Швейцарская компания High-Tech Bridge, поставщик облачных услуг в сфере ИБ, опубликовала отчет о защищенности веб-приложений по итогам минувшего года. Эксперты с удовлетворением констатируют, что многие вендоры стали серьезнее относиться к вопросам безопасности, отзываются на нотификации в течение нескольких часов и закрывают бреши за двое суток. Из 62 информационных бюллетеней, выпущенных компанией в 2013 году, лишь 3 остались без положительного отклика. High-Tech Bridge также отметила, что ошибки высокой степени риска стало труднее выявлять, равно как и эксплуатировать.

В целом за год исследователи зафиксировали 126 уязвимостей в приложениях, пользовательская база которых охватывает несколько миллионов веб-сайтов. Больше половины (55%) этих брешей составили XSS, 20% пришлось на SQL-инъекции. Такие ошибки, по словам экспертов, чаще встречаются в молодых продуктах, а для хорошо освоенных характерны CSRF или User Identity Spoofing (подмена источника сообщения). Как оказалось, XSS и SQLi наиболее подвержены доморощенные приложения (40% находок), в меньшей степени — плагины и модули для CMS (30%), а также небольшие CMS (25%). Более того, в 90% коммерческих и open-source CMS ошибки XSS и SQLi привносятся не на стадии разработки, а из-за редкого обновления системы или неверной конфигурации.

Критические уязвимости и бреши высокого риска, по оценке High-Tech Bridge, стали более сложными, их стало труднее обнаружить. «Общепринятые методы тестирования, такие как автоматизированный скан уязвимостей или автоматизированная проверка качества исходного кода, уже не спасают, — констатирует Марсель Низамутдинов, руководитель исследовательских работ High-Tech Bridge. — Будущее, по нашему мнению, за гибридным тестированием, комбинацией автоматизированных средств и ручной проверки с участием специалистов».

Серьезные ошибки стало также труднее использовать. High-Tech Bridge все чаще наблюдает «цепочечные» атаки, когда эксплуатация критической уязвимости осуществляется лишь после успешного «пробива» другой, не столь опасной бреши. Широкое распространение в минувшем году получила относительно сложная, но эффективная техника DNS-эксфильтрации данных. Эта техника теперь применяется в тех случаях, которые ранее практически не поддавались эксплойту, — например, когда эксплуатация SQLi возможна лишь с помощью CSRF-атаки или когда вредоносный SQL-код внедрен в запрос, не возвращающий результат (INSERT, UPDATE or DELETE).

В минувшем году High-Tech Bridge зафиксировала несколько случаев, когда критическая или высокого риска уязвимость была вызвана не ошибкой программистов, а небрежением поставщика. Например, вполне надежные приложения, разработанные с учетом нужд безопасности, щеголяли опасными брешами в инсталляционных скриптах, которые вендор просто забыл удалить при установке. Такие случаи, по мнению экспертов, подчеркивают необходимость независимого тестирования и аудита веб-приложений, так как от упущений и забывчивости никто не застрахован, даже профессионалы.

Многие уязвимости, которым обычно присваивается высокая или критическая степень риска, были переквалифицированы High-Tech Bridge в бреши средней опасности, так как для их использования необходима авторизация. Такая тенденция подтверждает, что разработчикам следует уделять должное внимание защите частей приложения, доступных лишь «доверенным» пользователям: намерения последних могут оказаться отнюдь не добрыми.

Отмечая рост ответственности за безопасность веб-приложений, High-Tech Bridge констатирует, что подавляющее большинство разработчиков оперативно и должным образом оповещают конечных пользователей об уязвимостях, покончив с практикой негласного латания дыр и недооценки рисков. Время выпуска патчей для уязвимостей, по оценке компании, за год в среднем сократилось на 33%, до 18 суток. Для  критических уязвимостей этот срок теперь в среднем составляет 11 суток против 17 в предыдущем году. Чемпионом по этому показателю признан вендор BigTree CMS, который устранил ряд сложных уязвимостей в этом продукте менее чем за 3 часа.

Категории: Аналитика, Уязвимости