Бизнес под ударом: веб-приложения остаются «дырявыми»

Виталий Краснов

  При создании приложений основные усилия разработчика обычно направлены на обеспечение требуемой функциональности. При этом вопросам безопасности и качества программного кода уделяется недостаточно внимания. В результате подавляющее большинство веб-приложений содержит уязвимости различной степени критичности. Простота протокола HTTP позволяет разрабатывать эффективные методы автоматического анализа веб-приложений и выявления в них уязвимостей. Это значительно упрощает работу нарушителя, позволяя ему обнаружить большое число уязвимых веб-сайтов, чтобы затем провести атаку на наиболее интересные из них.

  Кроме того, уязвимость веб–приложений зависит от методов их организации и взаимодействия между собой. А также от ошибок и недосмотра системных администраторов, обслуживающих сервера (использование стандартных настроек, мест расположения системных файлов и каталогов и так далее). Таким образом, при подготовке атаки на информационную инфраструктуру компании, нарушители в первую очередь исследуют ее веб-приложения. Недооценка риска, который могут представлять уязвимости в веб-приложениях, доступные из интернета, возможно, является основной причиной низкого уровня защищенности большинства из них.

Методика исследования

  Экспертами компании Positive Technologies в 2009 году были проведены тесты по уязвимости веб-приложений на проникновение, аудиты безопасности и другие работы. В ходе тестирования было проверено 5560 веб–приложений путем 6239 автоматических сканирований и проведен детальный анализ 77 веб–приложений. Применялись различные методы исследования, от автоматизированного инструментального исследования методом "черного ящика", до проведения всех проверок вручную методом "белого ящика".

  Обнаруженные уязвимости квалифицировались согласно системе Web Application Security Consortium Web Security Threat Classification (WASC WSTCv2), в разработке которой активно принимали участие эксперты компании Positive Technologies. Данная система представляет собой попытку классифицировать все угрозы безопасности веб–приложений. В приводимой статистике учитываются только уязвимости веб–приложений и не рассматриваются такие проблемы, как недостатки процесса управления обновлениями программного обеспечения. Степень критичности уязвимости оценивалась согласно CVSSv2 (Common Vulnerability Scoring System version 2).

Портрет участников

  В исследовании рассматривались приложения сферы нефтегазового комплекса, телекоммуникаций, финансового сектора и компаний прочих отраслей.

  Подобное распределение компаний связано с тем, что наибольший интерес в 2009 г. к работам по анализу защищенности своих веб-ресурсов проявили телекоммуникационные компании (35%) и представители нефтегазового комплекса (40%). В то время как финансовый сектор и компании других сфер были заинтересованы в этом меньше.

Основные типы ошибок, повышающих уязвимость систем

  Наиболее распространенными являются ошибки, допускаемые системными администраторами при обслуживании серверов (Server Misconfiguration и Fingerprinting). Основной ошибкой администраторов является использование стандартной конфигурации сервера, что во многом упрощает задачу проведения и развития атаки.

  Другая существенная причина уязвимостей, связанных с проблемами администрирования серверов, - предсказуемость расположения ресурсов (Predictable Resource Location). Такие уязвимости были обнаружены на 47% исследованных сайтов. Это ошибка зачастую связана с использованием легко угадываемых названий файлов и каталогов в корневой директории веб–сервера (например, панель администратора чаще всего находится в директории "admin", в корневом каталоге).

  Следующая немаловажная проблема, приводящая к уязвимости на сайтах – проблема передачи конфиденциальных данных без какой либо криптографической защиты (Insufficient Transport Layer Protection). Уязвимость связана с тем, что многие важные данные, в том числе и личная информация пользователей, передаются по протоколу HTTP, который является открытым, что облегчает задачу перехвата данных. Для решения этой проблемы рекомендуется использовать защищенный протокол SSL 3.0 или TLS 1.0 при обмене конфиденциальной информацией между сервером и клиентом.

  Менее распространена уязвимость "Межсайтовое выполнение сценариев" (Cross – Site Scripting, XSS), на долю которой приходится около 34% всех обнаруженных недостатков. Данная уязвимость была обнаружена в 23% исследованных приложений. В отличие от выше рассмотренных недостатков, проблема "Межсайтового выполнения сценариев" связана в первую очередь с ошибками, допущенными при разработке приложений. По оценкам CWE/SANS это наиболее распространенная ошибка, допускаемая разработчиками.

  Последняя, но не менее значимая уязвимость, о которой хотелось бы упомянуть, связана с использованием SQL-серверов, без которых не обходится ни один современный сайт. На долю уязвимости "Внедрение операторов SQL" (SQL Injection) приходится приблизительно 8% всех обнаруженных ошибок. Данная уязвимость была зарегистрирована в 11% проанализированных приложений. В большинстве случаев правильная и успешная эксплуатация уязвимости "Внедрение операторов SQL" позволяет злоумышленнику нарушить все свойства обрабатываемой информации в атакуемой системе. Данная уязвимость, согласно оценке CWE/SANS является второй по распространенности ошибкой, допускаемой разработчиками приложений.

Анализ уязвимости на зараженных сайтах

  Присутствие вредоносного кода на сайте свидетельствует о том, что веб-приложение содержит инфицированный код (Trojan-Spy backdoor, Code.JS, Code.I и т.д.), из-за чего на компьютеры посетителей такого сайта может быть установлено вредоносное программное обеспечение, которое в дальнейшем может выкрасть и отослать своему создателю личную информацию жертвы (например логины и пароли). Статистика уязвимостей с высоким уровнем опасности, обнаруженных на сайтах, которые содержат инфицированный код, показывает, что наиболее вероятным путем распространения вредоносного кода в этих приложениях является эксплуатация следующих уязвимостей: внедрение операторов SQL (SQL Injection) и серверных расширений (SSI Injection), выполнение команд ОС (OS Commanding), выход за корневой каталог веб-сервера (Path Traversal).

  Процесс эксплуатации подобных уязвимостей достаточно легко автоматизируется, а широкая распространенность таких ошибок в веб-приложениях позволяет проводить массовые "дефейсы", добавлять инфицированный код на страницы уязвимых веб-узлов.

  При сравнении критических ошибок на зараженных и не зараженных сайтах видно, что практически все сайты, содержащие уязвимости, которые позволяют непосредственно выполнять команды на сервере, были автоматизированно заражены вредоносным кодом.

  При анализе результатов более детальных тестов по технологии "белой" коробки, проявляются новые типы ошибок и угроз.

  По результатам теста методом "белого" ящика видно, что часто встречаются ошибки допускаемые администраторами при обслуживании серверов. Кроме того, при детальном анализе наиболее часто встречались ошибки, связанные с уязвимостью "Внедрение операторов SQL".

  Подводя итог представленным результатам, можно сказать, что наиболее распространенными ошибками, допускаемыми разработчиками приложений, являются уязвимости "Межсайтовое выполнение сценариев" и "Внедрение операторов SQL". При этом уязвимостей, связанных с недостатками администрирования, встречается на 10% больше, чем уязвимостей, связанных с ошибками при разработке систем.

Взгляд в будущее

  Результаты тестов аналитического центра PT Research и компании Positive Technologies показали, что динамика уязвимости сайтов снижается, а процент устранения обнаруженных по сравнению с 2008 годом возрос почти в несколько раз, что положительно сказывается на защищенности веб–приложений. Также надежность сайтов повышает использование средств администрирования со встроенными механизмами защиты. Что же касается будущего, есть все основания полагать, что дальнейшее развитие средств защиты и систем шифрования данных позволит сохранить темпы роста надежности веб–приложений. А новые системы администрирования и методы настройки оборудования позволят снизить число уязвимостей, связанных с человеческими факторами.