Страницы

понедельник, 28 октября 2013 г.

45% веб-ресурсов крупнейших российских компаний содержат критические уязвимости

Веб-приложения давно стали неотъемлемой частью корпоративной информационной системы любой современной организации вне зависимости от рода ее деятельности. Собственные веб-ресурсы создают не только коммерческие компании, но и государственные учреждения, которые развивают веб-сервисы для предоставления онлайн-услуг.

Несмотря на все преимущества веб-приложений, уязвимости в них являются одним из наиболее распространенных путей проникновения в корпоративные информационные системы. Это подтверждается статистическими исследованиями, которые ежегодно проводятся экспертами Positive Technologies.

Предметом исследования стали 67 ресурсов крупнейших российских организаций государственной и промышленной отраслей, сферы телекоммуникаций и IT (банковским системам посвящена отдельная работа).

Примечание: в ходе исследования анализировались данные, полученные при проведении работ по оценке уровня защищенности веб-приложений в 2012 году.

Самые распространенные уязвимости


В число 10 самых распространенных уязвимости вошли две критические — «Внедрение операторов SQL» и «Обход каталога», которым подвержены 33% и 18% исследованных веб-ресурсов соответственно.

В 2012 году наибольшее распространение получила уязвимость раскрытия информации Fingerprinting, позволяющая идентифицировать программное обеспечение и подготовить плацдарм для атаки: этому недостатку подвержены три четверти исследованных ресурсов (73%). На втором месте с 63% — межсайтовое выполнение сценариев (Cross-site Scripting). Почти в половине систем (46%) присутствуют ошибки, позволяющие автоматически подбирать учетные данные и пароли пользователей (Brute Force). image

Уязвимости, характерные для различных средств разработки веб-приложений


Согласно результатам проведенного исследования, 83% веб-приложений, разработанных на языке PHP, содержат критические уязвимости, остальные 17% таких систем содержат уязвимости средней и низкой степени риска. На втором месте Perl: почти треть систем содержат уязвимости высокого уровня риска.

image
Уязвимости, характерные для различных веб-серверов

В 2012 году наиболее подвержен уязвимостям высокой степени риска был веб-сервер Apache: 88% использующих его веб-ресурсов содержат критические недостатки безопасности. На втором месте Tomcat — 75% ошибок высокого уровня риска. Третье место с 43% уязвимых ресурсов занял Nginx, а самым безопасным стал веб-сервер IIS (14%). 

Напомним, что по результатам предыдущего исследования наиболее уязвимыми оказались веб-серверы Nginx и Apache.

 imageБольшинство уязвимостей веб-серверов связаны с ошибками администрирования, самой распространенной из которых является Information Leakage.

Уязвимости по отраслям


Максимальная концентрация веб-приложений, содержащих уязвимости высокой степени риска, была выявлена в телекоммуникационной отрасли — 78%. В промышленной сфере ровно половина (50%) ресурсов содержит критические недостатки безопасности, далее с небольшим отрывом следуют сайты IТ- и ИБ-компаний (45%). Что касается государственных организаций, то примерно каждое третье (27%) веб-приложение в этой сфере содержит уязвимость высокого уровня риска. image

Выводы


В целом по сравнению с 2011 годом средний уровень защищенности веб-приложений стал немного выше: в частности, доля сайтов, содержащих критические уязвимости, уменьшилась на 15% и составила почти 45%. Эксперты Positive Technologies обнаружили только одно зараженное веб-приложение, тогда как ранее 10% сайтов содержали вредоносный код. С другой стороны, есть и признаки стагнации: никак не изменилась доля веб-приложений с уязвимостями высокого уровня риска в промышленной сфере, а сайты телеком-сектора повышают уровень безопасности очень медленно. 

С полной версией исследования можно ознакомиться на сайте Positive Technologies.

1 комментарий:

  1. Thanks for sharing, nice post!

    ATS - địa chỉ bán vong em be tu dong tại TP.HCM. Máy đưa võng hay gia may dua vong tu dong là sản phẩm tinh túy. Với sp may dua vong ts trở thành 1 phần của các gia đình với may dua vong nhưng bạn hãy cẩn thận với hàng giả với dung cu dua vong tu dong hoặc siêu mắc. Bạn cần tham khảo máy đưa võng giá rẻ trước khi mua hay những meo giup be ngu ngon hq hay thực phẩm giúp bé ngủ ngon các mẹ cần biết, hay sản phẩm nôi võng giúp bé ngủ ngon!

    Tại Bruno Store với hàng hiệu xách tay với các mẫu quần áo nam hàng hiệu xách tay hay với áo sơ mi nam hàng hiệu xách tay hay với áo khoác nam hàng hiệu xách tay cực cá tính hay áo thun nam hàng hiệu xách tay cực đẹp sang trọng quần jean nam hàng hiệu xách tay hay áo khoác thun nam H&M cực cá tính, chất lượng. Tại Bruno - địa chỉ quần Levis chính hãng tại TP.HCM hay ÁO KHOÁC NAM H&M cho bạn trai hay áo khoác có mũ nam H&M hay áo khoác jean nam H&M thì đến Bruno - thời trang H&M chính hãng tại TP.HCM.

    Những thực phẩm giúp đẹp da tại http://nhungthucphamgiupda.blogspot.com/
    Thực phẩm giúp bạn trẻ đẹp tại http://thucphamgiuptre.blogspot.com/
    Thực phẩm làm tăng tại http://thucphamlamtang.blogspot.com/
    Những thực phẩm giúp làm giảm tại http://thucphamlamgiam.blogspot.com/
    Những thực phẩm tốt cho tại http://thucphamtotcho.blogspot.com/
    Những thực phẩm tốt cho da tại http://thucphamtotchoda.blogspot.com/

    ОтветитьУдалить