Professional Documents
Culture Documents
ЗА 2008 ГОД
ОГЛАВЛЕНИЕ
1. ВВЕДЕНИЕ 3
2. МЕТОДИКА 3
3. РЕЗЮМЕ 4
4. АНАЛИЗ ДАННЫХ 5
Консорциум Web Application Security Consortium (WASC) представляет статистику уязвимостей Web- Страница 2 из 33
приложений за 2008 год
1. ВВЕДЕНИЕ
Консорциум Web Application Security Consortium (WASC) представляет статистику уязвимостей Web- Страница 3 из 33
приложений за 2008 год
2. МЕТОДИКА
3. РЕЗЮМЕ
1
Web-приложения, содержащие уязвимости Brute Force Attack, Buffer Overflow, OS Commanding, Path Traversal,
Remote File Inclusion, SSI Injection, Session Fixation, SQL Injection, Insufficient Authentication, Insufficient
Authorization, выявленные при проведении автоматизированных сканирований.
Консорциум Web Application Security Consortium (WASC) представляет статистику уязвимостей Web- Страница 4 из 33
приложений за 2008 год
скомпрометировано полностью автоматически. Около 49% Web-приложений содержат
уязвимости высокой степеней риска (Urgent и Critical), обнаруженные при автоматическом
сканировании систем (Т.1). Однако при детальной ручной и автоматизированной оценке
методом белого ящика вероятность обнаружения таких уязвимостей высокой степени
риска достигает 80-96%. Вероятность же обнаружения уязвимостей степени риска выше
среднего (критерий соответствия требованиям PCI DSS) составляет более 86% при любом
методе работ. В то же время при проведении более глубокого анализа 99% Web-
приложений не удовлетворяет требованиям стандарта по защите информации в
индустрии платежных карт (T.6, Рис.13).
На основании проведенного анализа можно сделать следующие выводы:
Наиболее распространенными уязвимостями являются "Межсайтовое выполнение
сценариев" (Cross-site Scripting), различные виды утечки информации (Information
Leakage), "Внедрение операторов SQL" (SQL Injection), "Расщепление HTTP-запроса"
(HTTP Response Splitting).
4. АНАЛИЗ ДАННЫХ
Консорциум Web Application Security Consortium (WASC) представляет статистику уязвимостей Web- Страница 5 из 33
приложений за 2008 год
High). При оценке Web-приложений методами черного и белого ящика, аналогичный
показатель увеличился до 92-98% соответственно.
В значительной степени полученные результаты связанны с тем, что при детальном анализе
оценка риска более адекватна и учитывает не только тип уязвимости, но и реальные
последствия еѐ эксплуатации с учетом архитектуры и реализации приложения. Кроме того,
важным фактором является то, что при автоматическом сканировании участвовали сайты
хостинг-провайдера, в некоторых случаях не содержащие активного контента, в то время
как работы по оценке защищенности, как правило, проводятся для приложений содержащих
сложную бизнес-логику. То есть результаты автоматизированных сканирований можно
интерпретировать как данные для среднестатистического Интернет-сайта, в то время как
работы проводимые методами BlackBox и WhiteBox больше относятся к интерактивным
корпоративным Web-приложениям.
