Опитування спеціалістів з Web Application Security (січень)
22:53 30.09.2007Раніше я вже писав про грудневе опитування Web Application Security Professionals Survey, яке провів Джеремія Гроссман. А зараз розповім вам про результати січневого Web Application Security Professionals Survey (в якому я приймав участь).
Питання:
1) What type of organization do you work for?
a) Security vendor / consultant (60%)
b) Enterprise (9%)
c) Government (9%)
d) Educational institution (5%)
e) Other (14%)
No Answer (2%)
2) How would you rate your technical expertise in web application security?
a) Guru (21%)
b) Expert (47%)
c) Intermediate (28%)
d) Novice (2%)
e) I am Nessus (0%)
No Answer (2%)
3) What was your background before entering the web application security field?
a) Software Development (53%)
b) IT (16%)
c) QA (0%)
d) Product/Project Management (2%)
e) I’ll never tell! (2%)
f) Other (please specify) (23%)
No Answer (2%)
4) From your experience, how many security professionals “get” web application security?
a) All or almost all (0%)
b) Most (19%)
c) About half (26%)
d) Some (49%)
e) None or very few (7%)
5) What are your thoughts about the Universal XSS vulnerability in Adobe’s Acrobat Reader Plugin?
a) Really bad (53%)
b) Bad (37%)
c) Never heard of it (2%)
d) Nothing new here, move along (5%)
e) Please stop with the FUD! (2%)
6) During your web application vulnerability assessments, how many websites where that DID NOT have at least one relatively severe vulnerability?
a) All or almost all (2%)
b) Most (2%)
c) About half (2%)
d) Some (19%)
e) None or very few (74%)
7) What’s your preferred acronym for Cross Site Request Forgery?
a) CSRF (58%)
b) XSRF (19%)
c) Neither, I prefer Session Riding (7%)
d) No preference (16%)
8) Does using Ajax technology open up new website attacks?
a) Yes (9%)
b) Yes, it adds some new things (35%)
c) No, but it increases the attacks surface (40%)
d) Nothing new here, move along (5%)
e) Other (9%)
No Answer (2%)
9) Your recommendation about using web application firewalls?
a) Two thumbs up (21%)
b) One thumb up (47%)
c) Thumbs down (12%)
d) Profane gesture (9%)
No Answer (5%)
10) How would describe the current state of web browser security?
a) Rock solid (2%)
b) Could be better (51%)
c) Swiss cheese, fix it! (44%)
No Answer (2%)
11) Name your Top 3 web application security resources.
Перша трійка:
http://ha.ckers.org
http://www.owasp.org
http://jeremiahgrossman.blogspot.com
12) What are your Top 3 tools to find vulnerabilities in websites?
Перша трійка:
Paros
Burp Suite
By Hand / My Brain
13) What are the Top 3 types of website attacks we’re most likely to see a lot more of in 2007?
Перша трійка:
Cross-Site Scripting
Cross-Site Requests Forgery
Web Worms
14) What was your information security New Year’s resolution?
Перша трійка:
Less projects, more quality
To spend more time with my wife and less time thinking about security.
Finding vulnerabilities in FireFox
15) What’s the first thing you have or plan to learn/research/try/code/write in 2007?
Перша трійка:
XSS/CSRF combo attacks
Adding embedded Ruby support to a popular hex editor to make it the Emacs of reverse engineering.
Universal XSS Worm, but only as a PoC and personal information gain.
Результати опитування доволі цікаві. До речі, цього разу окрім статистичних даних, Джеремія також навів цитати опитаних спеціалістів.
Як видно з відповідей на питання 4, респонденти вважають, що не всі секюріти професіонали (і навіть лише невелика частина) розуміються на веб безпеці. Про що я також регулярно нагадую, коли пишу про дірки на секюріти сайтах. І як видно з відповідей на питання 5, більшість (як і я) вважає універсальну XSS в PDF небезпечною уразливістю. З питання 9 видно, що думки з приводу фаєрволів для веб додатків (WAF) розділилися. До речі, Джеремія серед оприлюднених цитат привів і мою, про те, що WAF зараз не дуже корисні, і що я розробив техніку обходу WAF (зокрема mod_security), про що я планую написати статтю.
З питання 6 видно, що респонденти вважають, що більшість сайтів мають серйозні уразливості. І як видно з питання 10, більшість опитаних (95%) вважає, що безпека браузерів потребує покращення. До речі, ha.ckers.org, зайнявший перше місце по результатам питання 11, є також і моїм улюбленим webappsec ресурсом. А результати питання 13 сильно перетинаються з моїми прогнозами на 2007 рік (більше XSS, фішинга та веб хробаків).
Зазначу, що в статистичних даних є невеликі помилки (не завжди збігається 100%), про що я вже повідомив Джеремії. Але результати дають змогу оцінити сучасний стан галузі.
