martes, octubre 20, 2009

Estadísticas de Web Security

El Web Application Security Consoritium ha hecho público un informe resumen sobre los datos de las vulnerabilidades que las empresas participantes en dicha asociación han encontrado durante sus test de intrusión en el año 2008. Los resultados recogidos muestran los datos de más de 12.000 sitios y casi 100.000 vulnerabilidades descubiertas en ellos.

Hay varios aspectos que llaman la atención de dicho informe que divide el informe en dos partes. La primera de ellas analizando la seguridad del sitio sólo con análisis de caja negra, es decir, con scanners y desde fuera. Los resultados por vulnerabilidades son los siguientes:


Figura 1: Distribución bugs en caja negra

Como se puede apreciar XSS es la vulnerabilidad que más aparece en todos los sitios web, mientras que las técnicas SQL Injection solo son el 7 % de los fallos en aplicaciones web mientras que las vulnerabilidades referidas a HTTP Response Splitting están por encima.

Analizando las vulnerabilidades mostradas por los diferentes sitos web, salen algunos datos curiosos. En rojo aparece el porcentaje de sitios en los que se ha descubierto una determinada vulnerabilidad con mediante una análisis de caja negra y, en azul, el porcentaje de sitios en los que se ha descubierto una vulnerabilidad haciendo además un análisis de caja blanca.


Figura 2: Probabilidad de aparición en Caja Negra & Caja Blanca

Los resultados son muy curiosos, ya que el número de sitios en los que se encuentran vulnerabilidades de SQL Injection usando análisis de caja blanca se cuadriplican en el caso del SQL Injection por ejemplo y en el caso de la suplantación de contenido se disparan.

Llama poderosamente la atención en el gráfico como las fugas de información, por mala administración o mala configuración de las políticas de seguridad llega a niveles insospechados. Esto es fácil de comprobar por uno mismo, basta con bajarse la FOCA y ver el número de sitios que tienen cuidado con la fuga de información por medio de los documentos publicados.

Este gráfico deja de manifiesto varias cosas, como que las auditorías con herramientas automáticas son necesarias, pero no suficientes. Ya vimos un ejemplo muy tonto que dejaba de manifiesto esto, simplemente cambiando el orden de los parámetros en una condición where en el artículo sobre Inverted SQL Injection.
Analizando con caja blanca y caja negra un sitio, la distribución de vulnerabilidades queda así:


Figura 3: Distribución bugs caja negra & caja blanca

XSS es la primera, la segunda son las fugas de información, la tercera el Path transversal y la cuarta el SQL Injection.

El informe tiene algunos datos más, relativos a las probabilidades de encontrar vulnerabilidades por nivel de riesgo de estas o por su tipo de impacto, así que si quieres puedes echarle un ojo al informe completo en la siguiente URL: Web Application Security Statistics

Saludos Malignos!

4 comentarios:

  1. Gracias por este buen resumen ;)

    Newlog

    ResponderEliminar
  2. Un buen resumen. Otro por aquí
    http://informaticoysegurata.blogspot.com/2009/10/estadisticas-de-wasc.html

    D.

    ResponderEliminar
  3. Muy buen resumen si señor, y una presentacion estupenda.
    ¿¿ Donde colgaras el cartelito que deje por hay enmedio ?? Me hace ilusion verlo la verdad jejeje
    Que conste que solo fue una broma xDD
    Si lo subes o lo publicas deja algun comentario o simplemente subelo en tu blog sii es verdad lo que dijistes xDD

    ResponderEliminar
  4. @WiNiRoth, se pondrá en el blog de la innovación. Busca en mis blogs.

    ResponderEliminar