По результатом исследования в 84% приложений были обнаружены проблемы с безопасностью.
Американская компания Veracode, разрабатывающая средства для проведения аудита безопасности, представила результаты исследования кода приблизительно 10 тысяч различных приложений, проверенных на протяжении последних 6 месяцев. Исследователи компании проанализировали несколько миллиардов строк кода, который был предоставлен как частными, так и открытыми проектами. Согласно данным отчета, только 16% приложений прошли тестирование с первого раза, в остальных случаях были обнаружены проблемы с безопасностью, в то время как полгода назад при аналогичном исследовании проверку сразу прошли 42% приложений. Такое различие объясняется повышением требований к тестовым проверкам. Так, уязвимости межсайтового скриптинга (XSS) и SQL-инъекции больше не относятся к категории незначительных, поскольку они часто становятся причиной утечки важных данных. Также в докладе исследования отмечается низкое качество программ для мобильных систем и web-приложений, используемых на государственных сайтах.
Интересным является тот факт, что программы коммерческих и открытых проектов прошли тест с одинаковым результатом. Обе категории программ прошли тестирование с первого раза только в 12% случаев.
Среди наиболее часто эксплуатируемых уязвимостей, которым подвержены web-приложения, исследователи отмечают атаки SQL-инъекции и XSS. Именно с помощью этих уязвимостей хакерские организации Anonymous и LulzSec проводят большинство своих атак. Так, проведенная в апреле атака инъекции SQL-запроса с использованием вредоносного ПО Lizamoon привела к заражению тысяч сайтов.
В ходе исследования в 68% проверенных web-приложений были обнаружены проблемы, связанные с XSS-уязвимостями, а с SQL-инъекцией – в 32%. При анализе государственных сайтов было выявлено, что 40% из них могут использоваться для инъекции SQL-кода, а 75% подвержены XSS-уязвимостям. Для финансового сектора данные показатели составляют 29% и 67%, а для производителей ПО - 30% и 55% соответственно.
В 19% клиентских приложений наблюдаются проблемы с обработкой ошибок, в 15% – некорректная работа с буферами, в 14% - переполнение буфера, в 11% - возможность обхода каталога (например, отсутствие проверки на "../"), в 9% - целочисленные переполнения, еще в 9% - потенциальное наличие бэкдоров, в 8% - некорректное использование криптографических средств, в 4% - утечка информации, и в 2% - возможность выполнения SQL-запросов.
Также выявлено, что от 30% до 70% приложений, разработанных для внутреннего использования, повторно используют чужой код, например, вызов функций сторонних библиотек. Довольно часто именно сторонний код становится причиной проблем. Так, множество XSS-уязвимостей в приложениях государственных учреждений связано с использованием платформы Adobe ColdFusion.
Более подробно ознакомиться с результатами исследования Veracode можно здесь.
Наш канал — питательная среда для вашего интеллекта