5 Марта, 2010

CENZIC Web Application Security Trends Report

Dmitriy Evteev
Компания CENZIC , поставщик программного обеспечения и услуг по защите Web-приложений, на днях опубликовала отчет по тенденциям безопасности Web-приложений за период со второго квартала 2008 года по четвертый квартал 2009 года. Основные выводы, сделанные специалистами компании CENZIC по результатам проведенного анализа: - 82% всех обнаруженных уязвимостей связано с Web-технологиями; - Большее количество уязвимостей найдено в браузере Firefox ; - Компании Adobe , Sun (а теперь уже Oracle ) и HP содержаться в числе 10 ведущих поставщиков с наиболее серьезными уязвимостями (на вторую половину 2009 года). name='more'> Анализ бюллетеней безопасности, публикуемых NIST , MITRE , SANS , US-CERT и OSVDB , позволил получить соотношение уязвимостей, связанных с Web-технологиями, от общего числа всех обнаруживаемых уязвимостей с середины 2008 по окончанию 2009 г. Анализ наиболее часто встречающихся уязвимостей за 3 и 4 кварталы 2009 года позволил получить следующие данные: То есть, основными недостатками при разработке коммерческих Web-приложений являются уязвимости: - Межсайтовое выполнение сценариев ( Cross-Site Scripting, XSS ) - Внедрение операторов SQL ( SQL Injection ) - Выход за корневой каталог Web-сервера ( Path Traversal ) Рассматривая категорию прочих уязвимостей (Misc, 44%), компания CENZIC приводит следующие результаты: Анализ наиболее часто встречаемых уязвимостей в "живых" приложениях собственных клиентов компании CENZIC позволил получить результаты, представленные на рисунке ниже: То есть, уязвимости, которые приводят к выполнению командна сервере (RFI/SQLi), встречаются в 32%случаев. Уязвимости, связанные с механизмами аутентификации и авторизации можно встретить на 71% Web-приложений. А наиболее распространенными недостатками являются различные утечки информации (93%) и уязвимость типа "Межсайтовое выполнение сценариев" (81%). Проводя анализ обнаруженных и устраненных уязвимостей в наиболее популярных браузерах, компанией CENZIC были получены такие результаты: То есть, по числу уязвимостей лидирует Firefox , а в рядах отстающих по тому же критерию - Opera . Это вовсе не означает, что Opera является более защищенным браузером по сравнению с остальными браузерами, приводимыми в отчете. Аналогично конкурентам Opera не застрахован от zero-day атак [ 1 ]. Анализ уязвимостей Web-серверов показал, что чуть больше половины всех обнаруженных уязвимостей во второй половине 2009 года приходится на продукт WebSphere компании IBM : Ознакомиться с полным содержимым отчета можно по следующему адресу: http://www.cenzic.com/downloads/Cenzic_AppSecTrends_Q3-Q4-2009.pdf