Уязвимости полтысячи сайтов.
Агентством Информационной Безопасности SHALB(http://shalb.com), в рамках глобального исследования безопасности интернет ресурсов, был проведен анализ 500 сайтов. Исследуемые сайты — наиболее популярные сайты в своей тематике для своего региона, сайты крупных корпораций, финансовых учреждений, государственных структур.
В общей сложности было найдено 7683 уязвимости разной степени риска.
Из них критических = 2318
Исследования проводились высококвалифицированными специалистами в сфере безопасности веб сайтов. Для автоматизации сбора данных использовались программные разработки ведущих мировых компаний в этой области и их opensource конкуренты. На основе собранных данных и логических умозаключений осуществлялся поиск других, не найденных в автоматическом режиме, уязвимостей, строились возможные сценарии атак. Каждая компания, которая заказывала у нас аудит безопасности сайта, получила детальный отчет с рекомендациями по устранению найденных уязвимостей. В рамках тестирования осуществлялась только опись найденных уязвимостей, без попыток использования их в личных целях или для нанесения вреда исследуемому ресурсу. Для соблюдения конфиденциальности, детальная техническая информация о уязвимостях, которая была получена в ходе исследований, удалена.
Опираясь на собственные исследования веб приложений и на исследования других компаний, а также WiteHat хакеров, SHALB выделяет следующее положение безопасности интернет проектов сегодня:
90% сайтов опасны для пользователей и представляют угрозу бизнесу.
На таком количестве сайтов обнаружены XSS уязвимости. Воспользовавшись которыми, при благоприятном стечении остальных обстоятельств(тип XSS, умения атакующего, другие технические и социальные нюансы), злоумышленник может выполнить произвольный javascript на стороне клиента, подгрузить ему вирус который нанесет вред финансовому состоянию пользователя, завладеть cookies любого пользователя и администратора сайта. Добравшись до панели администрирования злоумышленник………. сценарий можно развить до #rm –rf / на сервере. Да, не каждая XSS гарантирует самый грустный вариант, но вероятность существует. И она выше, чем у сайтов без XSS. Уязвимость этого типа требует выполнения действий жертвой атаки. Как правило, нужно перейти по специально подготовленной ссылке. Поэтому следует с особой осторожностью относиться к присланным Вам ссылкам по email, icq, социальным сетям и другим средствам связи.
43% сайтов не могут хранить конфиденциальную информацию в БД.
Внедрение SQL кода — одна из самых серьезных уязвимостей сайта. С помощью этой уязвимости злоумышленник может выполнить произвольный запрос к базе данных сайта, что может повлечь утечку конфиденциальной информации, потерю БД, запуск произвольного кода на сервере. Но опять же, все зависит от того, как часто программисты вспоминают о частичной ответственности в вопросе безопасности и насколько заинтересован атакующий. Уязвимость трудно обнаружить, если подавляется вывод ошибок исполнения кода сайта. Рекомендуется также использовать разные учетные записи БД для разных проектов, чтобы внедрение SQL кода на одном не сказывалось на другом. SQL Injection появляется вследствие некорректной обработки входящих данных, которые используются в SQL запросах.
80% Вебмастеров не обновляют opensource продукты вовремя.
Вебмастера не только не обновляют версии форумов, блогов, CMS, phpmyadmin, сPanel и всех остальных используемых сторонних разработок, многие даже не пытаются скрыть версии этих систем. В таких продуктах периодически находят уязвимости разной степени риска, под них пишут готовые exploit. Использовать такие уязвимости зачастую проще. А если под угрозой любая часть вашего проекта – то под угрозой весь проект.
99,9% сайтов, которые имеют уязвимость, имеют еще несколько уязвимостей.
Как не странно, но это проверенный факт. И сходя из нашей практики, не бывает сайтов где только одна уязвимость или уязвимости только одного типа.
48% серверов имеют уязвимости на уровне операционной системы и приложений.
В дополнение к исследованию безопасности сайтов, нами был проведен автоматизированный аудит безопасности 2208 серверов одного из украинских датацентров по методу blackbox.
60% этих уязвимостей могут помочь злоумышленнику осуществить dos атаку переполнением буферов в том или ином программном обеспечении.
Самые популярные проблемы – не обновлённые apache и php, которые, в зависимости от версии, имеют те или иные уязвимости разной степени риска.
Но случались и базы данных с открытым рутовым доступом без паролей, и ssh с паролем root для пользователя root. Подбор паролей не осуществлялся как таковой. Использовался минимальный словарь из 100 стандартных паролей.
Итоги:
Ситуация относительно безопасности сайтов более чем критическая. В первую очередь потому, что вопрос не поставлен на должном уровне в процессе разработки и жизни проекта. Очень часто за безопасность отвечают все понемногу в своей сфере деятельности. Программисты за безопасность кода, администраторы за безопасность систем и окружения, ИТ директор в целом. Но по той причине, что основное рабочее время сотрудники занимаются своими прямыми обязанностями и случаются инциденты безопасности. Сотрудника, который допустил возникновение инцидента, обязательно определят и может даже накажут, только это уже как шишку на лбу почесать. А куда лучше её не набить. Большинство интернет компаний не имеет штатных специалистов, профильная деятельность которых — компьютерная безопасность. Кроме того, ИТ директора не используют для поддержания безопасности интернет проектов услуги сторонних компаний.
На сегодняшний день наиболее защищенными сайтами обладают платежные системы, которые, стремясь к соответствию международным стандартам, периодически проводят аудиты безопасности и исправляют найденые уязвимости.
