Тільки 16% додатків є безпечними

admin Новини ІТ-безпеки

Тільки 16% додатків є безпечнимиАмериканська компанія Veracode, що розробляє засоби для проведення аудиту безпеки, представила результати дослідження коду приблизно 10 тисяч різних програм, перевірених протягом останніх 6 місяців. Дослідники компанії проаналізували декілька мільярдів рядків коду, який був наданий як приватними, так і відкритими проектами.

Згідно з даними звіту, тільки 16% додатків пройшли тестування з першого разу, в інших випадках були виявлені проблеми з безпекою, у той час як півроку тому при аналогічному дослідженні перевірку відразу пройшли 42% додатків. Така відмінність пояснюється підвищенням вимог до тестових перевірок. Так, вразливості міжсайтового скриптинга (XSS) і SQL-ін'єкції більше не відносяться до категорії незначних, оскільки вони часто стають причиною витоку важливих даних. Також у доповіді дослідження відзначається низька якість програм для мобільних систем і web-додатків, що використовуються на державних сайтах.

Цікавим є той факт, що програми комерційних і відкритих проектів пройшли тест з однаковим результатом. Обидві категорії програм пройшли тестування з першого разу тільки в 12% випадків.

Серед найбільш часто експлуатованих вразливостей, до яких схильні web-додатки, дослідники відзначають атаки SQL-ін'єкції і XSS. Саме за допомогою цих вразливостей хакерські організації Anonymous і LulzSec проводять більшість своїх атак. Так, проведена у квітні атака ін'єкції SQL-запиту з використанням зловмисних програм Lizamoon призвела до зараження тисяч сайтів.

У ході дослідження в 68% перевірених web-додатків були виявлені проблеми, пов'язані з XSS-вразливостю, а з SQL-ін'єкцією - в 32%. При аналізі державних сайтів було виявлено, що 40% з них можуть використовуватися для ін'єкції SQL-коду, а 75% схильні до XSS-вразливостей. Для фінансового сектора дані показники становлять 29% і 67%, а для виробників ПЗ - 30% і 55% відповідно.

У 19% клієнтських додатків спостерігаються проблеми з обробкою помилок, в 15% - некоректна робота з буферами, в 14% - переповнення буфера, в 11% - можливість обходу каталогу (наприклад, відсутність перевірки на "../"), в 9% - цілочисельні переповнювання, ще в 9% - потенційна наявність бекдорів, в 8% - некоректне використання криптографічних засобів, у 4% - витік інформації, і в 2% - можливість виконання SQL-запитів.

Також виявлено, що від 30% до 70% додатків, розроблених для внутрішнього використання, повторно використовують чужий код, наприклад, виклик функцій сторонніх бібліотек. Досить часто саме сторонній код стає причиною проблем. Так, безліч XSS-вразливостей в додатках державних установ пов'язано з використанням платформи Adobe ColdFusion.