45% веб-ресурсов крупнейших российских компаний содержат критические уязвимости

    Веб-приложения давно стали неотъемлемой частью корпоративной информационной системы любой современной организации вне зависимости от рода ее деятельности. Собственные веб-ресурсы создают не только коммерческие компании, но и государственные учреждения, которые развивают веб-сервисы для предоставления онлайн-услуг.

    Несмотря на все преимущества веб-приложений, уязвимости в них являются одним из наиболее распространенных путей проникновения в корпоративные информационные системы. Это подтверждается статистическими исследованиями, которые ежегодно проводятся экспертами Positive Technologies.

    Предметом исследования стали 67 ресурсов крупнейших российских организаций государственной и промышленной отраслей, сферы телекоммуникаций и IT (банковским системам посвящена отдельная работа).

    Примечание: в ходе исследования анализировались данные, полученные при проведении работ по оценке уровня защищенности веб-приложений в 2012 году.

    Самые распространенные уязвимости


    В число 10 самых распространенных уязвимости вошли две критические — «Внедрение операторов SQL» и «Обход каталога», которым подвержены 33% и 18% исследованных веб-ресурсов соответственно.

    В 2012 году наибольшее распространение получила уязвимость раскрытия информации Fingerprinting, позволяющая идентифицировать программное обеспечение и подготовить плацдарм для атаки: этому недостатку подвержены три четверти исследованных ресурсов (73%). На втором месте с 63% — межсайтовое выполнение сценариев (Cross-site Scripting). Почти в половине систем (46%) присутствуют ошибки, позволяющие автоматически подбирать учетные данные и пароли пользователей (Brute Force).

    image

    Уязвимости, характерные для различных средств разработки веб-приложений


    Согласно результатам проведенного исследования, 83% веб-приложений, разработанных на языке PHP, содержат критические уязвимости, остальные 17% таких систем содержат уязвимости средней и низкой степени риска. На втором месте Perl: почти треть систем содержат уязвимости высокого уровня риска.

    image

    Уязвимости, характерные для различных веб-серверов


    В 2012 году наиболее подвержен уязвимостям высокой степени риска были Web-приложения, использующие веб-сервер Apache: 88% из них содержат критические недостатки безопасности. На втором месте Tomcat — 75% ошибок высокого уровня риска. Третье место с 43% уязвимых ресурсов занял Nginx, а самым безопасным стал веб-сервер IIS (14%).

    Напомним, что по результатам предыдущего исследования наиболее уязвимыми оказались веб-серверы Nginx и Apache.

    image

    Большинство уязвимостей веб-серверов связаны с ошибками администрирования, самой распространенной из которых является Information Leakage.

    Уязвимости по отраслям


    Максимальная концентрация веб-приложений, содержащих уязвимости высокой степени риска, была выявлена в телекоммуникационной отрасли — 78%. В промышленной сфере ровно половина (50%) ресурсов содержит критические недостатки безопасности, далее с небольшим отрывом следуют сайты IТ- и ИБ-компаний (45%). Что касается государственных организаций, то примерно каждое третье (27%) веб-приложение в этой сфере содержит уязвимость высокого уровня риска.

    image

    Выводы


    В целом по сравнению с 2011 годом средний уровень защищенности веб-приложений стал немного выше: в частности, доля сайтов, содержащих критические уязвимости, уменьшилась на 15% и составила почти 45%. Эксперты Positive Technologies обнаружили только одно зараженное веб-приложение, тогда как ранее 10% сайтов содержали вредоносный код. С другой стороны, есть и признаки стагнации: никак не изменилась доля веб-приложений с уязвимостями высокого уровня риска в промышленной сфере, а сайты телеком-сектора повышают уровень безопасности очень медленно.

    С полной версией исследования можно ознакомиться на сайте Positive Technologies.
    Positive Technologies
    Компания

    Комментарии 6

      +5
      Это заслуга битрикса
        0
        я люто ненавижу битрикс за его код и производительность, но ведь это весьма устойчивая к взлому CMS.
        +2
        Очень непрофессиональные заявления, а следовательно могу ли я доверять такому отчёту:
        В 2012 году наиболее подвержен уязвимостям высокой степени риска был веб-сервер Apache: 88% использующих его веб-ресурсов содержат критические недостатки безопасности. На втором месте Tomcat — 75% ошибок высокого уровня риска. Третье место с 43% уязвимых ресурсов занял Nginx, а самым безопасным стал веб-сервер IIS (14%).
        Большинство уязвимостей веб-серверов связаны с ошибками администрирования, самой распространенной из которых является Information Leakage.

        — Так если проблема в конфигурации то наверное это не есть уязвимостью веб-сервера. Конечно плохо если веб-сервер допускает плохую конфигурацию по умолчанию, но от всех вариантов защитить невозможно и очень часто администраторы сознательно ослабляют безопасность в следствие лени и незнания.
        Никаких данных о уязвимостях в веб-серверах в pdf отчете поиском не нашел(упоминаний apache, nginx, iis, Tomcat нет), потому на чем основаны цыфры непонятно.
        Ну и о безопасности iis. Всего исспользуется 1000 серверов на apache, 500 — nginx, 100 tomkat и 10 iis, apache с уязвимостями было 600 хостов, iis только 2, можно ли сделать вывод что iis более безопасный. Нет конечно, потому что при разнице размерах внедрений на територии ексСССР наверное на порядок ломать iis просто чтобы заполучить очередной зомби хост нет экономического смысла. Я не вижу учтены ли такие факторы в предпосылкам к выводах.
        • НЛО прилетело и опубликовало эту надпись здесь
          • НЛО прилетело и опубликовало эту надпись здесь
              0
              В 2012 году наиболее подвержен уязвимостям высокой степени риска были Web-приложения, использующие веб-сервер Apache: 88% из них содержат критические недостатки безопасности. На втором месте Tomcat — 75% ошибок высокого уровня риска. Третье место с 43% уязвимых ресурсов занял Nginx, а самым безопасным стал веб-сервер IIS (14%).

              Напомним, что по результатам предыдущего исследования наиболее уязвимыми оказались веб-серверы Nginx и Apache.
              Есть большая разница между фразой Web-приложения, использующие веб-сервер и уязвимыми оказались веб-серверы.

              Изначально в отчете идет речь только о популярности веб-серверов среди уязвимых веб-приложений которая в среднем совпадает со средней популярностью веб-серверов. В процессе перепечатки статьи другими изданиями вообще осталась фраза только про уязвимые веб-серверы.

              Отличный наброс… Это как заявить о том, что среди погибших в авиакадастрофах такой-то % пользователей Android и такой-то % пользователей iPhone, а затем из этого сделать статью, что использование Android приводит к гибели в авиакадастрофе, а перелеты с Windows Mobile гораздо безопаснее.

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое