Статистика уязвимостей web-приложений

10 сентября 2008 года

Консорциум безопасности web-приложений (WASC) опубликовал отчет по результатам исследования уязвимостей web-приложений за 2007 год. Отчет отталкивается от статистики, полученной в результате проверки безопасности 32717 сайтов и анализа 69476 уязвимостей.

Некоторые интересные факты:

• Более 7% из проанализированных сайтов могут быть скомпрометированы средствами автоматического взлома. В 7.72% всех рассмотренных web-приложений, в результате автоматического сканирования, были обнаружены серьёзные ошибки безопасности.
• В качестве самых распространенных уязвимоей отмечаются:
• Межсайтовое выполнение сценариев (Cross-Site Scripting, XSS): 41% всех найденных уязвимостей, проблеме подвержены 31.47% всех проверенных сайтов;
• Утечки информации (Information Leakage): 32% уязвимостей, 23.27% сайтов;
• Подстановка SQL операторов (SQL Injection): 9% уязвимостей, 7.85% сайтов;
• Размещение важных ресурсов в предсказуемых местах (Predictable Resource Location): 8% уязвимостей, 10.24% сайтов;

Как правило, XSS и SQL Injection уязвимости обусловлены проблемами на этапе разработки приложений, в то время как утечка информации и предсказуемое размещение ресурсов - результат ошибок при администрировании.

• Более детальный анализ выявил степень распространение более опасных уязвимостей:
• Подмена содержимого (Content Spoofing): 5.96% уязвимостей, 18.40% сайтов;
• Недостаточная авторизация (Insufficient Authorization): 1.73% уязвимостей, 14.16% сайтов;
• Недостаточная аутентификация (Insufficient Authentication): 1.88% уязвимостей, 12.95% сайтов;
• Эффективность (вероятность) методов выявления уязвимостей:
• Аутентификация (Authentication): 56.54%
• Авторизация (Authorization): 19.01%
• Атаки на пользователей сайта (Client-side Attacks): 69.37%
• Выполнение кода на сервере (Command Execution): 27.85%
• Получение дополнительной информации о web-приложениях (Information Disclosure): 56.54%
• Логические атаки (Logical Attacks): 13.92%
• Сравнение отставания вероятности обнаружения наличия уязвимостей при автоматическом сканировании от детального анализа (для опасных уязвимостей вероятность обнаружения проблемы при детальном анализе в 12.5 раз выше, чем при автоматической проверке):
• Подмена содержимого (Content Spoofing): 18.30%
• Недостаточная авторизация (Insufficient Authorization): 14.15%
• Недостаточная аутентификация (Insufficient Authentication): 12.95%
• Подстановка SQL операторов (SQL Injection): 8.68%
• Среднее число уязвимостей на сайт, в зависимости от классов опасности (в скобках, результат автоматического сканирования и детального анализа):
• Незначительная опасность: 3.15 (2.96, 1.11)
• Средняя опасность: 2.35 (2.04, 2.65)
• Высокая опасность: 4.22 (2.33, 8.91)
• Всего: 2.12 (1.61, 13.11)