The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Исследование показало, что 84% приложений содержат потенциальные проблемы с безопасностью

08.12.2011 12:53

Компания Veracode, специализирующаяся на разработке средств для проведения аудита безопасности, опубликовала результаты исследования кода около 10 тысяч различных приложений, проверенных за последние 6 месяцев в cloud-сервисе статического анализа кода, развиваемом данной компанией. Всего было проанализировано несколько миллиардов строк кода, который предоставлен как проприетарными, так и открытыми проектами. По данным отчета только 16% из всех приложений смогли пройти тестирование с первого раза, в остальных случаях были выявлены те или иные проблемы с безопасностью.

При аналогичном исследовании проведённом полгода назад проверку сразу прошли 42% приложений, столь значительное различие объясняется ужесточением требований к тестовым проверкам, в частности, уязвимости XSS и "SQL Injection" более не относятся к категории незначительных, так как часто становятся причиной утечки важных данных. Отдельно отмечается низкое качество программ для мобильных систем и web-приложений, используемых на государственных сайтах.

Интересно, что для коммерческих и открытых проектов уровень прохождения тестов оказался одинаковым, обе категории программ прошли тест с первого раза только в 12% случаев. Степень прохождения проверки для кода, разработанного для внутреннего применения составила 17%, а для кода разработанного по аутсорсингу - 7% (частично, оправданием для аутсорсинга является относительно небольшое число проверенных проектов, что не позволило собрать достаточной статистики).

Среди наиболее часто эксплуатируемых уязвимостей, которым подвержены web-приложения, отмечаются атаки по подстановке SQL-кода и по встраиванию JavaScript/HTML контента (XSS-уязвимости). Именно за счет данных проблем совершено большинство атак групп Anonymous и LulzSec в последнее время. Только атака по подстановке SQL-кода, проведённая в апреле с использованием вредоносного ПО Lizamoon, привела к поражению тысяч сайтов. Проникновение через связанные с подстановкой SQL уязвимости становится эпидемией. Проблемы, связанные с XSS-уязвимостями, выявлены в 68% проверенных web-приложений, а "SQL Injection" - в 32%. При анализе государственных сайтов было выявлено, что 40% из них могут использоваться для подстановки SQL-кода, а 75% подвержены XSS-уязвимостям. Для финансового сектора данные показатели составляют 29% и 67%, а для производителей ПО - 30% и 55%.

Что касается обычных приложений, не связанных с web, то в 19% случаев наблюдаются проблемы с обработкой ошибок, в 15% некорректная работа с буферами, 14% - переполнение буфера, 11% - возможность переопределения путей или имен файлов (например, отсутствие проверки на "../"), 9% - целочисленные переполнения, 9% - потенциальное наличие бэкдоров (!), 8% - некорректное использование криптографических средств, 4% - утечка информации, 2% - возможность подстановки SQL-запросов.

Кроме того, выявлено, что от 30 до 70% разработанных для внутреннего использования приложений так или иначе повторно используют чужой код, например, в виде вызова функций сторонних библиотек. Часто именно сторонний код становится причиной проблем. Например, большое число XSS-уязвимостей в приложениях гос. учреждений связано с использованием платформы Adobe ColdFusion.

  1. Главная ссылка к новости (http://threatpost.com/en_us/bl...)
  2. OpenNews: Рейтинг самых опасных ошибок при создании программ
  3. OpenNews: Новый инструмент web-аудита выявил, что большинство сайтов не уделяют внимание безопасности
  4. OpenNews: Опубликована статистика уязвимостей Web-приложений за 2008 год
  5. OpenNews: 63% web-сайтов содержат опасные уязвимости
  6. OpenNews: Google опубликовал проект, демонстрирующий типичные уязвимости в web-приложениях
Лицензия: CC-BY
Тип: Обобщение
Ключевые слова: security, audit
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (12) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (-), 14:10, 08/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    О, новоиспеченные капитаны Очвидность провозгласили что оказывается, в программах бывают баги. Некоторые из них даже затрагивают вопросы безопасности.

    //остальные 16% программ - хелловорлды :)

     
     
  • 2.4, ZloySergant (ok), 14:19, 08/12/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >О, новоиспеченные капитаны Очвидность провозгласили что оказывается, в программах бывают баги. Некоторые из них даже затрагивают вопросы безопасности.
    >//остальные 16% программ - хелловорлды :)

    Хелловорд с качественной проверкой (!) на возможные баги - тот еще баттхерт. Видел где-то на просторах сети. Уровень явно не для новичка.

     
     
  • 3.7, Аноним (-), 15:12, 08/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Вы случайно не об этом: http://habrahabr.ru/blogs/programming/75971/ ?
     
     
  • 4.10, ZloySergant (ok), 15:59, 08/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >Вы случайно не об этом: http://habrahabr.ru/blogs/programming/75971/ ?

    Похоже, но не то.

     
     
  • 5.19, Michael Shigorin (ok), 00:43, 09/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Похоже, но не то.

    http://www.gnu.org/s/hello/? ;-)

     
     
  • 6.21, pavlinux (ok), 11:28, 09/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Там не "полный" Unix-way, там нет обработчика сигналов. :)
     
  • 2.9, terr0rist (ok), 15:50, 08/12/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Остальные 16% плохо исследовали!
     

  • 1.23, Анонимист (?), 14:26, 09/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Программы пишут программисты.
    Сложность программы растет до тех пор пока не превысит возможности программиста.
    84% программистов испытывают overflow :)
     
  • 1.24, iCat (ok), 18:02, 09/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чрезвычайное важное и неожиданное исследование. Главное - очень нужное всем.
    Может быть - пора завести рубрику "брЕтанкийэ учОныйэ"?
    Нет, я не против исследований, но я против "сферично-ваккуумных" работ.
     
  • 1.25, unera (?), 22:58, 09/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Перед релизом lenny в Debian я набросал скриптик который обошел все пакеты и находил (простым grep'ом) места где получается подстава под уязвимость атаки симлинками.

    то есть запись

    что-то > предопределенное-имя-файла-в-/tmp

    получилось около 500 пакетов на мой самый простой grep. проведя репорта что выдал grep было написано порядка 250 багрепортов уровня RC на все эти пакеты.

    сколько визгу поднялось... меня даже хотели из DD исключить, дескать я торможу выход релиза Debian. однако в итоге признали и все баги поправили.

    ну так вот. если взять учебник и по нему пойти искать уязвимости прям по пакетам, то не удивлюсь что будет больше 84%.

     
     
  • 2.26, unera (?), 22:59, 09/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    s/(проведя) (репорта)/$1 аудит $2/
     
  • 2.27, Michael Shigorin (ok), 22:28, 11/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Перед релизом lenny в Debian я набросал скриптик

    Спасибо.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру