Такой (не)безопасный веб
DESCRIPTION
TRANSCRIPT
![Page 1: Такой (не)безопасный веб](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f1aaf79597b0b8b710e/html5/thumbnails/1.jpg)
Такой (не)безопасный веб
Дмитрий Евтеев,
руководитель отдела анализа защищенности, Positive Technologies
![Page 2: Такой (не)безопасный веб](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f1aaf79597b0b8b710e/html5/thumbnails/2.jpg)
Positive Technologies – это:
MaxPatrol – уникальная система анализа
защищенности и соответствия стандартам
XSpider – инновационный сканер безопасности
Positive Research – один из крупнейших
исследовательских центров в Европе
Positive Hack Days – международный форум по
практической информационной безопасности
![Page 3: Такой (не)безопасный веб](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f1aaf79597b0b8b710e/html5/thumbnails/3.jpg)
Проводим более 20-ти крупномасштабных тестирований на проникновение в год
Анализируем защищенность веб-приложений на потоке
Участвуем в ПК 3, разработке СТО БР ИББС
Развиваем SecurityLab.ru – самый популярный интернет-портал, посвященный информационной безопасности
Лицензиаты ФСТЭК, ФСБ, Министерства обороны РФ
Мы
![Page 4: Такой (не)безопасный веб](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f1aaf79597b0b8b710e/html5/thumbnails/4.jpg)
Опасный мир веб-приложений
По данным компании Positive Technologies за 2010-2011 год
• 64% сайтов содержат критические уязвимости
• 98% сайтов содержат уязвимости средней степени риска
• Если ваш сайт содержит уязвимость RCE, то с вероятностью в 92% он будет заражен вредоносным кодом (!)
http://www.ptsecurity.ru/lab/analytics/
Данные основываются на детальном анализе 123 сайтов, в которых было обнаружено 1817 уязвимостей различной степени риска.
![Page 5: Такой (не)безопасный веб](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f1aaf79597b0b8b710e/html5/thumbnails/5.jpg)
Наиболее распространенные уязвимости
Cross-Site
Request Forgery
Information Le
akage
Brute Force
SQL Injecti
on
Insufficie
nt Anti-automation
Cross-Site
Scripting
Predictable Reso
urce Lo
cation
OS Commanding
Path Traversa
l
Insufficie
nt Transp
ort La
yer P
rotection
0%
10%
20%
30%
40%
50%
60%
70%61%
54% 52%47%
42%40%
36%
28% 28%22%
% сайтов
![Page 6: Такой (не)безопасный веб](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f1aaf79597b0b8b710e/html5/thumbnails/6.jpg)
Языки программирования веб-ресурсов
Самым распространенным языком веб-программирования стал PHP
Значительная доля приложений написана на ASP.NET или Java
Доля сайтов на Perl и Ruby крайне мала
63%
19%
14%
4%
PHP ASP.NET Java другие
![Page 7: Такой (не)безопасный веб](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f1aaf79597b0b8b710e/html5/thumbnails/7.jpg)
Характерные уязвимости для сайтов на различных языках программирования
81% сайтов на PHP содержат критические уязвимости
Наименее распространены критические уязвимости среди сайтов, написанных на ASP.NET
PHP Доля сайтов ASP.NET Доля сайтов Java Доля сайтов
Cross-Site Request Forgery
73%Cross-Site Scripting
39%Insufficient Authorization
41%
SQL Injection 61%Cross-Site Request Forgery
35%Cross-Site Request Forgery
35%
Cross-Site Scripting
43%Insufficient Anti-automation
35%Application Misconfiguration
29%
Insufficient Anti-automation
42% SQL Injection 22%Insufficient Authentication
29%
Path Traversal 42%Application Misconfiguration
17% OS Commanding 29%
![Page 8: Такой (не)безопасный веб](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f1aaf79597b0b8b710e/html5/thumbnails/8.jpg)
Веб-сервера, используемые участниками тестирования
Самым предпочитаемым веб-сервером оказался Apache, на втором месте – Microsoft IIS, на третьем – Nginx
Кроме них участники выбирали Jboss, Tomcat, IBM HTTP Server, Oracle Application Server и другие
57%
17%
10%
16%
Apache IIS Nginx другие
![Page 9: Такой (не)безопасный веб](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f1aaf79597b0b8b710e/html5/thumbnails/9.jpg)
Уязвимости конфигурации и функционирования веб-серверов
