Такой (не)безопасный веб
•Download as PPTX, PDF•
1 like•1,413 views
Report
Share
Такой (не)безопасный веб
- 1. Такой (не)безопасный веб Дмитрий Евтеев, руководитель отдела анализа защищенности, Positive Technologies
- 2. Positive Technologies – это: MaxPatrol – уникальная система анализа защищенности и соответствия стандартам XSpider – инновационный сканер безопасности Positive Research – один из крупнейших исследовательских центров в Европе Positive Hack Days – международный форум по практической информационной безопасности
- 3. Мы Проводим более 20-ти крупномасштабных тестирований на проникновение в год Анализируем защищенность веб-приложений на потоке Участвуем в ПК 3, разработке СТО БР ИББС Развиваем SecurityLab.ru – самый популярный интернет-портал, посвященный информационной безопасности Лицензиаты ФСТЭК, ФСБ, Министерства обороны РФ
- 4. Опасный мир веб-приложений По данным компании Positive Technologies за 2010- 2011 год • 64% сайтов содержат критические уязвимости • 98% сайтов содержат уязвимости средней степени риска • Если ваш сайт содержит уязвимость RCE, то с вероятностью в 92% он будет заражен вредоносным кодом (!) http://www.ptsecurity.ru/lab/analytics/ Данные основываются на детальном анализе 123 сайтов, в которых было обнаружено 1817 уязвимостей различной степени риска.
- 5. Наиболее распространенные уязвимости % сайтов 70% 61% 60% 54% 52% 47% 50% 42% 40% 40% 36% 28% 28% 30% 22% 20% 10% 0%
- 6. Языки программирования веб-ресурсов 4% Самым распространенным 14% языком веб- программирования стал PHP Значительная доля 19% приложений написана на 63% ASP.NET или Java Доля сайтов на Perl и Ruby крайне мала PHP ASP.NET Java другие
- 7. Характерные уязвимости для сайтов на различных языках программирования PHP Доля сайтов ASP.NET Доля сайтов Java Доля сайтов Cross-Site Request Cross-Site Insufficient 73% 39% 41% Forgery Scripting Authorization Cross-Site Request Cross-Site Request SQL Injection 61% 35% 35% Forgery Forgery Cross-Site Insufficient Anti- Application 43% 35% 29% Scripting automation Misconfiguration Insufficient Anti- Insufficient 42% SQL Injection 22% 29% automation Authentication Application Path Traversal 42% 17% OS Commanding 29% Misconfiguration 81% сайтов на PHP содержат критические уязвимости Наименее распространены критические уязвимости среди сайтов, написанных на ASP.NET
- 8. Веб-сервера, используемые участниками тестирования 16% Самым предпочитаемым веб-сервером оказался Apache, на 10% втором месте – Microsoft IIS, на третьем – Nginx 57% Кроме них 17% участники выбирали Jboss, Tomcat, IBM HTTP Server, Oracle Application Server и другие Apache IIS Nginx другие
- 9. Уязвимости конфигурации и функционирования веб- серверов % сайтов Apache IIS nginx 90% 83% 75% 80% 67% 70% 60% 54% 50% 43% 39% 40% 33% 29% 26% 25% 25% 30% 20% 9% 8% 5% 5% 4% 5% 3% 0% 10% 0% 1% 0% Information Insufficient Predictable Improper Directory Server Insecure Indexing Leakage Transport Layer Resource Filesystem Indexing Misconfiguration Protection Location Permissions Наилучший уровень защищенности среди веб-серверов показал Microsoft IIS Среди сайтов на Nginx гораздо больший процент содержащих уязвимости, связанные с ошибками администрирования
- 10. Распространенность уязвимостей высокой степени риска на сайтах из различных секторов экономики % сайтов 88% 90% 75% 80% 65% 70% 50% 60% 43% 50% 40% 30% 20% 10% 0% Финансовый сектор Промышленность Государственный сектор Информационные технологии Телекоммуникации Сайты финансового и промышленного секторов лидируют по защищенности от критических уязвимостей Худший показатель у ресурсов телекоммуникационной области
- 11. Системы управления содержимым сайта 17% 58% используют коммерческие системы управления содержимым, 25% - свободные, 17% - 25% 58% написанные специально для приложения Коммерческие Свободные Собственной разработки
- 12. Сравнение уровня уязвимости сайтов с CMS различных типов % сайтов Коммерческие Свободные Собственной разработки 70% 65% 65% 60% 59% 60% 55% 47% 48% 50% 45% 40% 38% 40% 34% 33% 29% 28% 30% 30% 24% 20% 20% 10% 10% 8% 10% 5% 0% 0% 2% 0% SQL Injection OS Commanding Path Traversal Malware Detect Remote File Inclusion (RFI) Scripting Cross-Site Cross-Site Request Forgery Injection Null Byte Практически по всем критическим и распространенным уязвимостям сайты с CMS собственной разработки демонстрируют наихудшие показатели защищенности Сайты со свободными CMS чаще содержат уязвимость OS Commanding и значительно чаще оказываются заражены вредоносным кодом
- 13. Простые правила обеспечения безопасности веб- приложений Используемые идентификаторы и пароли Разграничение доступа Отсутствие избыточных компонент Использование встроенных и сторонних средств защиты Своевременная установка обновлений и мониторинг безопасности
- 14. Простые правила обеспечения безопасности веб- приложений Безопасность операционных систем (на примере Windows)
- 15. Простые правила обеспечения безопасности веб- приложений Безопасность СУБД (на примере MSSQL)
- 16. Простые правила обеспечения безопасности веб- приложений Безопасность языка разработки (на примере PHP)
- 17. Простые правила обеспечения безопасности веб- приложений Безопасность веб-сервера (на примере Apache)
- 18. Простые правила обеспечения безопасности веб- приложений Безопасность системы управления сайтом (на примере CMS 1C-Bitrix)
- 19. Узнать больше! WASC: http://projects.webappsec.org/ OWASP: http://www.owasp.org/ Securitylab: http://www.securitylab.ru/ Вебинары Positive Technologies: образовательная программа "Практическая безопасность": http://www.ptsecurity.ru/lab/webinars/ Статьи специалистов исследовательского центра Positive Research: http://www.ptsecurity.ru/lab/analytics/