Компания CENZIC, поставщик программного обеспечения и услуг по защите Web-приложений, на днях опубликовала отчет по тенденциям безопасности Web-приложений за период со второго квартала 2008 года по четвертый квартал 2009 года. Основные выводы, сделанные специалистами компании CENZIC по результатам проведенного анализа:
- 82% всех обнаруженных уязвимостей связано с Web-технологиями;
- Большее количество уязвимостей найдено в браузере Firefox;
- Компании Adobe, Sun (а теперь уже Oracle) и HP содержаться в числе 10 ведущих поставщиков с наиболее серьезными уязвимостями (на вторую половину 2009 года).
Анализ бюллетеней безопасности, публикуемых NIST, MITRE, SANS, US-CERT и OSVDB, позволил получить соотношение уязвимостей, связанных с Web-технологиями, от общего числа всех обнаруживаемых уязвимостей с середины 2008 по окончанию 2009 г.
Анализ наиболее часто встречающихся уязвимостей за 3 и 4 кварталы 2009 года позволил получить следующие данные:
То есть, основными недостатками при разработке коммерческих Web-приложений являются уязвимости:
- Межсайтовое выполнение сценариев (Cross-Site Scripting, XSS)
- Внедрение операторов SQL (SQL Injection)
- Выход за корневой каталог Web-сервера (Path Traversal)
Рассматривая категорию прочих уязвимостей (Misc, 44%), компания CENZIC приводит следующие результаты:
Анализ наиболее часто встречаемых уязвимостей в "живых" приложениях собственных клиентов компании CENZIC позволил получить результаты, представленные на рисунке ниже:
То есть, уязвимости, которые приводят к выполнению команд на сервере (RFI/SQLi), встречаются в 32% случаев. Уязвимости, связанные с механизмами аутентификации и авторизации можно встретить на 71% Web-приложений. А наиболее распространенными недостатками являются различные утечки информации (93%) и уязвимость типа "Межсайтовое выполнение сценариев" (81%).
Проводя анализ обнаруженных и устраненных уязвимостей в наиболее популярных браузерах, компанией CENZIC были получены такие результаты:
То есть, по числу уязвимостей лидирует Firefox, а в рядах отстающих по тому же критерию - Opera. Это вовсе не означает, что Opera является более защищенным браузером по сравнению с остальными браузерами, приводимыми в отчете. Аналогично конкурентам Opera не застрахован от zero-day атак [1].
Анализ уязвимостей Web-серверов показал, что чуть больше половины всех обнаруженных уязвимостей во второй половине 2009 года приходится на продукт WebSphere компании IBM:
Ознакомиться с полным содержимым отчета можно по следующему адресу: http://www.cenzic.com/downloads/Cenzic_AppSecTrends_Q3-Q4-2009.pdf
в продолжение темы (NSS Labs Browser Security Testing): http://nsslabs.com/browser-security
ОтветитьУдалить