Дослідження вразливостей web-ресурсів

 

Процес експлуатації подібних вразливостей може бути досить легко автоматизований, а поширення подібних помилок в Web-додатках дозволяє проводити масові «дефейс», додавати інфікований код на сторінки уразливих Web-вузлів. Якщо подивитися на статистику розподілу критичних вразливостей по інфікованими сайтам (рис. 3.6), то можна зробити висновок, що основним вектором зараження Web-додатки автоматизованим способом, є експлуатація уразливості «Впровадження операторів SQL».

Рисунок 3.6–Розподіл критичних вразливостей за інфіковании сайтами

 

Порівнюючи аналогічні показники по сайтах, на яких не було виявлено інфікованих сторінок (рис. 3.7), можна зробити висновок, що приблизно 15-20% Webдодатків можуть бути заражене автоматизованим способом, за умови налаштувань середовища Web-сервера, що дозволяють провести подібну атаку.

Рисунок 3.7 –Розподіл критичних вразливостей на сайтах

 

3.3.2 Детальний аналіз

Розподіл виявлених вразливостей до різних типів, виявлених за допомогою детального аналізу Web-додатків представлено в табл.3.4 і на рис.3.8.

Рисунок 3.8–Статистика вразливостей Web-додатків (детальний аналіз)

    Таблиця 3.4 –Статистика вразливостей Web-додатків (детальний аналіз)

Тип уразливості	% Вразливостей	% Вразливий сайтів
Cross-Site Scripting	41,75%	61,01%
SQL Injection	17,69%	67,79%
Information Leakage	12,50%	16,94%
Path Traversal	4,95%	11,86%
Brute Force	3,54%	18,64%
Predictable Resource Location	3,54%	22,03%
HTTP Response Splitting	2,59%	5,08%
Insufficient Authorization	1,89%	15,25%
Fingerprinting	1,65%	10,16%
Abuse of Functionality	1,18%	6,77%
Insufficient Process Validation	0,94%	5,08%
Weak Password Recovery Validation	0,94%	6,77%
Insufficient Transport layer Protection	0,71%	3,38%
Denial of Service	0,71%	5,08%
Insufficient Session Expriration	0,71%	5,08%
Remote File Inclusion	0,71%	3,38%
Credential/Session Prediction	0,47%	3,38%
Directiry Indexing	0,47%	3,38%
Insuffisient Anti-automation	0,47%	3,38%

 

Якщо розглядати найбільш часто зустрічаються вразливості при детальному аналізі Web-додатки з точки зору поширеності, то будуть отримані результати, представлені на рис.3.9. Також як і при автоматичному скануванні Web-додатків, при проведенні детального аналізу, найбільш поширеною вразливістю як і раніше є «міжсайтового виконання сценаріїв» (Cross-Site Scripting, XSS), на частку якої припадає приблизно 43% всіх помилок. Дана уразливість зустрілася в 61% всіх проаналізованих додатків. На другому місці, при деталізованому аналізі захищеності Web-додатків, виявилася уразливість «Впровадження операторів SQL» (SQL Injection). Дана уразливість зустрілася у 18% випадків, приблизно на 68% всіх досліджуваних додатків. Таким чином, лідируючі позиції за ймовірністю виявлення уразливості в Web-додатку, за його детальному аналізі, займає вразливість на стороні Web-сервера (serverside) «Впровадження операторів SQL» (SQL Injection) і вразливість, що експлуатується на стороні клієнта (client- side) - «міжсайтового виконання сценаріїв» (Cross-Site Scripting, XSS).

Рисунок 3.9 –Розподіл вразливостей по сайтах (детальний аналіз)

 

Невеликий відсоток розподілу вразливості типу «Витік інформації» (Information Leakage) в порівнянні з автоматичним скануванням обумовлено використовуваної методики за проведення детального аналізу захищеності Web-додатків. Так, багато недоліків, які сканер безпеки відносить до даного типу вразливості і підсумовує їх, при експертному аналізі, групувалися в одну уразливість або виявлялися ознаками інших, більш серйозних проблем (наприклад, помилками розмежування доступу).

