В период с 2010 по 2011 год эксперты российской компании Positive Technologies в рамках оказания услуг по тестированию на проникновение и анализу защищенности информационных систем проводили детальный анализ веб-приложений ключевых российских компаний и предприятий. Объектами тестирования стали 123 сайта. Оценка защищенности проводилась ручным способом по методам черного и белого ящиков с использованием вспомогательных автоматизированных средств. Как следует из материалов исследования, на всех 123 порталах были найдены уязвимости (в среднем на каждый из них пришлось по 15 уязвимостей). При этом 64% ресурсов содержали уязвимости критического уровня риска, 98% — среднего уровня и 37% — низкого. Уязвимости успешно эксплуатировались: вредоносным кодом были заражены около 10% сайтов. Топ-10 наиболее распространенных уязвимостей Абсолютным лидером стала уязвимость Cross-Site Request Forgery. Она обнаружена на 61% проанализированных сайтов. Далее идут Brute Force и Information Leakage — 52% и 54% соответственно, а также критическая уязвимость SQL Injection (47%). В десятку попали еще две критические уязвимости, OS Commanding и Path Traversal (по 28%), и недостатки среднего уровня риска: Insufficient Anti-automation (42%), Cross-Site Scripting (40%), Predictable Resource Location (36%) и Insufficient Transport Layer Protection (22%). В целом минувший 2011 год был отмечен ростом доли ресурсов, подверженных уязвимости Cross-Site Request Forgery, тогда как SQL Injection и OS Commanding стали встречаться реже, чем в 2010 г. Системы управления содержимым Исследователи обращают внимание на низкую безопасность сайтов, использующих CMS собственной разработки (на таких веб-ресурсах значительно чаще встречались критические уязвимости, чем на порталах с коммерческими и свободными системами). Единственное исключение касается фактического заражения вредоносным кодом. Среди ресурсов, сконструированных на базе CMS собственной разработки, оказались заражены только 5%. Доли сайтов с признаками взлома на коммерческих и свободных системах были заметно выше: 8% и 24% соответственно. Это связано с тем, что веб-приложения на базе самодельных CMS, несмотря на наличие большого количества уязвимостей, меньше подвержены "случайному" взлому в рамках массовой атаки с использованием автоматизированных средств. С другой стороны, порталы с эксклюзивными движками — отличная мишень для целенаправленного нападения. Почти каждый второй ресурс с собственной CMS содержал следующие критические уязвимости: SQL Injection (60% сайтов), OS Commanding (40%), Path Traversal (45%). Соответствующие доли уязвимых порталов с коммерческими (47%, 20%, 29%) и бесплатными (34%, 48%, 28%) CMS выглядят несколько более оптимистично. Помимо этого, уязвимость Remote File Inclusion присутствовала исключительно на ресурсах, использующих "самописные" CMS, а Null Byte Injection встретилась на 30% подобных сайтов, что втрое превышает проблемную долю порталов с бесплатными CMS и в 15 раз — с коммерческими. Кроме того, на порталах с уникальными CMS преобладали уязвимости, характерные для осуществления атаки на клиента (Cross-Site Request Forgery и в особенности Cross-Site Scripting). Среди всех CMS лучше других от кибератак были защищены коммерческие. Веб-серверы Наивысший уровень безопасности продемонстрировали сайты под управлением веб-сервера Microsoft IIS. Лишь в отношении двух уязвимостей — Insufficient Transport Layer Protection и Server Misconfiguration — он не показал себя лучшим. Анализ уязвимостей, связанных с ошибками администрирования, выявил самые значительные проблемы у сайтов на базе веб-серверов nginx: они были подвержены таким уязвимостям, как Server Misconfiguration (25% сайтов), Improper Filesystem Permissions (33%), Transport Layer Protection (75%) и Information Leakage (83%). Для сравнения, доли уязвимых для подобных атак веб-ресурсов, функционирующих на базе Microsoft IIS, оказались гораздо ниже: 5%, 5%, 29% и 43% соответственно. Сайты, использующие веб-серверы Apache, в среднем также показали достойные результаты: 1%, 26%, 9% и 54%. Порталы на веб-сервере nginx, кроме того, продемонстрировали наибольшую склонность к уязвимостям Predictable Resource Location (67%), Directory Indexing (25%) и Insecure Indexing (8%). Значительно меньше оказалось число ресурсов, уязвимых для Predictable Resource Location, под управлением Apache (39%) и Microsoft IIS (5%). Уязвимость Directory Indexing оказалась характерна для 4% сайтов на базе Apache, а Insecure Indexing — для 3%; обе эти уязвимости не зафиксированы в системах на базе Microsoft IIS. Основные причины заражения вредоносным кодом В ходе исследования были подробно изучены ресурсы, на которых был обнаружен вредоносный код (их доля составила 10%). Практически все сайты, зараженные вредоносным кодом (92%), написаны на языке PHP и работают под управлением веб-сервера Apache. Половина взломанных веб-приложений функционируют под управлением свободных CMS. При сравнении распределения уязвимостей на сайтах с вредоносным кодом и без него эксперты Positive Technologies выяснили, что заражению информационного ресурса наиболее способствует наличие уязвимостей OS Commanding и Improper Filesystem Permissions. Треть всех сайтов с уязвимостью OS Commanding оказалась инфицирована. "Хотелось бы, чтобы защищенность веб-приложений росла гораздо быстрее, чем это происходит сейчас. Выбор популярных или свободных решений приводит к множеству уязвимостей, но большинство держателей ресурсов все еще не готовы платить за безопасность", — прокомментировал результаты исследования Дмитрий Евтеев, руководитель отдела анализа защищенности Positive Technologies.
CyberSecurity.ru