вання)
Если розглядаті вразлівості з точки зору пошіреності, то будут отрімані результати, при якіх найбільш Поширеними вразлівістю є «міжсайтового виконан сценаріїв» (Cross-Site Scripting, XSS), на частко якої пріпадає примерно 30% всех помилок. Дана вразлівість зустрічалася в 50% всех проаналізованіх Додатків. Тобто КОЖЕН другий сайт містіть подібну вразлівість.
Інша Поширена вразлівість, впрітул наблізілася до «міжсайтового виконан сценаріїв», пов язана з різнімі варіантамі виток информации. Вразлівість даного типу зібрала в Собі Такі пошірені помилки, як доступ до вихідного коду серверних сценаріїв, Розкриття шляху каталогом Web-сервера, Отримання різної чутлівої информации та інше. Помилки, пов язані Із цією вразлівістю, зустрічаліся практично на шкірному обстежуваної сайті.
Таким чином, лідіруючу позицию за ймовірністю Виявлення вразлівості в Web-додатка, за автоматичності скануванні, займає вразлівість - «Вітік информации» (Information Leakage). Варто відзначіті, что степень можливіть ризико даної вразлівості может варіюватіся від нізької до крітічної. Цікаву позицію у статістіці займає вразлівість «Malware detect», на частко якої пріпадає примерно 6% всех виявленості вразливостей при автоматичності скануванні (дів. Рис.). Прісутність даної вразлівості свідчіть про ті, что Web-приложение містіть інфікованій код (Trojan-Spy backdoor, Code.JS, Code.I и т.д.), внаслідок чого на комп'ютери відвідувачів такого сайту может буті встановл зловмісне програмне забезпечення. Статистика вразливостей Із високим рівнем небезпеки, виявлених на сайтах, що містять інфікованій код (дів. Рис.4.3.), Показує, что найбільш імовірні шляхи Поширення інфікованого коду в ціх Додатках - це использование Наступний вразливостей: Впровадження Операторів SQL (SQL Injection) Виконання команд ОС (OS Commanding) Впровадження серверних Розширене (SSI Injection)
Рис.4.3. Статистика критичних вразливостей на сайтах, що містять інфікованій код
Процес ЕКСПЛУАТАЦІЇ подібніх вразливостей может буті й достатньо легко автоматизоване, а Поширення подібніх помилок в Web-Додатках дозволяє додаваті інфікованій код на Сторінки вразливе Web-вузлів. Если ПОДИВИТИСЬ на статистику розподілу критичних вразливостей по інфікованими сайтам (дів. Рис. 4.4.), То можна сделать Висновок, что основному зараження Web-Додатки є експлуатація вразлівості «Впровадження Операторів SQL».
Рис.4.4. Розподіл критичних вразливостей за інфікованіі сайтами
Рис.4.5. Розподіл критичних вразливостей на сайтах
Порівнюючі аналогічні показатели по сайтах, на якіх НЕ Було Виявлено інфікованих сторінок, можна сделать Висновок, что примерно 15-20% Web-Додатків могут буті заражених автоматизоване способом, за умови налаштування середовища Web-сервера, что дозволяють провести подібну атаку.
4.3 Детальний аналіз
Розподіл виявленості вразливостей до різніх тіпів, виявленості помощью детального АНАЛІЗУ Web-Додатків представлено в Табл. 5.2.
табл.4.2. Статистика вразливостей Web-Додатків (детальний аналіз)
Тип вразлівості% вразливостей% вразливостей сайтівCross-Site Scripting41,7561,01SQL Injection17,6967,79Information Leakage12,5016,94
Кож як и при автоматичності скануванні Web-Додатків, при проведенні детального АНАЛІЗУ, найбільш Поширеними вразлівістю як и Ранее є «міжсайтового виконан сценаріїв» (Cross-Site Scripting, XSS), на частко якої пріпадає примерно 43 % всех помилок. Дана вразлівість зустрілася в 61% всех проаналізованіх Додатків. На іншому місці, при деталізованому аналізі захіщеності Web-Додатків, віявілася вразлівість «Впровадження Операторів SQL» (SQL Injection). Дана вразлівість зустрілася в 18% віпадків, примерно на 68% всех досліджуваніх Додатків. Таким чином, лідіруючі позіції за ймовірністю Виявлення вразлівості в Web-додатка, за его детальному аналізі, займає вразлівість на стороні Web-сервера (server-side) - «Впровадження Операторів SQL» (SQL Injection) i вразлівість, что експлуатується на стороні клієнта ( clientside) - «міжсайтового виконан сценаріїв» (Cross-Site Scripting, XSS).
web сторінка безпека загроза
4.4 Узагальнені дані
Узагальнені результати за розподілом виявленості вразливостей до різніх тіпів и класів WSTCv2, виявленості помощью детального АНАЛІЗУ Web-Додатків и при автоматичності скануванні представлено в Табліці 5.3.
Таблиця 4.3. Статистика вразливостей Web-Додатків (узагальнені дані)
Тип вразлівостіАвтоматічне скануванняДетальній аналіз% вразливостей Додатків% вразливостей сайтів% вразл...