3.3.3 Узагальнені дані

Узагальнені результати за розподілом виявлених вразливостей до різних типів і класів WSTCv2, виявлених за допомогою детального аналізу Web-додатків і при автоматичному скануванні представлено в табл.3.5 і на рис.3.10.

Таблиця 3.5. Статистика вразливостей Web-додатків (узагальнені дані)

Тип уразливості	Автоматичне сканування		Детальний аналіз
	% Вразливостей	% Вразливостей сайтів	% Вразливостей	% Вразливостей сайтів
Cross-Site Scripting	30,08%	50,10%	41.75%	61,01%
SQL Injection	7,95%	15,50%	17,69%	67,79%
Information Leakage	29,82%	97,19%	12,50%	16,94%
Path Traversal	0,23%	0,70%	4,95%	11,86%
Brute Force	0,01%	0,06%	3,54%	18,64%
Predictable Resource Location	0,00%	0,00%	3,54%	22,03%
HTTP Response Splitting	0,84%	2,07%	2,59%	5,08%
Продовження табл.3.5
Insufficient Authentication	0,00%	0,00%	2,36%	15,25%
Fingerprinting	9,59%	45,68%	1,89%	10,16%
Abuse of Functionality	0,00%	0,00%	1,65%	6,77%
Insufficient Process Validation	0,00%	0,00%	1,18%	5,08%
Weak Password Recovery Validation	0,00%	0,00%	0,94%	6,77%
Insufficient Transport layer Protection	11,18%	53,25%	0,94%	3,38%
Denial of Service	0,05%	0,23%	0,47%	5,08%
Insufficient Session Expriration	0,00%	0,00%	0,71%	5,08%
Remote File Inclusion	0,22%	0,44%	0,71%	3,38%
Credential/Session Prediction	0,00%	0,00%	0,47%	3,38%
Directiry Indexing	0,01%	0,05%	0,47%	3,38%
Insuffisient Anti-automation	0,00%	0,00%	0,47%	3,38%
OS Commanding	0,08%	0,06%	0,47%	3,38%
Session Fixation	0,00%	0,00%	0,24%	1,69%
Mail Command Injection	0,00%	0,00%	0,24%	1,69%
Malware detect	5,52%	1,32%	0,00%	0,00%
Improper Parsing	3,92%	6,62%	0,00%	0,00%
SSI Injection	0,42%	0,42%	0,00%	0,00%
Content Spoofing	0,06%	0,19%	0,00%	0,00%
Insufficient Authorization	0,02%	0,10%	0,00%	0,00%

Рисунок 3.10 –Розподіл вразливостей по сайтах відповідно класам WSTCv2 (узагальнені дані)

 

При аналізі кількості вразливостей за ступенем ризику (рис. 3.11 і 3.12) видно, що найбільш поширеними є недоліки низького ступеня критичності при автоматичному скануванні (рис. 3.11) і середнього ступеня критичності при детальному аналізі (рис. 3.12).

 

Рисунок 3.11 –Кількість вразливостей за ступенем ризику (автоматизоване сканування)

 

Рисунок 3.12 –Кількість вразливостей за ступенем ризику (детальний аналіз)

Якщо аналізувати поширеність вразливостей високого ступеня ризику (рис. 3.12), то тут найбільш часто зустрічаються помилки типу «Впровадження операторів SQL» (SQL Injection). Можливість несанкціонованого доступу до бази даних була виявлена в 67% випадків при детальному аналізі Web-додатки та 16% при автоматичному скануванні. Також широко поширені помилки «Читання довільних файлів» (Path Traversal), «Підбір пароля» (Brute Force) і помилки в реалізації і налаштування системи авторизації та автентифікації.

Рисунок 3.13 –Найбільш часто зустрічаються критичні уразливості

Якщо розглядати сумарну ймовірність виявлення вразливостей різного ступеня ризику при використанні різних підходів до аналізу Web-додатків, то отримуємо картину, наведену на рис.3.14.

