Vulnérabilités des applications web : Statistiques de 2009

Cette Étude Russe donne un aperçu statistique sur les vulnérabilités des applications Weben 2009, qui ont été obtenus dans le cadre de test d’intrusion, audit de sécurité et autres travaux effectués par les experts de la société Positive Technologies en 2009. Les statistiques collectées portent sur 5560 applications Web , 6239 scans automatisés et des analyses détaillées de 77 applications Web.

Les méthodes utilisées pour l’analyse des applications Web sont :

  • 1 – la méthode dite «boîte noire» (black-box) en utilisant le scanner automatisé MaxPatrol .
  • 2- Les tests sont repris à la main en utilisant la technique « whitebox » (boîte blanche)
  • 3- Une analyse partielle et complète du code source.
  • L’étude est réalisée uniquement sur des applications Web externes, accessibles à partir d’Internet

Les vulnérabilités découvertes ont été classées selon le Web Security Threat Classification du Web Application Security Consortium (WASC WSTCv2 ) . Ce système a été créé pour classer toutes les menaces liées à la sécurité des applications Web.Les membres du Consortium Web Application Security ont créé ce projet pour développer et promouvoir une terminologie standard décrivant les problèmes de sécurité des applications Web et permettant aux développeurs d’applications, experts en sécurité, développeurs de logiciels et les consultants sécurité, d’utiliser un langage commun pour interagir entre eux.

Dans les statistiques, nous avons utilisé une liste structurée de vulnérabilités, composée de neuf classes selon le WASC WSTCv1 :

  • 1. (Authentification)
  • 2. Login (Autorisation)
  • 3. Attaques côté client (Client-side Attacks)
  • 4. Exécution de commandes (Command Execution)
  • 5. Divulgation d’information sensible (Information Disclosure)
  • 6. Erreurs logiques et bug logiciel (Logical Flaws)
  • 7. Configuration non sécurisée (Misconfiguration)
  • 8. Abus de Protocole (Protocol Abuse)
  • 9. Autres (Divers)

Le degré de criticité de la vulnérabilité a été évalué en fonction de CVSSv2 (Common Vulnerability Scoring System Version 2) .

Résultats importants

Près de la moitié des systèmes analysés contiennent des vulnérabilités. Les scans ont généré 13434 vulnérabilités avec divers degrés de risque, 1412 échantillons de codes malveillants contenus dans les pages des systèmes vulnérables ont étai relevées. 1,7% des sites sont compromis par un cheval de troie. Chacun de ces sites contiennent des vulnérabilités qui peuvent exécuter des commandes sur le serveur, ce qui confirme la possibilité d’utiliser ces vulnérabilités pour compromettre des systèmes.

Parmi les principales conclusions défavorables est la probabilité de détection de vulnérabilités critiques dans une application Web par un scanner automatisé qui est d’environ 35% contre 80% lors de l’analyse approfondie par un consultant. Cela démontre un faible niveau de sécurité des applications modernes basées sur le Web. Non seulement contre les attaques de pirates informatiques qualifiés, mais aussi des scriptkidies avec des outils prêts à l’emploi pour le «piratage automatique ».

L’analyse réalisée en 2009 à partir d’adresses vulnérables , identifiées dans l’étude de 2008 , a révélé que le pourcentage global de correction de vulnérabilités découvertes est de 20% seulement . En général, une évaluation des vulnérabilités des applications Web est un processus simplifié permettant de diminuer les vulnérabilités dans un site le nombre de sites vulnérables de 70%.

Du point de vue de la conformité aux Normes, la situation s’est légèrement améliorée mais reste scandaleuse. 84% des applications Web ne répondent pas aux exigences de la norme de protection des informations des cartes de paiement PCI DSS et 81% ne répondent pas aux critères des scans ASV, tels qu’ils sont définis dans la norme.

Secteurs d’activités scannés

Secteur Economique

%

Télécommunications

35%

Secteur financier

13%

Industrie pétrolière

40%

Autres

12 %

Statistiques des Vulnérabilités détectées .

Articles similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *