Cenzic: топ-10 уразливостей веб-додатків
22:44 08.01.2008В минулому році компанія Cenzic представила десятку основних уразливостей веб-додатків в I кварталі в “Доповіді про тенденції безпеки додатків”. Документ визначає 1561 уразливість у відомих комерційних і відкритих додатках. Ситуація ж з доморощеними розробками обстоїть набагато гірше, оскільки в них уразливостей більше, ніж у масових продуктах.
Найбільш розповсюдженими уразливостями виявилися вкладення файлів, SQL-ін’єкції, міжсайтові сценарії (XSS) і обхід директорій - 63%. Більшість уразливостей знайдено у веб-серверах, веб-додатках і веб-браузерах.
На першому місці десятки уразливостей стоїть Adobe Acrobat Reader - у ньому можливі атаки міжсайтових сценаріїв і віддалене виконання довільного коду.
Друге місце займає Google Desktop: ряд уразливостей дозволяє здійснити XSS і одержати доступ до даних на комп’ютері користувача.
IBM Websphere, на третім місці, уразливий до атак “розбивки HTTP відповідей”, що приводять до впровадження стороннього коду в кеші, підстановці контента чи XSS.
Lotus Domino Web Access стоїть на четвертому місці: функція Active Content Filter не справляється з відфільтровуванням коду сценаріїв, переданих користувачем усередині електронного листа. Ці сценарії виконуються в поштовому клієнті одержувача.
П’яте місце - за PHP: відмова в обслуговуванні вкладених масивів. Помилка при рекурсивному обході масивів дозволяє здійснити DoS-атаку на пакет PHP, що приводить до аварії на сервері.
Шосте також дісталося PHP: ряд уразливостей типу переповнення буфера, що дозволяють виконати віддалено код і приводять до DoS-атак.
Наступним, сьомим у списку, йде IBM Rational ClearQuest Web 7.0.0.0: XSS-уразливість у продукті дозволяє вбудувати довільний сценарій через вкладення з метою внесення дефектів у записі журналу подій.
На восьмому місці розташувався Sun Java Access Manager: ряд уразливостей XSS, можливість підвищення привілеїв за рахунок викрадення cookies з даними про сесії і різні способи підстановки чужорідного веб-контента.
Apache Tomcat зайняв дев’яте місце: переповнення буфера в Apache Tomcat JK Web Server Connector дозволяє виконати довільний код на сервері.
Замикає десятку BEA WebLogic: переповнення буфера, віддалене виконання коду, відмова в обслуговуванні (DoS) і доступ до закритої інформації.
Фахівці Cenzic, використовуючи дані софтверного сервісу перевірки уразливостей Cenzic ClickToSecure і досліджень, проведених у власній лабораторії, з’ясували, що більш 70% проаналізованих веб-додатків потенційно уразливі до крадіжки інформації.
Помилки в архітектурі, при написанні коду і ненадійні настроювання як і раніше є основними причинами атак. XSS - найпоширеніший вид атаки: він можливий у 70% додатків. Майже 20% додатків допускають SQL-ін’єкції. Майже половина не вміє обробляти комплексні виняткові ситуації.
По матеріалам http://www.secblog.info.
