forum.opennet.ru

Составление сообщения

Исходное сообщение

"77% из 433 тысяч изученных сайтов использую уязвимые версии ..."
Отправлено opennews, 23-Ноя-17 13:09

Изучив 433 тысячи сайтов, информация о которых собрана в рамках проекта HTTP Archive (http://httparchive.org/) и доступа для анализа при помощи интерфейса BigQuery (https://bigquery.cloud.google.com/), исследователи  обнаружили (https://snyk.io/blog/77-percent-of-sites-still-vulnerable/), что 77% из изученных сайтов используют как минимум одну JavaScript-библиотеку, содержащую известные уязвимости.
51.8% из этих сайтов содержат более одной уязвимости в библиотеках, а 9.2 более трёх уязвимостей.

Наиболее часто встречаются уязвимые копии библиотеки jQuery (https://snyk.io/vuln/npm:jquery), которая используется на 82.4% из всех проверенных сайтов. 92.5% из сайтов, использующих jQuery, содержат необновлённые уязвимые версии. На втором месте библиотека  jQuery UI (https://snyk.io/vuln/npm:jquery-ui), которая применяется на 19.9%  сайтов и 89.7% из используемых копий уязвимы. Далее следуют Moment.js (https://snyk.io/vuln/npm:Moment) - 73.0% уязвимых версий из всех установок данной библиотеки, AngularJS (https://snyk.io/vuln/npm:Angular) - 84.8%, Handlebars (https://snyk.io/vuln/npm:Handlebars)     - 60.7%, Mustache (https://snyk.io/vuln/npm:Mustache)     -    51.0%,
YUI 3 (https://snyk.io/vuln/npm:YUI)     - 40.3%, Knockout (https://snyk.io/vuln/npm:Knockout)    - 19.6%, React (https://snyk.io/vuln/npm:React) - 10.2%.
Обновление информации о состоянии сайтов в HTTP Archive произведено 15 октября, т.е. использованы не архивные, а актуальные данные. Данные в целом совпадают с результатами похожей проверки 323 тысяч сайтов, проведённой в марте, которая показала, что уязвимые библиотеки используются на 77.3% сайтов. При этом уязвимости в JavaScript-библиотеках в основном связаны с межсайтовым скриптингом (XSS (https://ru.wikipedia.org/wiki/%D0%9C%D0%... Cross-site Scripting) и подстановкой контента, например, могут быть использованы для определения содержимого Cookie при открытии пользователем специально оформленной ссылки.

Также можно отметить публикацию проектом OWASP (https://www.owasp.org) (Open Web Application Security Project) очередного отчёта (https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28... в котором  предпринята попытка классифицировать  связанные с безопасностью риски в web-приложениях и предложить рейтинг актуальных и наиболее распространённых проблем.

Как и в прошлом выпуске рейтинга, который был сформирован  в 2013  году, первое место занимают уязвимости, при которых непроверенные данные оказываются в составе исполняемых команд или запросов (SQL, NoSQL, OS, LDAP Injection). Второе место также как и прежде занимают уязвимости, связанные с некорректной работой механизмов аутентификации и проверки идентификаторов сеансов, что позволяет получить неавторизированный доступ. Занимавшие третье место в прошлом рейтинге проблемы межсайтового скриптинга (XSS) переместились на 7 место.
C шестого на третье место поднялись проблемы, приводящие к утечкам конфиденциальных данных, таких как сведения о финансовых операциях и персональные данные пользователей. Четвёртое место заняла новая категория уязвимостей, связанных с некорректной обработкой внешних ссылок в XML-документах (атака XXE (https://ru.wikipedia.org/wiki/File_(%D1%81%D1.... На пятом месте закрепились проблемы в обработчиках списков доступа, позволяющие выполнить операции не предусмотренные текущими полномочиями.

На шестом месте проблемы, вызванные ошибками в конфигурации и выводом сведений о  настройках в тексте сообщений об ошибках. Восьмое место заняли уязвимости, вызванные ошибками в коде десериализации данных, которых в последние годы было особенно много в проектах на PHP и Java. Девятое место в рейтинге рисков безопасности для web-приложений занимают проблемы, связанные с использованием в проекте  сторонних библиотек, фреймворков и прочих компонентов, в которых имеются неисправленные уязвимости (в качестве примеров упоминается продолжение использования уязвимой версии Apache Struts после выхода обновления, что привело (https://www.opennet.ru/opennews/art.shtml?num=47198) к утечке персональных данных 44% населения США). На десятом месте находятся проблемы с ведением логов и организацией мониторинга, из-за которых факты или попытки компрометации системы могут длительное время оставаться незамеченными.
URL: https://snyk.io/blog/77-percent-of-sites-still-vulnerable/
Новость: https://www.opennet.ru/opennews/art.shtml?num=47614

