Большинство приложений потенциально небезопасны

Компания Veracode опубликовала результаты исследования кода более 10 тысяч приложений на наличие потенциальных проблем с безопаностью.

Специалисты компании Veracode, разрабатывающей решения для аудита безопасности, провели исследование кода более 10 тысяч приложений различного характера. Эти приложения были проверены в облачном сервисе статистического анализа кода программных продуктов, который разрабатывается в компании Veracode. Общий объем проверенного кода составил более 5 миллиардов строк, причем проверямый код лицензируется как под закрытыми, так и под свободными лицензиями.

В отчет об исследовании указано, что только 16% проверенных приложений не имеют проблем с безопасностью. Остальные же имеют те или иные проблемы, которые были выявлены в результате статистического анализа кода. Следует отметить, что полгода назад тестирование на уязвимости с первого раза проходило 42% приложений. Впрочем, подобное падение объясняется сменой методики тестирования, которая ужесточила требования к коду приложений. В частности, уязвимости типа XSS и «SQL Injection» были переведены из категории незначительных уязвимостей в категорию опасных. Это связано с тем, что подобные уязвимости очень часто становятся инструментом для кражи важных данных конфиденциального характера.

Кроме того, разработчики отдельно отмечают крайне низкое качество приложений для мобильных операционных систем и веб-приложений, разработанных для государственных веб-сайтов.

Любопытно отметить, что программы с открытым исходным кодом и коммерческие программы проходят тест с практически одинаковым успехом. И тот, и другой тип приложений демонстрируют успешное прохождение тестов только в 12% случаев. Приложения, созданные для применения внутри информационной инфраструктуры компаний, успешны в 17% случаев, а приложения, разработанные с помощью аутсорсинга — всего в 7%. Однако, как отмечают исследователи, столь низкий процент может быть объяснен сравнительно небольшим числом попавших на тестирование приложений, что не позволило собрать достоверные статистические данные.

Специалисты компании Veracode также распределили наиболее часто встречающиеся проблемы информационной безопасности приложений:

  • проблемы с обработкой ошибок (19%);

  • некорректная работа с буферами обмена (15%);

  • переполнение буфера (14%);

  • возможность переопределения путей или имен файлов со стороны сторонних приложений (11%);

  • целочисленные переполнения (9%);

  • потенциальное наличие уязвимостей для зловредов класса бэкдор (9%);

  • некорректное использование технологий криптографии (8%);

  • уязвимости, приводящие к утечке информации (4%);

  • проблема с возможностью подстановки произвольных SQL-запросов (2%).

Интересно также то, что значительная часть кода (от 30 до 70%) в приложениях, разработанных для использования внутри корпораций представляет собой повторное использование чужого кода, который чаще всего и становится причиной проблем безопасности. В частности, авторами исследования отмечается, что значительное число уязвимостей в веб-приложениях на сайтах государственных учреждений связано с использованием закрытой платформы Adobe ColdFusion.

Исследование также не обошло вниманием уязвимости в веб-приложениях. Наиболее популярными из них являются два типа уязвимостей:

  • XSS-уязвимости, позволяющие встраивать в приложение вредоносный JavaScript/HTML-контент;

  • уязвимости, позволяющие осуществлять подстановку SQL-кода.

Советуем

ESET NOD32 Антивирус

Быстрый и не требовательный к ресурсам компьютера антивирус с надежной защитой. Простой и удобный в использовании.

Антивирус Dr.Web

Старейший отечественный антивирусный продукт. Защита от вирусов, шпионов и троянов. хорошая скорость и производительность.

Антивирус Касперского 2010

Популярный отечественный антивирус. Простой в использовании, надежный и эффективный в защите.

avast! Antivirus Home

Абсолютно бесплатный полнофункциональный антивирус для домашнего использования. Надежная и эффективная защита!

Голосование
Лучший антивирус по Вашему мнению?






Rambler's Top100
Рейтинг@Mail.ru