Безопасно ли в зоне .by?

• 31.01.2008, 10:45

Проведенный специалистами компании "Белсек" анализ безопасности сайтов в зоне .by выявил наличие уязвимостей у 42 процентов сайтов.

Для проведения анализа была сделана произвольная выборка для тестирования 100 сайтов по запросу site:by в поисковой системе Google.

Данные получены в ходе работ по тестированию на проникновение и оценки защищенности сайтов и основаны на результатах автоматизированного сканирования узлов и ручного анализа, пишут "Белорусские новости".

Наиболее распространена уязвимость "Межсайтовое выполнение сценариев" (Cross-Site Scripting, XSS). Эта ошибка средней степени риска может использоваться для выполнения в браузере клиента произвольного кода на языках сценариев с целью кражи идентификационных данных, подмены содержимого страниц, проведения атак типа "фишинг" и т.д. Количество идентифицированных XSS составляет до 52% всех обнаруженных уязвимостей.

На втором месте находятся разнообразные уязвимости, приводящие к утечке важной информации с сервера, так называемый "Information Leakage". На них приходится 27% всех ошибок. В данную статистику включались только те из них, которые могут быть отнесены к средней и высокой степени риска.

Третья по популярности уязвимость - "Внедрение операторов SQL" (SQL Injection) на которую приходится 16% общего количества ошибок. С помощью данной уязвимости злоумышленники получают возможность читать, а иногда и модифицировать информацию в базе данных, используемой web-приложением. В некоторых случаях эксплуатация SQL Injection может привести к получению полного контроля над сервером. В связи с этим, уязвимости данного типа классифицируются как имеющие высокую степень риска.

Иные уязвимости встречаются значительно реже (5% от обнаруженных ошибок), и среди них были обнаружены следующие: "Предсказуемое расположение ресурсов" (Predictable Resource location), "Выполнение shell-команд" (Command Execution), "Легкий перебор пароля" (Brute Force), "Недостаточная аутентификация" (Insufficient Authentication), "Просмотр служебных директорий" (Directory Indexing).

Если рассматривать распределение ошибок по степени риска, то на критичные уязвимости приходится 21%, на ошибки средней и низкой степени риска - 38% и 41% соответственно.

Основные проблемы, связанные с безопасностью функционирования публично доступного web-сайта, возникают по следующим причинам:

• неправильная конфигурация или другое некорректное действие над web-сервером, которое может привести к раскрытию или изменению информации.

• уязвимости ПО web-сервера.

• неадекватные механизмы защиты web-сервера, предусмотренные в его окружении.

• ПО на стороне сервера (скрипты, JSP, ASP и т.п.), которое содержит ошибки, позволяющие атакующим компрометировать безопасность web-сервера.

По словам специалистов компании, основной предпосылкой отсутствия должного внимания к вопросу безопасности корпоративного web-сайта является неадекватная оценка экономического эффекта от стабильной работы сайта предприятия.