Исходное сообщение
"77% из 433 тысяч изученных сайтов использую уязвимые версии ..." Отправлено opennews, 23-Ноя-17 13:09
Изучив 433 тысячи сайтов, информация о которых собрана в рамках проекта HTTP Archive (http://httparchive.org/) и доступа для анализа при помощи интерфейса BigQuery (https://bigquery.cloud.google.com/), исследователи обнаружили (https://snyk.io/blog/77-percent-of-sites-still-vulnerable/), что 77% из изученных сайтов используют как минимум одну JavaScript-библиотеку, содержащую известные уязвимости. 51.8% из этих сайтов содержат более одной уязвимости в библиотеках, а 9.2 более трёх уязвимостей. Наиболее часто встречаются уязвимые копии библиотеки jQuery (https://snyk.io/vuln/npm:jquery), которая используется на 82.4% из всех проверенных сайтов. 92.5% из сайтов, использующих jQuery, содержат необновлённые уязвимые версии. На втором месте библиотека jQuery UI (https://snyk.io/vuln/npm:jquery-ui), которая применяется на 19.9% сайтов и 89.7% из используемых копий уязвимы. Далее следуют Moment.js (https://snyk.io/vuln/npm:Moment) - 73.0% уязвимых версий из всех установок данной библиотеки, AngularJS (https://snyk.io/vuln/npm:Angular) - 84.8%, Handlebars (https://snyk.io/vuln/npm:Handlebars) - 60.7%, Mustache (https://snyk.io/vuln/npm:Mustache) - 51.0%, YUI 3 (https://snyk.io/vuln/npm:YUI) - 40.3%, Knockout (https://snyk.io/vuln/npm:Knockout) - 19.6%, React (https://snyk.io/vuln/npm:React) - 10.2%. Обновление информации о состоянии сайтов в HTTP Archive произведено 15 октября, т.е. использованы не архивные, а актуальные данные. Данные в целом совпадают с результатами похожей проверки 323 тысяч сайтов, проведённой в марте, которая показала, что уязвимые библиотеки используются на 77.3% сайтов. При этом уязвимости в JavaScript-библиотеках в основном связаны с межсайтовым скриптингом (XSS (https://ru.wikipedia.org/wiki/%D0%9C%D0%... Cross-site Scripting) и подстановкой контента, например, могут быть использованы для определения содержимого Cookie при открытии пользователем специально оформленной ссылки. Также можно отметить публикацию проектом OWASP (https://www.owasp.org) (Open Web Application Security Project) очередного отчёта (https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28... в котором предпринята попытка классифицировать связанные с безопасностью риски в web-приложениях и предложить рейтинг актуальных и наиболее распространённых проблем. Как и в прошлом выпуске рейтинга, который был сформирован в 2013 году, первое место занимают уязвимости, при которых непроверенные данные оказываются в составе исполняемых команд или запросов (SQL, NoSQL, OS, LDAP Injection). Второе место также как и прежде занимают уязвимости, связанные с некорректной работой механизмов аутентификации и проверки идентификаторов сеансов, что позволяет получить неавторизированный доступ. Занимавшие третье место в прошлом рейтинге проблемы межсайтового скриптинга (XSS) переместились на 7 место. C шестого на третье место поднялись проблемы, приводящие к утечкам конфиденциальных данных, таких как сведения о финансовых операциях и персональные данные пользователей. Четвёртое место заняла новая категория уязвимостей, связанных с некорректной обработкой внешних ссылок в XML-документах (атака XXE (https://ru.wikipedia.org/wiki/File_(%D1%81%D1.... На пятом месте закрепились проблемы в обработчиках списков доступа, позволяющие выполнить операции не предусмотренные текущими полномочиями. На шестом месте проблемы, вызванные ошибками в конфигурации и выводом сведений о настройках в тексте сообщений об ошибках. Восьмое место заняли уязвимости, вызванные ошибками в коде десериализации данных, которых в последние годы было особенно много в проектах на PHP и Java. Девятое место в рейтинге рисков безопасности для web-приложений занимают проблемы, связанные с использованием в проекте сторонних библиотек, фреймворков и прочих компонентов, в которых имеются неисправленные уязвимости (в качестве примеров упоминается продолжение использования уязвимой версии Apache Struts после выхода обновления, что привело (https://www.opennet.ru/opennews/art.shtml?num=47198) к утечке персональных данных 44% населения США). На десятом месте находятся проблемы с ведением логов и организацией мониторинга, из-за которых факты или попытки компрометации системы могут длительное время оставаться незамеченными. URL: https://snyk.io/blog/77-percent-of-sites-still-vulnerable/ Новость: https://www.opennet.ru/opennews/art.shtml?num=47614

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Изучив 433 тысячи сайтов, информация о которых собрана в рамках проекта HTTP 
> Archive (http://httparchive.org/) и доступа для анализа при помощи интерфейса BigQuery 
> (https://bigquery.cloud.google.com/), исследователи  обнаружили (https://snyk.io/blog/77-percent-of-sites-still-vulnerable/), 
> что 77% из изученных сайтов используют как минимум одну JavaScript-библиотеку, содержащую 
> известные уязвимости.
> 51.8% из этих сайтов содержат более одной уязвимости в библиотеках, а 9.2 
> более трёх уязвимостей.

>  Наиболее часто встречаются уязвимые копии библиотеки jQuery (https://snyk.io/vuln/npm:jquery), 
> которая используется на 82.4% из всех проверенных сайтов. 92.5% из сайтов, 
> использующих jQuery, содержат необновлённые уязвимые версии. На втором месте библиотека 
>  jQuery UI (https://snyk.io/vuln/npm:jquery-ui), которая применяется на 19.9%  сайтов 
> и 89.7% из используемых копий уязвимы. Далее следуют Moment.js (https://snyk.io/vuln/npm:Moment) 
> - 73.0% уязвимых версий из всех установок данной библиотеки, AngularJS (https://snyk.io/vuln/npm:Angular) 
> - 84.8%, Handlebars (https://snyk.io/vuln/npm:Handlebars)  - 60.7%, Mustache (https://snyk.io/vuln/npm:Mustache) 
>  - 51.0%, 
> YUI 3 (https://snyk.io/vuln/npm:YUI)  - 40.3%, Knockout (https://snyk.io/vuln/npm:Knockout) 
> - 19.6%, React (https://snyk.io/vuln/npm:React) - 10.2%.

> Обновление информации о состоянии сайтов в HTTP Archive произведено 15 октября, т.е. 
> использованы не архивные, а актуальные данные. Данные в целом совпадают с 
> результатами похожей проверки 323 тысяч сайтов, проведённой в марте, которая показала, 
> что уязвимые библиотеки используются на 77.3% сайтов. При этом уязвимости в 
> JavaScript-библиотеках в основном связаны с межсайтовым скриптингом (XSS (https://ru.wikipedia.org/wiki/%D0%9C%D0%B5%D0%B6%D1%81%D0%B0%D0%B9%D1%82%D0%BE%D0%B2%D1%8B%D0%B9_%D1%81%D0%BA%D1%80%D0%B8%D0%BF%D1%82%D0%B8%D0%BD%D0%B3), 
> Cross-site Scripting) и подстановкой контента, например, могут быть использованы для определения 
> содержимого Cookie при открытии пользователем специально оформленной ссылки.

> Также можно отметить публикацию проектом OWASP (https://www.owasp.org) (Open Web Application 
> Security Project) очередного отчёта (https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf), 
> в котором  предпринята попытка классифицировать  связанные с безопасностью риски 
> в web-приложениях и предложить рейтинг актуальных и наиболее распространённых проблем.

> Как и в прошлом выпуске рейтинга, который был сформирован  в 2013 
>  году, первое место занимают уязвимости, при которых непроверенные данные оказываются 
> в составе исполняемых команд или запросов (SQL, NoSQL, OS, LDAP Injection). 
> Второе место также как и прежде занимают уязвимости, связанные с некорректной 
> работой механизмов аутентификации и проверки идентификаторов сеансов, что позволяет получить 
> неавторизированный доступ. Занимавшие третье место в прошлом рейтинге проблемы межсайтового 
> скриптинга (XSS) переместились на 7 место.

>  C шестого на третье место поднялись проблемы, приводящие к утечкам конфиденциальных 
> данных, таких как сведения о финансовых операциях и персональные данные пользователей. 
> Четвёртое место заняла новая категория уязвимостей, связанных с некорректной обработкой 
> внешних ссылок в XML-документах (атака XXE (https://ru.wikipedia.org/wiki/File_(%D1%81%D1%85%D0%B5%D0%BC%D0%B0_URI)#%D0%90%D1%82%D0%B0%D0%BA%D0%B0_XXE)). 
> На пятом месте закрепились проблемы в обработчиках списков доступа, позволяющие выполнить 
> операции не предусмотренные текущими полномочиями.

> На шестом месте проблемы, вызванные ошибками в конфигурации и выводом сведений о 
>  настройках в тексте сообщений об ошибках. Восьмое место заняли уязвимости, 
> вызванные ошибками в коде десериализации данных, которых в последние годы было 
> особенно много в проектах на PHP и Java. Девятое место в 
> рейтинге рисков безопасности для web-приложений занимают проблемы, связанные с использованием 
> в проекте  сторонних библиотек, фреймворков и прочих компонентов, в которых 
> имеются неисправленные уязвимости (в качестве примеров упоминается продолжение использования 
> уязвимой версии Apache Struts после выхода обновления, что привело (https://www.opennet.ru/opennews/art.shtml?num=47198) 
> к утечке персональных данных 44% населения США). На десятом месте находятся 
> проблемы с ведением логов и организацией мониторинга, из-за которых факты или 
> попытки компрометации системы могут длительное время оставаться незамеченными.

> URL: https://snyk.io/blog/77-percent-of-sites-still-vulnerable/ 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=47614

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру