Журнал "Information Security/ Информационная безопасность" #2, 2019

ложений, подверженных уязви- мости "Внедрение внешних сущностей XML" (XML External Entities, XXE). Однако не можем утверждать, что это тренд, скорее, это особенность выборки Web-приложений. Напротив, если говорить о Web-уязвимостях в целом, то XXE по-прежнему актуальна. В 2017 г. она впервые вошла в рейтинг OWASP Top 10 и сразу заняла четвертую позицию (рис. 3). Тренд утечки важной инфор- мации наблюдается в 2018 г. во всем мире. Причиной мно- гих громких инцидентов ста- новятся недостатки админи- стрирования и разграничения доступа к различным ресурсам, при этом наше исследование демонстрирует проблемы без- опасного хранения важных данных в Web-приложениях. Так, в 46% утечек в Web-при- ложениях под угрозу попадают учетные данные. Персональ- ные данные обрабатываются в 91% исследованных нами Web-приложений (рис. 4), при этом в 18% этих систем воз- можна их утечка (19% всех утечек). Уязвимости, связанные с недостатками механизмов аутентификации и управления сессиями, могут стать причи- ной несанкционированного доступа к функциональным возможностям Web-приложе- ния или его контенту (рис. 5). При автоматизированном анализе Web-приложений наши специалисты часто стал- киваются с жестко заданными в коде паролями, например, для доступа к СУБД или к API сторонних систем. Злоумыш- ленник, получивший доступ к исходному коду или докумен- тации, может воспользоваться этими учетными данными для несанкционированного доступа к соответствующим системам и кражи информации. Кроме того, в ряде случаев обнару- женные нами жестко заданные пароли не отвечают минималь- ным требованиям к стойкости, а значит, могут быть успешно подобраны в результате брут- форс-атак. В свою очередь, смена скомпрометированного пароля потребует внесения изменений в код. Сообщество OWASP выде- ляет ряд уязвимостей, не вошедших ни в одну из кате- горий Top 10–2017, наличие которых рекомендуется про- верять. Например, возмож- ность загрузки произвольных файлов – критически опасная уязвимость, которая позво- ляет злоумышленнику загру- жать на сервер исполняемые файлы и выполнять код, что может привести к получению им полного контроля над Web-приложением и серве- ром (рис. 6). Анализ угроз В 2017 г. каждое второе Web-приложение (48%) было под угрозой несанкциониро- ванного доступа, однако в 2018 г. доля таких приложе- ний выросла до 72%. В 19% Web-приложений были най- дены критически опасные уязвимости, позволяющие получить контроль не только над приложением, но и над ОС сервера (рис. 7), и зача- стую его компрометация поз- воляет развивать атаку на корпоративные ресурсы. Однако атаки на инфраструк- туру возможны и без полного контроля над сервером Web- приложения. Например, уязвимость "Подделка запро- са со стороны сервера" (Ser- ver-Side Request Forgery, SSRF) позволяет сканировать ЛВС и обращаться к внут- ренним ресурсам (рис. 8). По-прежнему почти каждое Web-приложение содержит уязвимости, которые позво- ляют совершать атаки на • 23 ТЕХНОЛОГИИ www.itsec.ru Рис. 4. Разглашенные чувствительные данные Рис. 5. Уязвимости механизмов аутентификации и управления сессиями (Broken Authentication) Рис. 6. Распространенные уязвимости, не вошед- шие в OWASP Top 10–2017 (доля приложений) Рис. 3. Уязвимости из списка OWASP Top 10–2017 (доля приложений) Для эффективного обеспечения безопасности Web-приложений мы рекомендуем проводить анализ их защищенности. Наличие исходного кода (тестирование методом белого ящика) делает анализ более эффективным, позволяя выявить и в дальнейшем устранить уязвимости, не дожидаясь кибератак. Среди учетных записей наибольшую ценность для злоумышленников представляют логины и пароли пользователей платежных систем, онлайн-банков и криптовалютных бирж. Пароли от популярных онлайн-магазинов, таких как Ebay или Amazon, также пользуются спросом