Использование сервера Continuous Integration для разработки мобильных приложений
Report
Share
1 of 20
More Related Content
Такой (не)безопасный веб
1. Такой (не)безопасный веб
Дмитрий Евтеев,
руководитель отдела анализа защищенности,
Positive Technologies
2. Positive Technologies – это:
MaxPatrol – уникальная система анализа
защищенности и соответствия стандартам
XSpider – инновационный сканер безопасности
Positive Research – один из крупнейших
исследовательских центров в Европе
Positive Hack Days – международный форум по
практической информационной безопасности
3. Мы
Проводим более 20-ти крупномасштабных
тестирований на проникновение в год
Анализируем защищенность веб-приложений
на потоке
Участвуем в ПК 3, разработке СТО БР ИББС
Развиваем SecurityLab.ru – самый
популярный интернет-портал, посвященный
информационной безопасности
Лицензиаты ФСТЭК, ФСБ, Министерства
обороны РФ
4. Опасный мир веб-приложений
По данным компании Positive Technologies за 2010-
2011 год
• 64% сайтов содержат критические уязвимости
• 98% сайтов содержат уязвимости средней степени риска
• Если ваш сайт содержит уязвимость RCE, то с
вероятностью в 92% он будет заражен вредоносным
кодом (!)
http://www.ptsecurity.ru/lab/analytics/
Данные основываются на детальном анализе 123 сайтов, в которых было обнаружено 1817
уязвимостей различной степени риска.
6. Языки программирования веб-ресурсов
4% Самым
распространенным
14% языком веб-
программирования
стал PHP
Значительная доля
19% приложений
написана на
63% ASP.NET или Java
Доля сайтов на
Perl и Ruby крайне
мала
PHP ASP.NET Java другие
7. Характерные уязвимости для сайтов на различных
языках программирования
PHP Доля сайтов ASP.NET Доля сайтов Java Доля сайтов
Cross-Site Request Cross-Site Insufficient
73% 39% 41%
Forgery Scripting Authorization
Cross-Site Request Cross-Site Request
SQL Injection 61% 35% 35%
Forgery Forgery
Cross-Site Insufficient Anti- Application
43% 35% 29%
Scripting automation Misconfiguration
Insufficient Anti- Insufficient
42% SQL Injection 22% 29%
automation Authentication
Application
Path Traversal 42% 17% OS Commanding 29%
Misconfiguration
81% сайтов на PHP содержат критические уязвимости
Наименее распространены критические уязвимости
среди сайтов, написанных на ASP.NET
8. Веб-сервера, используемые участниками
тестирования
16% Самым
предпочитаемым
веб-сервером
оказался Apache, на
10% втором месте –
Microsoft IIS, на
третьем – Nginx
57%
Кроме них
17% участники выбирали
Jboss, Tomcat, IBM
HTTP Server, Oracle
Application Server и
другие
Apache IIS Nginx другие
9. Уязвимости конфигурации и функционирования веб-
серверов
% сайтов Apache IIS nginx
90% 83%
75%
80%
67%
70%
60% 54%
50% 43%
39%
40% 33%
29% 26% 25% 25%
30%
20% 9% 8%
5% 5% 4% 5% 3% 0%
10% 0% 1%
0%
Information Insufficient Predictable Improper Directory Server Insecure Indexing
Leakage Transport Layer Resource Filesystem Indexing Misconfiguration
Protection Location Permissions
Наилучший уровень защищенности среди веб-серверов
показал Microsoft IIS
Среди сайтов на Nginx гораздо больший процент
содержащих уязвимости, связанные с ошибками
администрирования
10. Распространенность уязвимостей высокой степени
риска на сайтах из различных секторов экономики
% сайтов 88%
90% 75%
80% 65%
70%
50%
60% 43%
50%
40%
30%
20%
10%
0%
Финансовый сектор Промышленность Государственный сектор
Информационные технологии
Телекоммуникации
Сайты финансового и промышленного секторов
лидируют по защищенности от критических
уязвимостей
Худший показатель у ресурсов телекоммуникационной
области
11. Системы управления содержимым сайта
17%
58% используют
коммерческие
системы управления
содержимым, 25% -
свободные, 17% -
25% 58%
написанные
специально для
приложения
Коммерческие
Свободные
Собственной разработки
12. Сравнение уровня уязвимости сайтов с CMS различных
типов
% сайтов Коммерческие Свободные Собственной разработки
70% 65% 65%
60% 59%
60% 55%
47% 48%
50% 45%
40%
38%
40% 34% 33%
29% 28% 30%
30% 24%
20%
20%
10% 10%
8%
10% 5%
0% 0% 2%
0%
SQL Injection OS Commanding Path Traversal Malware Detect
Remote File Inclusion (RFI) Scripting
Cross-Site Cross-Site Request Forgery Injection
Null Byte
Практически по всем критическим и распространенным
уязвимостям сайты с CMS собственной разработки
демонстрируют наихудшие показатели защищенности
Сайты со свободными CMS чаще содержат уязвимость OS
Commanding и значительно чаще оказываются заражены
вредоносным кодом
13. Простые правила обеспечения безопасности веб-
приложений
Используемые идентификаторы и
пароли
Разграничение доступа
Отсутствие избыточных компонент
Использование встроенных и
сторонних средств защиты
Своевременная установка обновлений
и мониторинг безопасности
14. Простые правила обеспечения безопасности веб-
приложений
Безопасность операционных систем (на примере Windows)