Наилучший уровень защищенности среди веб-серверов показал Microsoft IIS
Среди сайтов на Nginx гораздо больший процент содержащих уязвимости, связанные с ошибками администрирования
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
54%
9%
39%
26%
4% 1% 3%
43%
29%
5% 5%0%
5%0%
83%75%
67%
33%25% 25%
8%
Apache IIS nginx% сайтов
![Page 10: Такой (не)безопасный веб](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f1aaf79597b0b8b710e/html5/thumbnails/10.jpg)
Распространенность уязвимостей высокой степени риска на сайтах из различных секторов экономики
Сайты финансового и промышленного секторов лидируют по защищенности от критических уязвимостей
Худший показатель у ресурсов телекоммуникационной области
Финансовый сектор Промышленность Государственный сектор
Информационные технологии
Телекоммуникации0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
43%50%
65%75%
88%% сайтов
![Page 11: Такой (не)безопасный веб](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f1aaf79597b0b8b710e/html5/thumbnails/11.jpg)
Системы управления содержимым сайта
58% используют коммерческие системы управления содержимым, 25% - свободные, 17% - написанные специально для приложения
58%25%
17%
Коммерческие СвободныеСобственной разработки
![Page 12: Такой (не)безопасный веб](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f1aaf79597b0b8b710e/html5/thumbnails/12.jpg)
Сравнение уровня уязвимости сайтов с CMS различных типов
Практически по всем критическим и распространенным уязвимостям сайты с CMS собственной разработки демонстрируют наихудшие показатели защищенности
Сайты со свободными CMS чаще содержат уязвимость OS Commanding и значительно чаще оказываются заражены вредоносным кодом
0%
10%
20%
30%
40%
50%
60%
70%
47%
20%
29%
8%
0%
33%
59%
2%
34%
48%
28%24%
0%
38%
55%
10%
60%
40%45%
5%10%
65% 65%
30%
Коммерческие Свободные Собственной разработки% сайтов
![Page 13: Такой (не)безопасный веб](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f1aaf79597b0b8b710e/html5/thumbnails/13.jpg)
Используемые идентификаторы и пароли
Разграничение доступа
Отсутствие избыточных компонент
Использование встроенных и сторонних средств защиты
Своевременная установка обновлений и мониторинг безопасности
Простые правила обеспечения безопасности веб-приложений
![Page 14: Такой (не)безопасный веб](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f1aaf79597b0b8b710e/html5/thumbnails/14.jpg)
Безопасность операционных систем (на примере Windows)
Простые правила обеспечения безопасности веб-приложений
![Page 15: Такой (не)безопасный веб](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f1aaf79597b0b8b710e/html5/thumbnails/15.jpg)
Безопасность СУБД (на примере MSSQL)
Простые правила обеспечения безопасности веб-приложений
![Page 16: Такой (не)безопасный веб](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f1aaf79597b0b8b710e/html5/thumbnails/16.jpg)
Безопасность языка разработки (на примере PHP)
Простые правила обеспечения безопасности веб-приложений
![Page 17: Такой (не)безопасный веб](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f1aaf79597b0b8b710e/html5/thumbnails/17.jpg)
Безопасность веб-сервера (на примере Apache)
Простые правила обеспечения безопасности веб-приложений
![Page 18: Такой (не)безопасный веб](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f1aaf79597b0b8b710e/html5/thumbnails/18.jpg)
Безопасность системы управления сайтом (на примере CMS 1C-Bitrix)
Простые правила обеспечения безопасности веб-приложений
![Page 19: Такой (не)безопасный веб](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f1aaf79597b0b8b710e/html5/thumbnails/19.jpg)
WASC: http://projects.webappsec.org/
OWASP: http://www.owasp.org/
Securitylab: http://www.securitylab.ru/
Вебинары Positive Technologies: образовательная программа "Практическая безопасность": http://www.ptsecurity.ru/lab/webinars/
Статьи специалистов исследовательского центра Positive Research: http://www.ptsecurity.ru/lab/analytics/
Узнать больше!