Рисунок 3.14 –Імовірність виявлення вразливостей різного ступеня ризику

 

Тобто в 83% сайтів були виявлені критичні уразливості, і в 78% випадків зі ста в програмному забезпеченні Web-додатки містяться уразливості середнього ступеня ризику.

В даному розділі здійснено обробку статистичних даних, розподілених по галузях і класах.

 

 

 

ВИСНОВКИ

Курсовий проект присвячений дослідженню вразливостей web-ресурсів. У першій частині курсового проекту було проведений огляд веб-серверів на різні види вразливостей, такі як: вразливості програмного забезпечення серверів, вразливості конфігурації, а також програмного забезпечення користувачів.

У другому розділі  приведена класифікація атак на web-сайти. Найбільш  відомі такі: атаки на клієнтів, автентифікацію, авторизацію і на виконання коду. Менш поширені  атаки такі: розголошення інформації і  логічні  атаки.

В третьому розділі на основі інтернет показників засннована статистика щодо  вразливостей web-ресурсів.

Даний курсовий проект  буде  корисним для середньо статистичного користувача інтернет мережі, а також для  фахівців по беспеці компьютерних мереж.

В майбутньому даний  продукт  планується удосконалити, шляхом розширення статистичних даних и програмних засобів а саме впровадження системи побудови графіків для спостереження активності програми за певний період часу та визначення який програмний додаток надсилає дані.

 

 

 

 

 

 

 

ПЕРЕЛІК ВИКОРИСТАНИХ ДЖЕРЕЛ

1. Безопасность web-приложений [Електронний ресурс].– Режим доступу:URL: http://www.fortconsult.net/ru/–  Назва з екрану.
2. Positive Technologies – безопасность, консалтинг [Електронний ресурс].– Режим доступу:URL: http://www.ptsecurity.ru –  Назва з екрану.
3. Уязвимость CSRF. Введение [Електронний ресурс].– Режим доступу:URL: http://intsystem.org/768/learn-about-csrf-intro/–  Назва з екрану.
4. Уязвимости информационный портал о безопасности [Електронний ресурс].– Режим доступу:URL: http://www.securitylab.ru/vulnerability–  Назва з екрану.
5. Козлов Д. Д., Петухов А. А. "Методы обнаружения уязвимостей в web- приложениях" / Программные системы и инструменты: тематический сборник ф-та ВМиК МГУ им. Ломоносова N 7. П/р Л.Н. Королева. М: Издательский отдел ВМиК МГУ. Изд-во МАКС Пресс, 2006 г.
6. Межсайтовый_скриптинг [Електронний ресурс].– Режим доступу:URL: http://ru.wikipedia.org/wiki/ –  Назва з екрану.
7. Защита от SQL injection и XSS (функция secureInnerData ) [Електронний ресурс].– Режим доступу:URL: http://n3info.blogspot.com/2013/05/sql-injection-xss-secureinnerdata.html –  Назва з екрану.
8. XSS атака сайта и способы защиты. Как сделать и проверить XSS уязвимость [Електронний ресурс].– Режим доступу:URL: http://consei.ru/xss-ataka-sajta-i-sposoby-zashhity/–  Назва з екрану.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Додаток А. ТЕХНІЧНЕ ЗАВДАННЯ

Вінницький національний технічний університет

Інститут інформаційних технологій та комп’ютерної інженерії

Кафедра захисту інформації

 

 

 

 

 

 

 

ТЕХНІЧНЕ ЗАВДАННЯ

на курсовий проект

з дисципліни «Захист програмного забезпечення»

на тему:

«Дослідження вразливостей web-ресурсів»

 

08-20.ЗПЗ.015.21.121 ТЗ

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Вінниця  2015 

 

1 Назва  та область використання

Дослідження вразливости web-ресурсів, розглягутих під різними кутами гору.

