Embed Size (px)
DESCRIPTION
Citation preview
Актуальные угрозы Web-приложений
Дмитрий Евтеев
Positive Technologies
Угрозы Web-приложений
Нарушение конфиденциальности• Кража конфиденциальной информации, в том числе данных
клиентов/партнеров
Нарушение целостности• Подмена заглавной страницы (deface)• Распространение вредоносного программного обеспечения и
запрещенного контента
• $500,000 украдено у грузоперевозчиков путем подмены данных на сайте (http://www.securitylab.ru/news/361590.php)
Нарушение доступности• Удаление содержимого• DoS (Denial of Service) и DDoS (Distributed Denial of Service) атаки• Внешние факторы и воздействия
Опасный мир Web-приложений
По данным компании Positive Technologies за 2008 год
• 83% сайтов содержат критические уязвимости
• 78% сайтов содержат уязвимости средней степени риска
• вероятность автоматизированного заражения страниц уязвимого Web-приложения вредоносным кодом составляет приблизительно 15-20%
http://ptsecurity.ru/analytics.asp
Данные основываются на проведении 16121 автоматических сканирований, детальном анализе 59 Web-приложений, в том числе с проведением анализа исходного кода более 10-ти из них.
Опасный мир Web-приложений
Хакеры сфокусировали свое внимание на Web-сервисах
• 75% всех атак направлено на уровень Web-приложений (Gartner)
• 60% всех зафиксированных атак в настоящее время нацелено на эксплуатацию уязвимостей в Web-приложениях (SANS)
Большинство Web-приложений уязвимы
• 90% сайтов являются уязвимыми (Watchfire)
• 78% уязвимых Web-приложений могут быть легко атакованы (Symantec)
• 80% организаций к 2010 году столкнутся с хотя бы одним инцидентом, связанным с безопасностью web-приложений (Gartner)
Согласно последним данным аналитиков IBM 75% атак приходиться на Web-приложения, в то время как на обеспечение их безопасности тратиться только 10% от общих затрат.
Уязвимости Web-приложений
Статистика уязвимостей Web-приложений Positive Technologies за 2008 год (Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
Уязвимости Web-приложений
Статистика уязвимостей Web-приложений Positive Technologies за 2008 год (Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
Уязвимость типа «Внедрение операторов SQL»
Web-сервер СУБДhttp://web/?id=6329&print=Y
….SELECT * from news where id = 6329….
Уязвимость типа «Внедрение операторов SQL»
Web-сервер СУБДhttp://web/?id=6329&print=Y
….SELECT * from news where id = 6329….
Уязвимость типа «Внедрение операторов SQL»
Web-сервер СУБДhttp://web/?id=6329&print=Y
….SELECT * from news where id = 6329….
Уязвимость типа «Внедрение операторов SQL»
Web-сервер СУБДhttp://web/?id=6329+union+select+id,pwd,0+from...
….SELECT * from news where id = 6329 union select id,pwd,0 from…….
Уязвимость типа «Внедрение операторов SQL»
Web-сервер СУБДhttp://web/?id=6329+union+select+id,pwd,0+from...
….SELECT * from news where id = 6329 union select id,pwd,0 from…….
Уязвимость типа «Внедрение операторов SQL»
Web-сервер СУБДhttp://web/?id=6329+union+select+id,pwd,0+from...
….SELECT * from news where id = 6329 union select id,pwd,0 from…….