Консорциум Web Application Security Consortium (WASC) представляет статистику уязвимостей Web- Страница 6 из 33
приложений за 2008 год
U+C 55,50% 49,40% 79,73% 96,00%
Консорциум Web Application Security Consortium (WASC) представляет статистику уязвимостей Web- Страница 7 из 33
приложений за 2008 год
Рисунок 4. Процент уязвимостей от общего числа (% Vulns ALL)
Консорциум Web Application Security Consortium (WASC) представляет статистику уязвимостей Web- Страница 8 из 33
приложений за 2008 год
Рисунок 5. Вероятность обнаружения уязвимостей по природе возникновения
Консорциум Web Application Security Consortium (WASC) представляет статистику уязвимостей Web- Страница 9 из 33
приложений за 2008 год
Рисунок 7. Вероятность обнаружения наиболее распространенных уязвимостей Web-приложений (% Sites BlackBox & WhiteBox)
Консорциум Web Application Security Consortium (WASC) представляет статистику уязвимостей Web- Страница 10 из 33
приложений за 2008 год
Рисунок 9. Вероятность обнаружения наиболее кричных уязвимостей Web-приложений (% Sites BlackBox & WhiteBox)
Консорциум Web Application Security Consortium (WASC) представляет статистику уязвимостей Web- Страница 11 из 33
приложений за 2008 год
Рисунок 10. Вероятность обнаружения уязвимости по типу воздействия
Рисунок 11. Распределение уязвимостей на один сайт при использовании различных методов их поиска (No. Vulns on Site)
Консорциум Web Application Security Consortium (WASC) представляет статистику уязвимостей Web- Страница 12 из 33
приложений за 2008 год
4.2. Анализ данных в контексте требований PCI DSS
Рассматривая наборы полученных данных уязвимых Web-приложений в контексте
соответствия требованиям стандарта по защите информации в индустрии платежных карт
PCI DSS, можно выделить те из них (Т.4), которые относятся к устранению конкретных
уязвимостей в Web-приложениях. Кроме того, PCI DSS Technical and Operational Requirements
for Approved Scanning Vendors (ASVs) содержит в себе схожие требования, но затрагивает
только процесс ASV-сканирования по PCI (Т.5).
T. 4 Требования стандарта PCI DSS, регламентирующие обязательное устранение
конкретных уязвимостей в Web-приложениях
6.5.1 Cross-site scripting (XSS) 6.5.1 Cross-site scripting (XSS) (Validate all parameters before inclusion.)
6.5.3 Malicious file execution (Validate input to verify application does not accept filenames
6.5.3 Malicious file execution
or files from users.)
6.5.5 Cross-site request forgery (CSRF) (Do not reply on authorization credentials and
6.5.5 Cross-site request forgery (CSRF)
tokens automatically submitted by browsers.)
6.5.6 Information leakage and improper 6.5.6 Information leakage and improper error handling (Do not leak information via error
error handling messages or other means.)
6.5.7 Broken authentication and session 6.5.7 Broken authentication and session management (Properly authenticate users and
management protect account credentials and session tokens.)
T. 5 Требования PCI DSS Technical and Operational Requirements for Approved Scanning
Vendors (ASVs), регламентирующие обязательное выявление конкретных уязвимостей в
Web-приложениях при проведении ASV-сканирования
The ASV scanning solution must be able to test for all known vulnerabilities and
configuration issues on web servers. New exploits are routinely discovered in web server
products. The ASV scanning solution must be able to detect and report known exploits.
Web Server Check
Browsing of directories on a web server is not a good practice. The ASV scanning solution
must be able to scan the web site and verify that directory browsing is not possible on the
server.
Консорциум Web Application Security Consortium (WASC) представляет статистику уязвимостей Web- Страница 13 из 33
приложений за 2008 год
The ASV scanning solution must be able to detect all known CGI vulnerabilities.
The ASV scanning solution must be able to detect the following application vulnerabilities
and configuration issues:
Custom Web Application Check
• Unvalidated parameters which lead to SQL injection attacks
• Cross-site scripting (XSS) flaws
Суммарная доля не
Доля не соответствия Доля не соответствия Доля не соответствия
Требование PCI DSS v.1.2 соответствия, ALL (%
при Scans (% Sites) при BlackBox (% Sites) при WhiteBox (% Sites)
Sites)
* При проведении оценки защищенности Web-приложений методом черного ящика уязвимости данного класса не вносились в
отчетные документы по результатам проводимых работ. Это связано с тем, что при проведении работ данным методом внимание
аудиторов было направлено на наиболее опасные уязвимости.
Консорциум Web Application Security Consortium (WASC) представляет статистику уязвимостей Web- Страница 14 из 33
приложений за 2008 год
Рисунок 12. Распределение сайтов, не удовлетворяющих требованиям стандарта PCI DSS
Рисунок 13. Уровень соответствия анализируемых Web-приложений требованиям стандарта PCI DSS (QSA)
Консорциум Web Application Security Consortium (WASC) представляет статистику уязвимостей Web- Страница 15 из 33
приложений за 2008 год
Рисунок 14. Уровень соответствия анализируемых Web-приложений требованиям стандарта PCI DSS (ASV)
Консорциум Web Application Security Consortium (WASC) представляет статистику уязвимостей Web- Страница 16 из 33
приложений за 2008 год
Рисунок 15. Распределение вероятности обнаружения уязвимостей по методу их поиска
Консорциум Web Application Security Consortium (WASC) представляет статистику уязвимостей Web- Страница 17 из 33
приложений за 2008 год
ящика в значительной степени является более эффективным по сравнению с другими
способами.