2 Основа для розробки 

Робоча навчальна програма дисципліни «Захист програмного забеспечення» та робочий план.

3 Мета та призначення розробки 

Збір статистичних даних ля подальшого використання при різних систем захисту.

2. Джерела розробки

Уязвимости информационный портал о безопасности [Електронний ресурс].– Режим доступу:URL: http://www.securitylab.ru/vulnerability–  Назва з екрану.

Межсайтовый_скриптинг [Електронний ресурс].– Режим доступу:URL: http://ru.wikipedia.org/wiki/ –  Назва з екрану.

Защита от SQL injection и XSS (функция secureInnerData ) [Електронний ресурс].– Режим доступу:URL: http://n3info.blogspot.com/2013/05/sql-injection-xss-secureinnerdata.html –  Назва з екрану.

 

5 Стадії та етапи розробки

Робота з теми виконується в три етапи.

Етап	Зміст	Початок	Закінчення	Результат
11	Аналіз літературних джерел, огляд вразливості веб-серверів, класифікація атак на web-сайти	05.01.2015	10.02.2015	Розділ звіту, технічне завдання
22	Розробка схем класифікацій	01.03.2015	25.03.2015	Розділ звіту, додатки у вигляді схем
33	Сбор и оформленная статистики  вразливостей web-додатків	26.04.2015	30.04.2015	Графічна частина курсового  проекта

 

 

7 Порядок контролю та прийому.

До прийому і захисту курсового проекту подається:

• остаточний звіт (пояснювальна записка);
• графічні схеми;
• таблиці даних;
• діаграми с даними.

 

Початок розробки       05.01.2015.

Крайній термін виконання курсового проекту   10.05.2015.

 

Розробив студент групи БС-12б.  ____________ Ратніков Н.О.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ГРАФІЧНА ЧАСТИНА

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Тип уразливості	Автоматичне сканування		Детальний аналіз
	% Вразливостей	% Вразливостей  сайтів	% Вразливостей	% Вразливостей  сайтів
Cross-Site Scripting	30,08%	50,10%	41.75%	61,01%
SQL Injection	7,95%	15,50%	17,69%	67,79%
Information Leakage	29,82%	97,19%	12,50%	16,94%
Path Traversal	0,23%	0,70%	4,95%	11,86%
Brute Force	0,01%	0,06%	3,54%	18,64%
Predictable Resource Location	0,00%	0,00%	3,54%	22,03%
HTTP Response Splitting	0,84%	2,07%	2,59%	5,08%
Insufficient Authentication	0,00%	0,00%	2,36%	15,25%
Fingerprinting	9,59%	45,68%	1,89%	10,16%
Abuse of Functionality	0,00%	0,00%	1,65%	6,77%
Insufficient Process Validation	0,00%	0,00%	1,18%	5,08%
Weak Password Recovery Validation	0,00%	0,00%	0,94%	6,77%
Insufficient Transport layer Protection	11,18%	53,25%	0,94%	3,38%
Denial of Service	0,05%	0,23%	0,47%	5,08%
Insufficient Session Expriration	0,00%	0,00%	0,71%	5,08%
Remote File Inclusion	0,22%	0,44%	0,71%	3,38%
Credential/Session Prediction	0,00%	0,00%	0,47%	3,38%
Directiry Indexing	0,01%	0,05%	0,47%	3,38%
Insuffisient Anti-automation	0,00%	0,00%	0,47%	3,38%
OS Commanding	0,08%	0,06%	0,47%	3,38%
Session Fixation	0,00%	0,00%	0,24%	1,69%
Mail Command Injection	0,00%	0,00%	0,24%	1,69%
Malware detect	5,52%	1,32%	0,00%	0,00%
Improper Parsing	3,92%	6,62%	0,00%	0,00%
SSI Injection	0,42%	0,42%	0,00%	0,00%
Content Spoofing	0,06%	0,19%	0,00%	0,00%
Insufficient Authorization	0,02%	0,10%	0,00%	0,00%