие новости из Общие новости
|
Поиск по сайту |
Filebox.ru каталог архив программного обеспечения для Windows, работает с 2003 года. |
|