четверг, 19 февраля 2009 г.

Сложно ли взломать сайт?

Как показывает наша статистика - квалифицированный человек сделает это с вероятностью 0,8...




Именно такова вероятность обнаружения уязвимостей высокой степени риска в ходе наших работ. Даже самому страшно.

Отрелизили статистику безопасности Web-приложений за 2008 год.

Это уже третий релиз:

2008
2007
2006

В этом году в качестве исходных данных использовались результаты анализа 59 Web-приложений различными жестокими методами от fuzzing до dynamic source code analysis и более чем 10000 сайтов, расположенных на Хостинг-Центре РБК, которому мы (и MaxPatrol) помогаем оказывать услугу "Проверка Безопасности Сайта".

В первый раз в статистику вошли данные по обнаруженным последствиям "взлома", т.е. по тем сайтам, на которых MaxPatrol обнаружил вредоносный код, php-shell и т.п.


В этом году обнаружилась еще одна интересная аномалия. Это нереально большое количество SQLi (обнаружено в 68% всех сайтов при детальном анализе). Просто прорыв какой-то...



Вот такие жестокие цифры...

5 комментариев:

cZerro комментирует...

Может вы для анализа взяли не ту хостинговую площадку? Может на других ситуация лучше? Исследовали ли соответствие ваших результатов и средних данных хотя бы по Рунету?

Сергей Гордейчик комментирует...

Что значит "не та" площадка?

Т.е. по вашему мнению сушествует некоторая корреляция между выбором хостинг-площадки и отношением к безопасности сайта?

Возможно и есть между платным и бесплатным хостингом. Но заявления, что клиенты, например, Мастерхост более щепитильны в отношении безопасности чем РБК-хостинг, кажутся мне несколько надуманными.

Более того - статистика за 2006 - это чистый мастерхост, 2007 - мастерхост + РБК, а 2008 - чистый РБК. Особой разницы я не вижу.

Статистике "хотя бы по рунету" просто не откуда взяться, поскольку я не представляю себе проект по масштабному сканированию всего рунета :) Кто его разрешит и более того - проспонсирует :)

В любом случае - 10000 узлов представляется мне достаточно репрезентативной выборкой.

Есть мкждународная статистика http://webappsec.org/projects/statistics/. Но и там в категории Scan - лвиная доля наших данных за 2007 год.

Александр Дорофеев комментирует...

Сергей,

расскажите, пожалуйста, по своему опыту, как факт взлома Web-сайта (пусть это будет просто deface), влияет на понимание руководства компаний того, что информационной безопасностью нужно заниматься?

Сергей Гордейчик комментирует...

Александр, сел писать ответ, и понял, что это минимум развернутая запись в блоге, а скорее даже статья. Постараюсь в ближайшее время собраться с мыслями и ответить.

Dmitry Evteev комментирует...

to Александр Дорофеев:

один из последних крупных пентестов в этом году завершился компрометацией всей ИС. точкой доступа во внутреннюю ИС стало незащищенное web-приложение (проблемы парольной защиты + SQL Injection) см. последние слайды http://www.slideshare.net/devteev/web-2428231 Для руководства очень понятно и показательно, когда реализованы все возможные угрозы...