老鸭窝在线播放-中国黄色片一级-亚洲色图10p-91精品国产高清在线入口

您好,歡迎訪問陜西翰鼎工程項目管理有限公司官網!

業務電話:029-89612880

總辦電話:15094097991

關于我們
   首頁 > 資訊中心 > 法律法規

73份Web應用程序安全評估報告的統計分析

發布時間:2019/10/3 瀏覽量:1994 分享到:

Web應用程序不斷的在各行各業中延伸,幾乎每個企業都有自己的web應用程序,供用戶和/或內部業務流程使用。然而,應用程序出于實用性的目的通常以犧牲安全性為代價,這將對整個業務的安全級別造成不利影響。

web應用程序的安全漏洞為惡意攻擊者提供了大量的機會。通過利用應用程序體系結構和管理中的錯誤,攻擊者可以獲得敏感信息、干擾web應用程序功能、執行DoS攻擊、攻擊應用程序用戶、滲透企業局域網、獲得關鍵資產的訪問權等。

這份報告提供了公司在2016年實施web應用程序安全評估過程中收集到的一些數據,為了便于比較,也列出了一些2014年和2015年的數據。

對這些數據進行統計分析,我們陜西翰鼎工程項目管理有限公司試圖解釋攻擊者的行動路徑,從某個層面上回答下述疑問:web應用程序在開發和操作過程中,需要注意哪些安全缺陷?如何識別潛在的威脅?最有效的安全評估技術是什么?同時我們還將在信息安全的背景下探討Web應用程序開發的發展趨勢。

1 材料和方法

這份報告的數據來自于2016年評估過的73個web應用程序,其中一些應用程序可以在Internet上公開可用,而另一些應用程序則用于內部業務。本報告中排除了在滲透測試、邊界掃描和網上銀行安全審計中發現的漏洞。

漏洞評估是通過手動的黑盒、灰盒和白盒測試(借助自動化工具)或自動源代碼分析進行的。黑盒測試意味著從外部攻擊者的角度來看待應用程序,而外部攻擊者對應用程序沒有預先的或內部的知識?;液袦y試類似于黑盒測試,只不過攻擊者被定義為在web應用程序中具有某些特權的用戶。最嚴格的方法是白盒掃描,預先假定了測試者掌握了應用程序的所有相關信息,包括它的源代碼。本報告第5節中給出了手動安全評估的結果,而自動化掃描結果被放在了第6節進行展示。

根據Web Application Security Consortium Threat Classification (WASC TC v. 2)的分類方法對漏洞進行分類,排除了輸入/輸出處理不當的情況,因為這些威脅是作為其他攻擊的一部分實現的。此外,我們還增加了三種類型的漏洞:不安全會話、服務器端請求偽造和點擊劫持。這些類別在WASC分類中是不存在的,但是經??梢栽诒辉u估的web應用程序中找到。

不安全的會話(Insecure Session),包括會話安全漏洞,比如“missing Secure and HttpOnly flags”,這允許攻擊者在各種攻擊中攔截用戶的cookie信息。

服務器端請求偽造(Server-Side Request Forgery),這類漏洞允許攻擊者冒充系統發送任意的HTTP請求。在接收到URL或HTTP消息后,web應用程序在發送請求之前執行了一個不充分的目的地檢查。攻擊者可以利用這個漏洞,將請求發送到具有受限訪問權限的服務器(例如,局域網上的計算機),這可能導致機密數據泄漏、訪問應用程序源代碼、DoS攻擊和其他問題。例如,攻擊者可以獲取外部用戶無法使用的網段結構的信息、訪問本地資源、掃描端口(服務)。

點擊劫持(Clickjacking)是一種利用視覺欺騙用戶的攻擊手段。本質上,一個易受攻擊的應用程序被加載了一個透明的或偽裝的iframe,通過調整iframe頁面的位置,誘使用戶在頁面上進行點擊(通常會提供一些按鈕或其他元素)。通過單擊該元素,用戶將在該網站的上下文中執行攻擊者選擇的操作。當應用程序沒有返回X-Frame-Options header時,就可能會發生這種攻擊。在某些瀏覽器中,這個漏洞也允許執行跨站點腳本攻擊。

