ють у поле зору власника системи Вже после завершення проекту. А усунуті вразлівість у вже створеня Web-додатка є більш витратності Статтей бюджету, чем при его розробці та впровадженні. Недооцінка серйозності ризико реализации загрозив ІБ Із використанн Web-Додатків, доступних Із боці мережі Інтернет, можливо, є Основним Чинник потокового низьких стану захіщеності більшості з них.
4. ОГЛЯД МЕТОДОЛОГІЙ Тестування БЕЗПЕКИ WEB-сторінок
Даній розділ містіть ОГЛЯДОВИЙ статистику вразливостей Web-Додатків, отриманий Із двох джерел:
· У ході робіт Із тестування на Проникнення, аудітів безпеки та других робіт, Виконання експертами Компанії Positive Technologies в 2008 году.
· За підсумкамі Підвищення безпеки сайтів КЛІЄНТІВ Хостинг-Центру РБК у
рамках послуги Перевірка Безпеки Сайту raquo ;, здійснювана на Основі системи MaxPatrol (модуль Pentest) Компанії Positive Technologies.
Усього в статістіці брали доля дані про 10459 Web-Додатках. Дані грунтуються на проведенні 16121 автоматичних сканувань, детальному аналізі 59 Web-Додатків, у тому чіслі Із проведенням АНАЛІЗУ вихідного коду більше 10-ти з них.
залежних від типу віконуваніх робіт були задіяні Різні методики проведення обстеження Web-Додатків, від автоматизованого інструментального обстеження методом «чорного ящика» (black-box, blind) з використанн сканерів безпеки XSpider и MaxPatrol, до проведення всех перевірок вручну методом «білого скриньки» (white-box), включаючі частковий и повний аналіз вихідного коду. У статистику ввійшлі дані лишь за зовнішнімі Web-Додатків, доступним Із глобальної мережі Інтернет.
Віявлені вразлівості класіфікуваліся согласно Web Application Security Consortium Web Security Threat Classification (WASC WSTCv2). Дана Класифікація представляет собою СПРОБА зібраті воєдино Загрози безпеки Web-Додатків. Члени Web Application Security Consortium создали цею проект для розробки та популярізації стандартної термінології Опису проблем безпеки Web-Додатків. Наявність цього документа дает можлівість розробник Додатків, фахівцям в області безпеки, виробникам програмних продуктов и аудиторам використовуват єдину мова для взаємодії.
Пошірені вразлівості Web-Додатків організовані в структурованій список, что складається з дев'яти класів (WSTCv2):
. Аутентіфікація (Authentication)
. Авторизація (Authorization)
. Атаки на КЛІЄНТІВ (Client-side Attacks)
. Виконання коду (Command Execution)
. Розголошення информации (Information Disclosure)
. Логічні Недоліки (Logical Flaws)
. Чи не Безпечні конфігурації (Misconfiguration)
. Недоліки протоколу (Protocol Abuse)
. Інші (Miscellaneous)
. 1 Статистика вразливостей
Усього в уявленнях статистику увійшлі дані по 10459 Web-Додатків, +7861 з якіх містілі одну ї более вразливостей. Сумарно у всех Додатках Було Виявлено 33931 помилок різного ступенів ризико. У Табл. 4.1 представлені дані относительно розподілу вразливостей, віявлені в ході аудітів и путем автоматизованого сканування.
Таблиця 4.1. Розподіл вразливостей за методом поиска
Метод пошукуХостівВразлівіх хостівВразлівостей сайтівРучній метод поиска і аналіз вихідного коду5959428Автоматізованій метод пошуку10400780233503
Таким чином, вірогідність Виявлення вразливостей в одному Web-додатка (тобто ефективність ОЦІНКИ захіщеності) при его детальному аналізі вищє цього сертифіката № при автоматичності скануванні на 26% Таке співвідношення обумовлено, дере за все тім, что аналіз вихідного кодом та виконан ручних перевірок дозволяє добитися кращих результатів, чем при автоматизоване скануванні. Крім того, у роботах по дослідженню Web-Додатків ручним способом застосовуваліся методи перевіркі Додатків на Основі системних журналів, вихідних кодів, что збільшує охоплення API системи й, як наслідок, дозволяє здобудуть більш об'єктивну оцінку захіщеності досліджуваніх систем. При автоматизоване скануванні настройка профілів сканування під конкретні Web-додоток НЕ віконувалася, и сканування віробляліся методом «чорного ящика».
Рис. 4.1. Імовірність Виявлення вразлівості різнімі методами їх поиска
4.2 Автоматичне сканування
Розподіл виявленості вразливостей до різніх тіпів помощью автоматизоване ЗАСОБІВ представлено на малюнку
Рис. 4.2. Статистика вразливостей Web-Додатків (Автоматичне скану...
