He estado recopilando estadísticas de mi investigación de seguridad informática durante los últimos años. Decidí compartirlos un poco. Aquí usted puede encontrar un informe de prueba de penetración de la muestra – informe. En un gran número de entrevistas con probadores de penetración, escucho la pregunta: "¿Ha mejorado la seguridad de las aplicaciones web a lo largo de los años?" En mi opinión, sí, pero sólo cuando la regulación ascendente obliga en cierta medida a ello. ¿Las pruebas de penetración ayudan a mejorar la seguridad? – definitivamente sí!
¿De qué datos estamos hablando?
En los últimos 2 años, he logrado realizar más de 100 pruebas de penetración, auditorías de seguridad, análisis y reexámenes. Estas eran aplicaciones diferentes para diferentes clientes. La gran mayoría eran aplicaciones web. Cuando una aplicación se probó por primera vez, casi siempre encontró un error que clasificaba la amenaza como crítica o alta. Para los no iniciados, el uso de este tipo de vulnerabilidad conduce al control total de la aplicación (a menudo también el servidor) o permite el acceso a datos sensibles.
Las estadísticas por clasificación de susceptibilidad se ven así:
La detección de tantos errores de seguridad en las aplicaciones que ha estado sucediendo durante años, en mi opinión, indica que se ha invertido muy poco tiempo de seguridad en las primeras etapas del desarrollo de software. Estoy pensando en educar a los programadores, mirando la seguridad en la construcción misma de arquitecturas de software y el modelado de riesgos. Sin esto, las vulnerabilidades todavía se detectarán en la etapa final del desarrollo de software (por lo tanto, el costo de la reparación es grande) o peor aún, solo en entornos de producción por estos hackers menos éticos ;).
Las vulnerabilidades más comúnmente encontradas debido al tipo de
Veamos más estadísticas. Esta vez, los tipos de vulnerabilidad más comúnmente encontrados.
Con diferentes colores, traté de marcar la clasificación de riesgo típica de una vulnerabilidad dada (por supuesto, para decirlo simplemente, en la práctica depende de muchos factores). A su vez, se ve así: borgoña – crítica, rojo – alto, naranja – medio, verde- bajo.
En primer lugar, se puede ver aquí que los XSSy son el tipo de vulnerabilidad más comúnmente encontrado de los más criticados. Me sorprende que se conozca desde hace unos 30 años. Además, es quizás la clase más reconocible de errores de seguridad. Por lo tanto, su aparición ya debería ser rara.
A su vez, hay vulnerabilidades asociadas con la autorización, que es un proceso válido para comprobar que el usuario tiene derecho a realizar una operación determinada. El problema es especialmente notable en aplicaciones con API enriquecidas.
Si nos fijamos en las estadísticas de los errores más comunes – el primer lugar es revelar información que no debe hacerse pública. Tenga en cuenta que la primera fase de la piratería de aplicaciones es el reconocimiento. Cualquier información redundante que parezca ser trivial puede resultar crucial para un ataque efectivo.
A continuación, se enumeran los mensajes de error no generales. Como antes, a menudo revelan demasiados datos confidenciales, por ejemplo, sobre las tecnologías utilizadas.
En tercer lugar está el problema, que creo que avanzará en los próximos años en las estadísticas hasta la primera posición. Se trata de una deuda tecnológica y el uso asociado de componentes con vulnerabilidades conocidas. Desde mi punto de vista, las aplicaciones de hoy en día se componen de muchos bloques pequeños y cadenas de dependencias. Esto hace que resulte casi todos los días que un pequeño componente ya está desactualizado. Conquistar su versión a menudo implica reconstruir parte de la aplicación (al menos obtengo dicha información de los desarrolladores ;)), y este proceso desafortunadamente consume una gran cantidad de recursos.
OWASP Top 10 vs TOP 12 Pentester
La lista de las vulnerabilidades detectadas con más frecuencia con la lista de las 10 principales de OWASP es la siguiente:
Es difícil mapear mis "hallazgos" 1 a 1 en la lista de OWASPa. No encontraremos una reflexión aquí para "Autenticación rota". Esto es simplemente porque la cuenta brutforssing está en su mayoría fuera de mi rango de prueba (y otros errores dentro de este punto no están en mi lista superior). En vano también busca un enlace a XXE. A partir de mis observaciones, los errores de esta clase ocurren cada vez con menos frecuencia. Creo que esto está relacionado con el hecho de que los marcos responsables de procesar XMLy por defecto ya no permiten el uso de entidades externas. Sin embargo, el resumen anterior muestra que en la medida de lo posible la lista OWASP TOP 10 no es sólo una teoría seca y se refleja en la práctica. Por lo tanto, vale la pena usarlo, así como todos los conocimientos proporcionados por el Open Web Application Security Project.