我們的報告只包含代碼和配置漏洞。其他普遍存在的安全漏洞(比如軟件更新管理過程中的缺陷),不在本文討論范圍內。

漏洞的嚴重程度是根據通用評分系統(CVSS v.3)計算出來的?;贑VSS的評分,我們將漏洞分為三種危險等級:高、中、低。

2 關鍵發現

評估的所有web應用程序都存在漏洞

在分析的所有應用程序中都發現了安全漏洞。58%至少有一個高危漏洞。與此同時,我們看到了一個積極的趨勢:與2015年相比,有高危安全漏洞的網站數量減少了12%。

應用程序的用戶不受保護

大多數應用程序允許對其用戶進行攻擊。此外,許多應用程序對用戶數據的保護不夠。例如,在處理個人數據的應用程序中,20%的應用程序都被我們獲取到了訪問用戶信息的權限,這中間包括銀行和政府網站。

敏感信息泄漏仍然是一個緊迫的問題

大約有一半的web應用程序存在關鍵數據泄漏的問題,包括源代碼和個人數據。63%的web應用程序公開了正在使用的軟件版本。

Web應用程序漏洞是局域網滲透的一個簡單媒介

大約有1/4的web應用程序允許對LAN資源進行攻擊。例如,攻擊者可以訪問局域網中的文件、掃描局域網中的硬件,或者攻擊網絡資源。此外,1/4的web應用程序中容易受到SQL注入(高危)的影響,這允許攻擊者訪問應用程序的數據庫,還可能允許攻擊者讀取任意文件或創建新的文件,以及啟動DoS攻擊。

制造行業的企業是最脆弱的

幾乎一半的制造業的web應用程序在評估中都得到了最低的等級。除了金融行業之外,其他所有行業的web應用程序都存在高危的安全漏洞,而對于金融行業,“只有”38%的應用程序存在高危漏洞。

64%的ASP.NET應用程序包含高危漏洞

另外,大約50%的PHP和Java應用程序中包含一個高危漏洞。PHP應用程序受到特別的影響,存在高危漏洞的比率是1/2.8。

生產系統的應用程序更容易受到攻擊

2016年,生產系統受保護的程度較低。在手工測試中,50%的測試系統和55%的生產系統都發現了高危漏洞。應用程序中發現的高危和中危漏洞的數量,生產系統是測試系統的兩倍。

源代碼分析比黑盒測試更有效

對源代碼的手工分析使我們的專家能夠在75%的應用程序中發現高危漏洞,而黑盒測試顯示只有49%的web應用程序存在高危漏洞。

自動化測試是發現漏洞的一種快速方法

對源代碼的自動化分析發現,平均每個應用程序有4.6個高危、66.9個中危和45.9個低危漏洞。在自動化工具的幫助下,源代碼分析可以識別出所有的出口點,換句話說,就是可靠而快速的發現所有可能被利用的漏洞。

3 評估對象

評估的應用程序,覆蓋了許多行業的多個公司,包括金融、政府、媒體、電信、制造業和電子商務。

這些應用程序中約有有三分之二(65%)是生產站點,換句話說,就是目前直接向用戶提供操作的站點。

今年,PHP和java是最常用的開發語言,ASP.NET應用程序的比例與去年同期相比有所增加,“other”類別(如Ruby、Python)中開發語言的應用程序僅占7%。

4 趨勢分析

所有的web應用程序,無論是使用手動的還是自動的安全評估工具進行檢查,都包含了各種危害級別的安全漏洞。只有1%的應用程序具有完全的低危漏洞。我們可以看到,在具有高危漏洞的應用程序中,情況有所改善,占比從2015年的70%下降到2016年的58%。發生這種改善的部分原因是,在開發新的web應用程序時,公司考慮到了去年的安全發現,也許最重要的是,他們集中修復了嚴重的安全漏洞。

5 統計分析

在手動測試中發現的所有漏洞,大多數(81%)是中危漏洞,十分之一是高危漏洞。與2015相比,高危漏洞的份額大幅度下降,但同時也看到2016年在每個應用程序中檢測到更多的中危漏洞。

所有Web應用程序都發現了安全漏洞。手動測試揭示了分析的應用程序中的54%存在高危漏洞,44%存在中危漏洞,僅有2%的應用程序只有低危漏洞。

平均而言,手動分析發現每個應用程序有17個中危漏洞、2個高危漏洞和2個低危漏洞。

5.1 最常見的漏洞類型

在2016中,排名前10的漏洞類型中,有一半允許對Web應用程序的用戶進行攻擊。

與2015一樣,跨站點腳本攻擊(中危)位列首位,在被檢查的Web應用程序中有75%個被發現存在XSS問題。成功利用此漏洞可能允許攻擊者向瀏覽器會話注入任意的HTML標記和Java腳本,進而獲取會話ID、進行網絡釣魚攻擊等等。

與過去幾年類似,正面技術利用其信息攻擊Web應用程序,以創建最常見的攻擊列表。數據源是部署PT應用防火墻的試點項目。為了破解網站或攻擊用戶,攻擊者試圖利用Web應用程序設計和管理中的各種漏洞進行攻擊。研究表明,參與試點項目的58%的應用程序試圖用跨站點腳本攻擊用戶,這是今年評級中最常見的漏洞。

在63%的應用程序中發現了泄露當前軟件版本(指紋)信息的缺陷,位居第二。此外,超過一半的Web應用程序(54%)容易受到信息泄漏的影響,如源代碼和個人數據泄漏。

排名第三的是暴力破解,指通過蠻力攻擊來對付可憐的或根本不存在的保護的對象。易受這種脆弱性影響的應用程序的百分比比去年增加了10%。

不安全的會話和點擊劫持出現在我們的前10強名單中。這兩個類別在2016年第一次,所以無法與前一年進行比較。盡管開發人員更加努力地、小心地消除那些可能對用戶造成威脅的高危漏洞,但造成用戶損害的缺陷卻仍在今年占據了中心地位。35%的Web應用程序中檢測到跨站點請求偽造的漏洞,該漏洞允許攻擊者對用戶進行攻擊。

如前所述,包含高危漏洞的網站的總份額已經下降,今年只有1個高危的SQL注入漏洞排在前10名之內,但它仍然存在于25%的Web應用程序中。根據我們的研究,這種漏洞是2016中最常用的漏洞:攻擊者試圖在84%的Web應用程序中利用它。

在2016檢查的所有應用程序中,有59%檢測到客戶端的漏洞。這些漏洞包括跨站點腳本、跨站點請求偽造、會話安全缺陷以及其他可能攻擊Web應用程序用戶的安全問題。其余的41%的安全漏洞,主要是信息泄漏和授權認證不足,均發生在服務器端。

檢測到的大多數漏洞(73%)都是在軟件代碼中發現的,它們與開發錯誤(如SQL注入)有關。Web服務器配置錯誤產生的問題大約占了四分之一。

5.2 威脅和安全級別分析

對Web應用程序的安全級別進行劃分,主要依據發現的漏洞被利用的可能性。從“非常差”到“可接受的”。一個“非常差”的安全級別,意味著高危的安全漏洞。例如,允許外部的攻擊者遠程命令執行或導致敏感信息泄露。一般來說,如果Web應用程序存在高危漏洞,其安全級別出于“非常差”到“低于平均值”的范圍內。

Web應用程序安全的總體水平仍然很低。專家們認為16%的Web應用程序的安全性“非常差”。

約有32%Web應用程序的安全級別“非常差”,只有5%的應用程序得到了充分保護。

2016的最低等級(”poor” 和 “extremely poor”)屬于電子商務、制造業公司和電信公司的應用程序:它們中間半數以上的的安全級別為”poor” 或 “extremely poor”。34%的電子商務(34%)和43%的制造公司的Web應用程序的安全等級最低:“extremely poor”。金融行業和政府的Web應用程序的安全性稍微好一些。只有15%的電信的Web應用程序可以吹噓為“acceptable”的安全性。媒體行業的應用程序的樣本不足,所以無相關比例。



官方微信

業務咨詢:029-89612880

地址:西安市未央區太華北路西安大明宮萬達廣場1幢3單元6層

版權所有:陜西翰鼎工程項目管理有限公司

備案許可證:陜ICP備2021005995號-1

總辦咨詢:15094097991

技術支持:《鳳巢科技》