Čas utíká jako voda, a tak už máme za sebou první rok fungování naší bezplatné služby Skener webu. Při této příležitosti jsme se rozhodli využít získaných zkušeností a připravit pro tvůrce i provozovatele webů jednu malou pomůcku a také jednu malou soutěž pro všechny čtenáře našeho blogu. Než se k nim však dostaneme, ráda bych se chvilku věnovala službě Skener webu a našim postřehům z jejího ročního provozu.
Službu jsme spustili jako reakci na stále se opakující incidenty na některých webech v doméně .CZ. Chtěli jsme pomoci provozovatelům a vývojářům s otestováním bezpečnosti jejich stránek. Webová aplikace může být hodně komplexní záležitost a klidně se může stát, že i zkušený vývojář nebo správce opomene nějaké důležité nastavení nebo bezpečnostní funkci. Také je třeba myslet na skutečnost, že pouhým napsáním kódu péče o bezpečnost aplikace nekončí, že je potřeba ji také bezpečným způsobem provozovat.
Pokud jde o dosavadní výsledky, pak na přibližně 150 otestovaných webových aplikacích jsme nalezli přibližně 400 možných zlepšení v oblasti bezpečnosti, které označujeme jako nálezy informační. Příkladem takovéhoto doporučení může být návrh na doplnění hlaviček, které chrání před vložením stránky do frame či třeba před takzvaným StripSSL útokem. Jiným příkladem může být doporučení na doplnění bezpečnostních flagů pro cookies. Toto nejsou závažné bezpečnostní chyby, ale použití doporučených řešení může bezpečnost webu značným způsobem vylepšit.
Dalších 550 chyb se již bohužel týkalo nálezů, které by se na webu neměly nacházet. Šlo například o problémy, jako je veřejně dostupné administrační rozhraní, často doprovázené také absencí jakékoliv zabezpečené komunikace a navíc bez implementované ochrany proti brute force útokům. V těchto případech již zdviháme varovně prst a doufáme, že správci tyto problémy odstraní. Je však potřeba říci, že každá webová prezentace je jiná a slouží k jinému účelu. Tomu se také v našem hodnocení míry rizika, kterou nalezená chyba znamená, přizpůsobujeme.
Pro nás nejzajímavější a pro tvůrce a správce webů nejhorší je poslední kategorie kritických zranitelností. Je to k zamyšlení, když se testerovi podaří převzít kompletně celou aplikaci a v souladu se známým internetovým MEMem tak může prohlásit „Celá vaše základna jsou patřit nám“! Členové našeho testerského týmu objevili takovouto kritickou zranitelnost již 80krát, přičemž se několikrát stalo, že v jedné aplikaci jich bylo více. To je samozřejmě pro správce webu velice nepříjemná zpráva. Dopady takovéto chyby mohou být obrovské v závislosti na tom, jaké služby nebo informace daná aplikace poskytuje. Snad neprozradím příliš, když řeknu, že jsme se v e-shopu dostali k možnosti označit zboží jako zaplacené a připravené k expedici či že jsme se skrz aplikaci dokázali dostat až ke správě počítačové sítě. A to všechno kvůli neošetřeným chybám jako jsou XSS, SQLi či CSRF.
A nyní slíbená pomůcka. Proč se nepodělit o získané poznatky také s celou komunitou, když to může v konečném důsledku pomoci nám všem? Proto jsme na stránkách CSIRT.CZ připravili soubor doporučení, který vznikl na základě odhalení nejčastějších chyb, s nimiž jsme se setkali na testovaných webech. Cílem je vytvořit určitou pomůcku pro tvůrce i správce webových aplikací, která by jim měla sloužit jako takový checklist. Ten pomůže ověřit, zda ve shonu za splněním termínů náhodou k opomenutí instalace nebo zapnutí nějaké důležité bezpečnostní funkce. Doporučujeme si projít jednotlivé položky a říci si, zda je proti nim vaše aplikace odolná. Schválně si zkuste před otevřením odkazu tipnout, kolik z deseti definovaných oblastí máte vyřešeno na sto procent.
Ti, kteří požádali o realizaci naší služby, již problémy svých aplikací znají a my pevně doufáme, že po prvním kroku, tedy objednání našich testů, přišel také další krok a to odstranění jednotlivých nálezů. A těšíme se na další objednávky naší služby, neboť stále platí okřídlené Better safe than sorry!.
A na samotný závěr již jen slíbená soutěž. Tipněte si v komentářích, kolikrát se naši testeři na testovaných webech setkali se zranitelností XSS? Tři z vás, kteří se do zítřejší (pátek 12. září) půlnoci přiblíží nejvíce, od nás obdrží tričko našeho bezpečnostního týmu CSIRT.CZ.
Zuzana Duračinská, Pavel Bašta
Chtělo by to nechat článek vždy přečíst ještě někým jiným. Obsahuje mnoho chyb (gramatických), do očí bijící je pak „správa“ ve smyslu „message“.
XSS zranitelností bylo 67.
Dobrý den, děkuju za upozornění na chybu ve slově „zpráva“. Při překladu ze slovenštiny, kde se toto slovo píše se S, mi to uniklo. Vilém Sládek
Dle mého zaujatého názoru rovná stovka „100“.
Tipuji 33 :-)
Budu hodnější – můj odhad je 30.
Já bych to viděl na nějakých 37 :)
Můj tip je 256.
Většina – klidně i 107!
Tip: 88
Tip: 66x
Tipuji 36x XSS
Tipuji 80x
Vzhledem k tomu jak většina manažerů s rozhodovací pravomocí přistupuje k IT bezpečnosti jako k obtížnému hmyzu, který je nutné minimálně zahnat tak minimálně 72
At nežeru 72
tip: 110x
Ne vic jak 65
Hadal bych na 78 webech,
Dobrý den všem a děkujeme, že jste se zúčastnili naší soutěže. Na tričko od kolegů z CSIRT.CZ se mohou těšit tři z vás, kteří byli nejblíže číslu 26. Brzy vás bude kontaktovat kolegyně s žádostí o doručovací adresu. Gratulujeme a zachovejte nám přízeň.