Аналіз 433 000 сайтів показав, що 77 % з них використовують уразливі JS-бібліотеки


Дізнайтесь більше про нові кар'єрні можливості в EchoUA. Цікаві проекти, ринкова оплата, гарний колектив. Надсилайте резюме та приєднуйтеся до нас.

Згідно з дослідженням, проведеним командою Snyk на вибірці з 433 000 сайтів, 77 % розглянутих інтернет-ресурсів містять хоча б одну небезпечну фронтенд-бібліотеку JavaScript. При цьому 51 % з них дозволили собі дві відомих уразливості, а 9,2 % – понад чотири.

Небезпечні зв’язки

За результатами аналізу експертам вдалося скласти топ-лист JS-бібліотек з уразливостями:

Очолює список відома jQuery. 92,5 % веб-ресурсів із впровадженою jQuery використовують старі версії бібліотеки з великою кількістю вразливостей. Друге місце посіла jQuery UI, що використовується в 19,9 % досліджуваних сайтів із 89,7 % небезпечних версій. Відсоткове співвідношення вразливих версій найпопулярніших бібліотек представлене в таблиці:

За словами експертів, уразливості в названих бібліотеках у більшості своїй пов’язані з міжсайтовим скриптингом і підстановкою контенту. Вони можуть бути використані зловмисниками для визначення вмісту cookies при відкритті користувачем спеціально оформленого посилання.

Відомо, що інформація про стан досліджених сайтів в HTTP Archive була оновлена 15 жовтня, що говорить про актуальність наведених даних.

Актуальні проблеми і ризики

Продовжуючи тему вразливостей, слід наголосити на важливості випуску нового масштабного звіту від Open Web Application Security Project. У ньому дослідники в галузі інформаційної безпеки спробували класифікувати відповідні ризики, а також запропонували рейтинг найактуальніших і популярніших проблем, з якими доводиться стикатися веб-співтовариству.

Як і в далекому 2013, лідируючі позиції в цьому списку впевнено утримують уразливості, пов’язані з появою неперевірених даних у складі виконуваних команд або запитів (SQL, NoSQL, OS, LDAP Injection). За ними всі так само наслідують уразливість від некоректної роботи механізмів ідентифікації і аутентифікації, що дозволяють доступ без авторизації. А ось “вузькі місця”, що розглядаються вище, з міжсайтовим скриптингом, втратили цілих 4 позиції, перемістившись із третього місця на сьоме.

За даними дослідження, найбільш актуальними стають уразливості, що призводять до витоку призначених для користувача персональних даних. Ця проблема піднялася на три позиції порівняно з аналізом чотирирічної давнини. На четвертому місці розташувалася нова категорія вразливостей, пов’язаних із некоректною обробкою зовнішніх посилань у XML-документах (атака класу XXE). П’яте місце в новому рейтингу відведене проблемам, що з’являються в обробниках списків доступу. Вони дозволяють виконувати операції, не передбачені чинними повноваженнями. На шостому місці розташувалися помилки в конфігурації та виведення відомостей про налаштування в тілі повідомлень про помилки.

Восьме місце в новому списку ризиків дослідники відвели помилкам, що набувають популярності, в коді десеріалізації даних. Дев’яте місце посіли проблеми, пов’язані з використанням у проектах старих версій сторонніх рішень, не позбавлених безлічі вразливостей. Завершують десятку “лідерів” незадовільні ведення логів та організація моніторингу, наслідком яких є ігнорування компрометації системи через нестачу або брак даних.

За словами експертів, більшість рішень нині вже зуміли позбавитися від найочевидніших і не дуже “вузьких місць”. Проблема полягає в небажанні розробників переходити на нові, безпечніші версії або у банальній непоінформованості про їх наявність (так само як і про наявність уразливостей у старих).

Джерело: блог Snyk

Київ, Харків, Одеса, Дніпро, Запоріжжя, Кривий Ріг, Вінниця, Херсон, Черкаси, Житомир, Хмельницький, Чернівці, Рівне, Івано-Франківськ, Кременчук, Тернопіль, Луцьк, Ужгород, Кам'янець-Подільський, Стрий - за статистикою саме з цих міст програмісти найбільше переїжджають працювати до Львова. А Ви розглядаєте relocate?


Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *