16 сентября 2014
Более 60% корпоративных сайтов содержат уязвимости с высокой степенью риска
Наиболее распространенные уязвимости (доля сайтов, %)
Согласно исследованию компании «Positive Technologies», в последнее время заметно возросло количество сайтов с уязвимостями высокой степени риска. Исследователи выявили распространенные уязвимости и оценили эффективность методов их обнаружения.
Анализу защищенности проводился компанией в 2013 году. В ходе тестов проверено около 500 сайтов. Из-за участившихся атак в банковской сфере значительная часть исследуемых сайтов принадлежала банкам. Проводился анализ безопасности сайтов СМИ в связи с громкими случаями их взломов и распространения дезинформации. Также изучались сайты государственных учреждений, промышленных предприятий и телекоммуникационных компаний.
В 2013 году 62% сайтов содержали уязвимости высокой степени риска. Этот показатель на 17% выше прошлогоднего. Наибольшее количество приложений с уязвимостями высокой степени риска было выявлено на сайтах СМИ (80%). А среди сайтов дистанционного банковского обслуживания ни одна из исследованных систем не соответствовала требованиями стандарту безопасности данных индустрии платежных карт PCI DSS.
Наиболее распространенная прореха 2013 года – межсайтовое выполнение сценариев. Она встречается среди 78% исследованных сайтов. Данная уязвимость позволяет злоумышленнику изменять содержимое веб-страницы, отображаемой в браузере пользователя. Например, в системе интернет-банкинга злоумышленник может сформировать фальшивую форму авторизации. При этом введенные данные будут отправляться на сервер нарушителя.
Второе место (69%) занимает слабая защита от подбора идентификаторов или паролей пользователей. В десятку также вошли «Внедрение операторов SQL» и «Внедрение внешних сущностей XML». В процентном соотношении эти две уязвимости высокой степени риска составили 43% и 20% соответственно.
Наименее защищенными оказались сайты, написанные на языке PHP. Критические уязвимости содержат 76% из них. Опасная уязвимость «Внедрение операторов SQL» встречается на 62% таких сайтах. Вторыми по степени защиты оказались ресурсы на Java (70%) и ASP.NET (55%).
Эксперты Positive Technologies провели сравнительный анализ тестирования приложений методами черного, серого и белого ящиков:
-
метод черного ящика подразумевает исследование системы без получения данных о ней со стороны владельца;
-
метод серого ящика предполагает нарушителя, который обладает некоторыми привилегиями в системе;
-
метод белого ящика осуществляет анализ с использованием всех данных о системе, включая исходные коды программ.
Среди ресурсов исследованных методами черного и серого ящиков критические уязвимости нашлись на 60% сайтов. Для метода белого ящика этот показатель составил 75%.
Тестирование методом белого ящика позволяет обнаружить примерно в 10 раз больше критических уязвимостей, чем тестирование методами черного и серого ящиков, однако владельцы сайтов используют его редко.