Консорциум Web Application Security Consortium (WASC) представляет статистику уязвимостей Web- Страница 18 из 33
приложений за 2008 год
Predictable Resource Location 5 (AV:N/AC:L/Au:N/C:P/I:N/A:N) High
Консорциум Web Application Security Consortium (WASC) представляет статистику уязвимостей Web- Страница 19 из 33
приложений за 2008 год
Insufficient Authorization 6.8 (AV:N/AC:M/Au:N/C:P/I:P/A:P) Critical
Vulnerability Impact
Threat Classification
in
Консорциум Web Application Security Consortium (WASC) представляет статистику уязвимостей Web- Страница 20 из 33
приложений за 2008 год
HTTP Response Smuggling administration client-side
Консорциум Web Application Security Consortium (WASC) представляет статистику уязвимостей Web- Страница 21 из 33
приложений за 2008 год
Improper Permissions administration server-side
Консорциум Web Application Security Consortium (WASC) представляет статистику уязвимостей Web- Страница 22 из 33
приложений за 2008 год
Additional notes
Web Application Security Consortium Threat Classification version 2 was used in this research.
Therefore some types of vulnerabilities are not included into the overall results.
The most prevalent vulnerability Cross-Site Request Forgery in this statistics is not on top because
it is difficult to detect in automatically and because a lot of experts take its existence for granted.
Vulnerabilities which existence depends on platform are also not included into the statistics (for
example, buffer overflow in Apache).
Contributors
WASC would like to thank the following organizations for making this initiative possible. Each
organization is responsible for contributing sanitized data from web application security projects
which was then combined to produce aggregated statistics.
Statistics
Overall Data
Консорциум Web Application Security Consortium (WASC) представляет статистику уязвимостей Web- Страница 23 из 33
приложений за 2008 год
HTTP Response Splitting 2592 161 2,66% 1,32%
Консорциум Web Application Security Consortium (WASC) представляет статистику уязвимостей Web- Страница 24 из 33
приложений за 2008 год
XQuery Injection 0 0 0,00% 0,00%
Консорциум Web Application Security Consortium (WASC) представляет статистику уязвимостей Web- Страница 25 из 33
приложений за 2008 год
High 35375 8807 36,26% 72,27%
Automatic scans
Консорциум Web Application Security Consortium (WASC) представляет статистику уязвимостей Web- Страница 26 из 33
приложений за 2008 год
OS Commanding 28 5 0,08% 0,05%
Консорциум Web Application Security Consortium (WASC) представляет статистику уязвимостей Web- Страница 27 из 33
приложений за 2008 год
Insufficient Authentication 24 15 0,07% 0,14%
Black Box
Консорциум Web Application Security Consortium (WASC) представляет статистику уязвимостей Web- Страница 28 из 33
приложений за 2008 год
Credential/Session Prediction 15 12 0,08% 1,15%
Консорциум Web Application Security Consortium (WASC) представляет статистику уязвимостей Web- Страница 29 из 33
приложений за 2008 год
XML External Entity 0 0 0,00% 0,00%
Консорциум Web Application Security Consortium (WASC) представляет статистику уязвимостей Web- Страница 30 из 33
приложений за 2008 год
Critical 13030 782 72,69% 74,76%
White Box
Консорциум Web Application Security Consortium (WASC) представляет статистику уязвимостей Web- Страница 31 из 33
приложений за 2008 год
OS Commanding 29 12 0,10% 8,00%
Консорциум Web Application Security Consortium (WASC) представляет статистику уязвимостей Web- Страница 32 из 33
приложений за 2008 год
Insufficient Authentication 324 45 1,17% 30,00%
Консорциум Web Application Security Consortium (WASC) представляет статистику уязвимостей Web- Страница 33 из 33
приложений за 2008 год