Агентством Информационной Безопасности SHALB(http://shalb.com), в рамках глобального исследования безопасности интернет ресурсов, был проведен анализ 500 сайтов. Исследуемые сайты — наиболее популярные сайты в своей тематике для своего региона, сайты крупных корпораций, финансовых учреждений, государственных структур.
В общей сложности было найдено 7683 уязвимости разной степени риска.
Из них критических = 2318
Исследования проводились высококвалифицированными специалистами в сфере безопасности веб сайтов. Для автоматизации сбора данных использовались программные разработки ведущих мировых компаний в этой области и их opensource конкуренты. На основе собранных данных и логических умозаключений осуществлялся поиск других, не найденных в автоматическом режиме, уязвимостей, строились возможные сценарии атак. Каждая компания, которая заказывала у нас аудит безопасности сайта, получила детальный отчет с рекомендациями по устранению найденных уязвимостей. В рамках тестирования осуществлялась только опись найденных уязвимостей, без попыток использования их в личных целях или для нанесения вреда исследуемому ресурсу. Для соблюдения конфиденциальности, детальная техническая информация о уязвимостях, которая была получена в ходе исследований, удалена.
Опираясь на собственные исследования веб приложений и на исследования других компаний, а также WiteHat хакеров, SHALB выделяет следующее положение безопасности интернет проектов сегодня:
90% сайтов опасны для пользователей и представляют угрозу бизнесу.
На таком количестве сайтов обнаружены XSS уязвимости. Воспользовавшись которыми, при благоприятном стечении остальных обстоятельств(тип XSS, умения атакующего, другие технические и социальные нюансы), злоумышленник может выполнить произвольный javascript на стороне клиента, подгрузить ему вирус который нанесет вред финансовому состоянию пользователя, завладеть cookies любого пользователя и администратора сайта. Добравшись до панели администрирования злоумышленник………. сценарий можно развить до #rm –rf / на сервере. Да, не каждая XSS гарантирует самый грустный вариант, но вероятность существует. И она выше, чем у сайтов без XSS. Уязвимость этого типа требует выполнения действий жертвой атаки. Как правило, нужно перейти по специально подготовленной ссылке. Поэтому следует с особой осторожностью относиться к присланным Вам ссылкам по email, icq, социальным сетям и другим средствам связи.
43% сайтов не могут хранить конфиденциальную информацию в БД.
Внедрение SQL кода — одна из самых серьезных уязвимостей сайта. С помощью этой уязвимости злоумышленник может выполнить произвольный запрос к базе данных сайта, что может повлечь утечку конфиденциальной информации, потерю БД, запуск произвольного кода на сервере. Но опять же, все зависит от того, как часто программисты вспоминают о частичной ответственности в вопросе безопасности и насколько заинтересован атакующий. Уязвимость трудно обнаружить, если подавляется вывод ошибок исполнения кода сайта. Рекомендуется также использовать разные учетные записи БД для разных проектов, чтобы внедрение SQL кода на одном не сказывалось на другом. SQL Injection появляется вследствие некорректной обработки входящих данных, которые используются в SQL запросах.
80% Вебмастеров не обновляют opensource продукты вовремя.
Вебмастера не только не обновляют версии форумов, блогов, CMS, phpmyadmin, сPanel и всех остальных используемых сторонних разработок, многие даже не пытаются скрыть версии этих систем. В таких продуктах периодически находят уязвимости разной степени риска, под них пишут готовые exploit. Использовать такие уязвимости зачастую проще. А если под угрозой любая часть вашего проекта – то под угрозой весь проект.
99,9% сайтов, которые имеют уязвимость, имеют еще несколько уязвимостей.
Как не странно, но это проверенный факт. И сходя из нашей практики, не бывает сайтов где только одна уязвимость или уязвимости только одного типа.
48% серверов имеют уязвимости на уровне операционной системы и приложений.
В дополнение к исследованию безопасности сайтов, нами был проведен автоматизированный аудит безопасности 2208 серверов одного из украинских датацентров по методу blackbox.
60% этих уязвимостей могут помочь злоумышленнику осуществить dos атаку переполнением буферов в том или ином программном обеспечении.
Самые популярные проблемы – не обновлённые apache и php, которые, в зависимости от версии, имеют те или иные уязвимости разной степени риска.
Но случались и базы данных с открытым рутовым доступом без паролей, и ssh с паролем root для пользователя root. Подбор паролей не осуществлялся как таковой. Использовался минимальный словарь из 100 стандартных паролей.
Итоги:
Ситуация относительно безопасности сайтов более чем критическая. В первую очередь потому, что вопрос не поставлен на должном уровне в процессе разработки и жизни проекта. Очень часто за безопасность отвечают все понемногу в своей сфере деятельности. Программисты за безопасность кода, администраторы за безопасность систем и окружения, ИТ директор в целом. Но по той причине, что основное рабочее время сотрудники занимаются своими прямыми обязанностями и случаются инциденты безопасности. Сотрудника, который допустил возникновение инцидента, обязательно определят и может даже накажут, только это уже как шишку на лбу почесать. А куда лучше её не набить. Большинство интернет компаний не имеет штатных специалистов, профильная деятельность которых — компьютерная безопасность. Кроме того, ИТ директора не используют для поддержания безопасности интернет проектов услуги сторонних компаний.
На сегодняшний день наиболее защищенными сайтами обладают платежные системы, которые, стремясь к соответствию международным стандартам, периодически проводят аудиты безопасности и исправляют найденые уязвимости.