Массовые заражения Web-приложений
"Лаборатория Касперского" предупреждает о массовом взломе - на 10,000 серверов были размещены опасные ссылки
ScanSafe сообщают об обнаружении в сети Интернет более 64,000 web-сайтов, зараженных одним и тем же интернет-червем
Распределение критических уязвимостей по инфицированным сайтам
Уязвимости Web-приложений
Статистика уязвимостей Web-приложений Positive Technologies за 2008 год (Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
Уязвимость типа «Межсайтовое выполнение сценариев»
Web-серверhttp://web/?search=secureweb
…print "<b>secureweb</b>";…
Уязвимость типа «Межсайтовое выполнение сценариев»
Web-серверhttp://web/?search=secureweb
…print "<b>secureweb</b>";…
Уязвимость типа «Межсайтовое выполнение сценариев»
Web-сервер
1. fuzzing, поиск уязвимости
Уязвимость типа «Межсайтовое выполнение сценариев»
Web-сервер
1. fuzzing, поиск уязвимости
2. Передача «заряженной» ссылки:http://web/?search=secureweb"><script>...</script>
3. Переход по ссылке
Уязвимость типа «Межсайтовое выполнение сценариев»
Web-сервер
1. fuzzing, поиск уязвимости
2. Передача «заряженной» ссылки:http://web/?search=secureweb"><script>...</script>
3. Переход по ссылке
4. Выполнение исполняемогокода в браузере пользователя
Уязвимость типа «Межсайтовое выполнение сценариев»
Web-сервер
1. fuzzing, поиск уязвимости
2. Передача «заряженной» ссылки:http://web/?search=secureweb"><script>...</script>
3. Переход по ссылке
4. Выполнение исполняемогокода в браузере пользователя
5. Например, передача Web-сессии (cookies)
6. Работа с Web-приложением от имени атакованного пользователя
Уязвимости Web-приложений
Статистика уязвимостей Web-приложений Positive Technologies за 2008 год (Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
Уязвимость типа «Предсказуемое расположение ресурсов»
Web-сервер
http://web/test/http://web/admin.php
http://web/pwd.txt
http://web/info.txt http://web/db/
http://web/readme.txt
Уязвимость типа «Предсказуемое расположение ресурсов»
Web-серверhttp://web/sql/http://web/php.php
http://web/phpmyadmin/ http://web/phpinfo.phphttp://web/adm/
Уязвимости Web-приложений
Статистика уязвимостей Web-приложений Positive Technologies за 2008 год (Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
Уязвимость типа «Подбор»
Web-серверhttp://web/secure/
Уязвимость типа «Подбор»
Web-серверhttp://web/secure/
Статистика используемых паролей в России
Более 40% паролей можно взломать из-за простоты
Статистика по паролям низкой стойкости у администраторов:
Данные основываются на анализе более чем 185 тысяч паролей пользователей (http://www.ptsecurity.ru/download/PT-Metrics-Passwords-2009.pdf).
Уязвимости Web-приложений
Статистика уязвимостей Web-приложений Positive Technologies за 2008 год (Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
Уязвимость типа «Утечка информации»
Web-сервер
Уязвимости Web-приложений
Статистика уязвимостей Web-приложений Positive Technologies за 2008 год (Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
Уязвимость типа «Недостаточная аутентификация»
Web-серверhttp://web/secure/
Уязвимость типа «Недостаточная аутентификация»
Web-серверhttp://web/secure/members.php
Уязвимости Web-приложений
Статистика уязвимостей Web-приложений Positive Technologies за 2008 год (Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
Уязвимость типа «Обратный путь в директориях»
Web-серверhttp://web/?file=positive.jpg
….$handle = fopen("positive.jpg","r"); $contents = fread($handle, filesize("positive.jpg")); ….
Уязвимость типа «Обратный путь в директориях»
Web-серверhttp://web/?file=../../../../../../etc/passwd
….$handle = fopen("../../../../../../etc/passwd","r"); $contents = fread($handle, filesize("../../../../../../etc/passwd")); ….
Уязвимости Web-приложений
Статистика уязвимостей Web-приложений Positive Technologies за 2008 год (Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
Уязвимость типа «Идентификация приложений»
Web-серверhttp://web/
CMS: Tribiq CMS VERSION: 5.0
Уязвимость типа «Идентификация приложений»
Web-серверhttp://web/
CMS: Tribiq CMS VERSION: 5.0
Уязвимость типа «Идентификация приложений»
Web-серверhttp://web/
CMS: Tribiq CMS VERSION: 5.0
Критические уязвимости можно встретить даже на широко известных и крупных интернет-ресурсах
Опасный мир Web-приложений
Концепция безопасного Web-приложения
Уязвимость не является свойством Web-приложения!
Безопасность должна быть разумной
Безопасность должна быть комплексной
Безопасность – это непрерывный процесс
Концепция безопасного Web-приложения
Из чего складывается защищенность Web-ресурса?
Процесс разработки Web-приложения Жизненный цикл разработки программного обеспечения (SDLC) Требования к информационной безопасности (архитектура приложения)
Состояние промышленной среды Поддержка актуального состояния ОС/ПО и сопутствующих компонентов Безопасные конфигурации (CIS, etc) Обеспечение доступности
Анализ защищенности Проверка выполнения требований к информационной безопасности Тестирование функций (fuzzing) и поиск уязвимостей (WASC, OWASP)
Непрерывный мониторинг IDS/IPS Web Application Firewall (WAF)
Positive Technologies
7 лет работы в области информационной безопасности
Основные направления деятельности• разработка одного из лучших сетевых сканеров XSpider;• разработка уникального продукта - системы контроля
защищенности и соответствия стандартам MaxPatrol;• предоставление консалтинговых и сервисных услуг в области
информационной безопасности; • развитие специализированного портала Securitylab.
Positive Technologies – лаборатория безопасности• постоянный мониторинг новых уязвимостей;• внутренняя система описания уязвимостей;• одна из наиболее профессиональных команд в Европе;• MaxPatrol – ежедневные обновления.
