Щороку Acunetix надає аналіз найбільш поширених вразливостей веб-безпеки і вразливостей мережевого периметра. Щорічний звіт про вразливість веб-додатків (тепер є частиною Invicti AppSec Indicator) заснований на реальних даних, взятих з Acunetix Online. Команда фахівців випадковим чином вибирає веб-сайти і веб-додатки, проскановані за допомогою сканера Acunetix, робить їх анонімними і проводить статистичний аналіз. І ось до яких висновків з кібербезпеки вони прийшли.

Стан безпеки веб-додатків

Звіт за 2021 рік, на жаль, досить песимістичний. Тенденція покращення, що спостерігалася в попередні кілька років, закінчилась. Кілька вразливостей з високим та середнім ступенем небезпеки зараз більш поширені, ніж у 2020 році, включаючи деякі серйозні ризики безпеки, які можуть призвести до втрати конфіденційної інформації.

Таке погіршення викликано пандемією COVID-19. Пандемія змусила більшість компаній перейти на віддалену роботу, і тому багато керівників служб безпеки вирішили зосередитися на безпеці кінцевих точок, безпеки операційних систем і на ПЗ для боротьби з фішингом, шкідливими сайтами і шкідливим кодом. Отже, було недостатньо ресурсів для підвищення рівня безпеки в Інтернеті. Замість того щоб вкладати кошти в ретельні процеси, компанії вибирали швидкі і недосконалі рішення, часто засновані на неправильно налаштованих брандмауерах веб-додатків (WAF).

Фахівці Acunetix вважають, що такі рішення можуть мати серйозні наслідки в майбутньому. В результаті переходу на віддалену роботу важливість веб-додатків зросла. Щоб підвищити ефективність віддаленої роботи, багато компаній зробили свої процеси доступними через веб-браузери, використовуючи веб-додатки і API. Це дозволило зловмисникам отримати доступ до даних компанії через веб-сторінки і, як наслідок, могло привести до серйозних витоків даних.

Вразливості високого ступеня небезпеки

Вразливості середнього ступеня небезпеки

Криза розробників

З переходом на віддалену роботу розробка веб-програмного забезпечення також стикається з великою кількістю проблем, а не тільки з браком ресурсів. Ще до епохи віддаленої роботи розробники часто натрапляли на труднощі при написанні безпечного коду, допускали типові функціональні помилки, пропускали перевірку, допускали введення користувачем даних з ненадійних джерел, передавали ненадійні дані безпосередньо в запити SQL, використовували незахищені ідентифікатори сеансів користувачів і механізми управління сеансами і так далі.

Нові середовища віддаленої роботи ще більше ускладнюють розробникам забезпечення безпеки коду додатків через проблеми зі зв’язком. Якщо акцент в області безпеки зміщується з рішень для забезпечення безпеки веб-додатків, розробникам також не вистачає інструментів і навчання для поліпшення своїх навичок, пов’язаних з безпекою. Якби у них був доступ до професійних рішень безпеки веб-додатків, вони б отримували не тільки інформацію про існування проблем, але і гайди, які навчили б їх, як уникнути таких помилок у майбутньому. Без таких інструментів розробники будуть створювати все більше і більше вразливостей.

Короткий огляд вразливостей

У звіті основна увага приділяється поширеним вразливостям і неправильним налаштуванням безпеки – тим, які також є в списку OWASP. Можна відзначити менше SQL-ін’єкцій і проблем з обходом каталогів (обходом шляху). Але багато інших серйозних проблем були настільки ж частими, як і роком раніше. Мова йде про RCE (віддалене виконання коду), проблеми міжсайтового скриптинга (XSS), уразливі бібліотеки JavaScript, вразливості WordPress, підробку серверних запитів (SSRF), атаки шляхом впровадження заголовка хоста і багато іншого.

Звіт також містить дані про інші відомі вразливості і проблеми безпеки програмного забезпечення, включаючи переповнення буфера, відмова в обслуговуванні і DDoS-вразливості, проблеми, пов’язані з контролем доступу і порушень аутентифікації, таких як слабкі паролі, неправильна конфігурація веб-сервера і багато іншого. У випадку всіх цих проблем тенденція аналогічна: спостерігається невелике збільшення їх кількості.

Підсумки

Звіт про вразливість веб-додатків за 2021 рік знову підкреслює важливість веб-сканування, особливо в епоху COVID-19 і віддаленої роботи. Проблеми, виявлені такими сканерами, як Acunetix, можуть мати серйозні наслідки і призвести до розкриття конфіденційних даних на стороні сервера, включаючи злом облікових записів користувачів, крадіжку інформації про кредитні картки, порушення безпеки внутрішніх баз даних, а також атаки на стороні клієнта на браузери жертв.