Veb-ilovalarga hujumlari eng mashhur kiberhujum usullaridan biridir. Hujumlar umumiy sonining 17 foizi veb-ilovalardagi zaifliklar va xavfsizlik kamchiliklaridan foydalanish bilan bog'liq

Download 300,25 Kb.
Sana	14.05.2024
Hajmi	300,25 Kb.
	#232526

[https://www.ptsecurity.com/ru-ru/research/analytics/web-vulnerabilities-2020-2021/]
Veb-ilovalarga hujumlari eng mashhur kiberhujum usullaridan biridir. Hujumlar umumiy sonining 17 foizi veb-ilovalardagi zaifliklar va xavfsizlik kamchiliklaridan foydalanish bilan bog'liq. Buzg‘unchilar buzilgan saytlardan turli maqsadlarda foydalanishi mumkin: zararli dasturlarni tarqatish, maxfiy ma’lumotlarni o‘g‘irlash, ma’lumotlarga kirish, firibgarlik yoki kompaniyaning ichki infratuzilmasiga kirish. Yuqorida aytilganlarning barchasi tashkilotlarning faoliyati va obro'siga to'g'ridan-to'g'ri tahdid hisoblanib, shuning uchun veb-ilovalar himoyalangan bo'lishi va ularni ishlab chiqishda zaif nuqtalarni qoldirmasligi kerak. Ko'plab xavfsizlik tahlillari natijalaridan foydalangan holda quyida veb-ilovaning asosiy zaifliklari va tahdidlarini ajratib ko'rsatilgan.
Tahdidlar:

Veb-ilovalarning aksariyatida (98%) tajovuzkorlar foydalanuvchilarga hujum qilish imkoniyatiga ega. Bunday hujumlar zararli dasturlarni tarqatishi, zararli saytlarga yo'naltirilishi yoki ijtimoiy muhandislik usullaridan foydalangan holda ma'lumotlarni o'g'irlashi mumkin.
Muhim ma'lumotlar sirqib chiqishi veb-ilovalarning 91 foizida sodir bo'lgan. Foydalanuvchi identifikatorlari eng ko'p oshkor qilingan (84% hollarda). Murojaatlarning uchdan ikki qismi shaxsiy maʼlumotlarning oshkor etilishiga duchor boʻlgan va taxminan yarmi foydalanuvchi hisob maʼlumotlari oshkor qilingan.
Ruxsatsiz kirish imkoniyati veb-ilovalarning 84 foizida qayd etilgan. Shu bilan birga, 5% hollarda sayt ustidan to'liq nazorat olindi.

Zaifliklar:

Veb-ilovalardagi eng xavfli zaifliklar foydalanuvchi avtorizatsiyasi va autentifikatsiya mexanizmlarining kamchiliklari edi. Ushbu zaifliklar maxfiy ma'lumotlarga va dastur funksiyalariga ruxsatsiz kirish imkonini beradi.
Avtorizatsiya kamchiliklari oAuth protokolidagi zaifliklar bilan ham bog'langan. oAuth-dan foydalangan holda avtorizatsiyani amalga oshirishdagi zaifliklar tajovuzkorlar tomonidan seans va foydalanuvchi hisob ma'lumotlarini to'xtatish uchun foydalanishi va keyinchalik ilovaga ruxsatsiz kirishga olib kelishi mumkin.
Har bir veb-ilovadagi zaifliklarning o'rtacha soni 2019 yilga nisbatan uchdan birdan ko'proqqa kamaydi. O'rtacha har bir sayt uchun 15 ta zaiflik mavjud bo'lib, ulardan ikkitasi yuqori xavfga ega.
Aniqlangan zaifliklar umumiy sonidan 15% yuqori darajadagi zaifliklarning ulushini tashkil etadi. Saytlarning uchdan ikki qismi bunday zaifliklarni o'z ichiga oladi.
Zaifliklarning 72 foizi veb-ilova kodidagi xatolar bilan bog'liq.

2020-2021 yillarda Veb-ilovalarning 48 foizi past yoki juda past darajadagi xavfsizlikka ega va bu ko'rsatkich 2019 yilga nisbatan yaxshilanmagan.

Yuqori darajadagi zaifliklarni o'z ichiga olgan veb-ilovalar ulushi 2020 yilda 66 foizni, 2021 yilda esa 62 foizni tashkil etdi, bu 2019 yilga nisbatan sezilarli darajada ko'pdir.

Oxirgi ikki yil ichida zaifliklarning umumiy soni orasida o‘ta salbiy oqibatlarga olib kelishi mumkin bo‘lgan yuqori xavfli zaifliklar salmog‘ining biroz qisqarishi kuzatildi. Shu bilan birga, o'rtacha xavfli zaifliklar ulushi 23 %ga kamaydi, past xavfli zaifliklarning ulushi esa ikki baravardan ko'proq oshdi. Bundan tashqari, har bir ilova bo‘yicha yuqori va o‘rta xavfli zaifliklarning o‘rtacha soni 2019 yilga nisbatan mos ravishda 1,7 va 2,5 baravarga kamaydi, bu esa ishlab chiqishning xavfsiz yondashuvlarining keng tarqalayotganini ko‘rsatadi.

Eng keng tarqalgan zaifliklar va tahdidlar
O'rganilgan ilovalarning 84 foizida foydalanuvchilarning, shu jumladan ma'murlarning shaxsiy akkauntlariga ruxsatsiz kirish tahdidlari aniqlangan. Veb-ilovalarning 72 foizida tajovuzkor boshqa foydalanuvchilarning shaxsiy akkauntlarini ko‘rish yoki obuna sinov muddatining davomiyligini o‘zgartirish kabi o‘zi uchun mavjud bo‘lmasligi kerak bo‘lgan funksiya yoki kontentga kirishi mumkin.
Lokal kompyuter tarmoqlariga hujumlarning eng xavflisi, tashkilotning va serverda operatsion tizim buyruqlarini bajarishdir. Buzg'unchilarning bunday harakatlari muhim ma'lumotlarning oshkor etilishiga, ilovalarning manba kodlariga kirishga va eng muhimi, mahalliy tarmoq resurslariga kirishga va boshqa infratuzilma tugunlariga hujumning rivojlanishiga olib kelishi mumkin.

Eng xavfli tahdidlar
Veb-ilovalarning 17 foizida LAN resurslariga hujum qilish mumkinligi aniqlangan. Xuddi shu miqdordagi ilovalar serverda OS buyruqlarini bajarishga olib kelishi mumkin bo'lgan zaifliklarni o'z ichiga olgan.

2017 yildan beri foydalanuvchilarga hujum qilish muammosi joriy veb-ilova tahdidlari ro'yxatida birinchi o'rinni egalladi. Veb-ilovalar foydalanuvchilariga har ikkinchi hujum saytlararo skript (XSS; CWE-79) yordamida amalga oshirilishi mumkin edi - bu hujumning bir turi bo'lib, foydalanuvchi brauzerida tajovuzkor tomonidan tayyorlangan buzg’unchi kodni bajarish mumkin. XSS-ni ishga tushirish orqali tajovuzkorlar veb-ilova mijozlarini fishing saytlariga yo'naltirishlari, foydalanuvchi qurilmalariga zararli dasturlarni yuklab olishlari va boshqa foydalanuvchilarning o'zini tutishlari mumkin.
Saytlararo skriptlar uch xil bo'lishi mumkin:
Saqlangan XSS (Stored) - zararli kod dastur sahifasiga oldindan o'rnatilgan.
Aks ettirilgan XSS (Reflected) - hujumni muvaffaqiyatli amalga oshirish uchun tajovuzkor foydalanuvchini maxsus yaratilgan havolani bosishga undashi kerak.
DOM-ga asoslangan XSS - veb-ilova sahifasi kodi yuborilgan ma'lumotlarni qayta ishlaganda va olingan ma'lumotlar to'plamini til buyruqlari sifatida bajarishga harakat qilganda.
Tadqiqot so'nggi ikki yil davomida tahlil qilingan 58 ta veb-ilovani o'z ichiga oldi.
Eng keng tarqalgan OWASP Top 10 zaifliklari

Tahlil so'nggi ikki yil davomida tahlil qilingan 58 ta veb-ilovani o'z ichiga oldi.

O'rganilgan veb-ilovalarning 74 foizi to’liq ishlab chiqilgan, 26 foizi esa sinov bosqichida edi.

Download 300,25 Kb.