Come ogni anno, Netsparker rilascia dei dati sullo stato di sicurezza e garanzia delle applicazioni Open Source.

Ogni anno Netsparker pubblica una serie di statistiche che riassumono le vulnerabilità che vengono scovate nelle applicazioni web open source.

I loro test formano una parte delle pratiche di garanzia della qualità di Netsparker, durante le quali vengono analizzate migliaia di applicazioni Web e siti Web.

Questi test aiutano ad aggiungere nuovi controlli ai processi di sicurezza e a migliorare continuamente la precisione dello scanner di Netsparker.

Questo articolo include statistiche basate su ricerche di sicurezza condotte nel corso del 2017.
Ma prima diamo uno sguardo al motivo per cui ci interessano le applicazioni open source e ai danni che possono causare alle imprese quando non sono gestite correttamente.

Perché le imprese utilizzano software open source?

Il motivo dell'incremento della popolarità dei software open source nel mondo del business è strettamente legato all'aspetto finanziario: l'azienda ottiene ottimi software gratuitamente. Alcune imprese sono in sintonia con la filosofia open source della collaborazione e della restituzione. Questo aiuta a capire perché le grandi compagnie come Twitter, Tumblr, Netflix e Pinterest usano e sostengono l'open source.

Netsparker ha naturalmente un forte interesse rispetto la sicurezza dei software open source e si pone una domanda importante: dal momento che il codice sorgente dei progetti open source è disponibile pubblicamente, ciò rende queste applicazioni più o meno sicure rispetto a software privati o protetti?

Cosa succede se un progetto Open Source va male?

Il costo medio globale della violazione dei dati nel 2017 è stato valutato in 3,62 milioni di dollari. Tra marzo e luglio 2017, Equifax ha subito una enorme violazione della cyber-security grazie ad un hacker che ha avuto accesso a centinaia di millioni di dati personali degli utenti registrati dall'azienda.
Sebbene questa violazione è stata comunicata nel settembre 2017, Equifax era stata avvisata che durante il 2016 il loro sito era vulnerabile ed erano state comunicate le vulnerabilità controllare.

Gli hacker che hanno sfruttato le vulnerabilità degli open source Apache Struts sono stati scoperti e accusati per la violazione di Equifax.

Sebbene inizialmente fosse stata attribuita una vulnerabilità di deserializzazione nel plugin REST di Apache Struts, si è scoperto che la vulnerabilità di OGNL Expression Injection in Struts fu la causa della violazione.

Anche se un vasto numero di dati personali è stato esposto a causa della violazione di Equifax, un numero significativamente maggiore di utenti era potenzialmente interessanto da un altro bug di sicurezza del software open source immediatamente disponibile.

ROBOT (Return Of Bleichenbacher's Oracle Threat) è un tipo di attacco che fa "rivivere" una vulnerabilità di 19 anni prima. La vulnerabilità RSA Bleichenbacher è ancora molto diffusa su Internet e nei domini più importanti come Facebook e PayPal, insieme a molti altri fornitori e progetti open source.
Nel dicembre 2017, Netsparker ha rilasciato una versione di aggiornamento urgente per il loro scanner di sicurezza delle applicazioni web che includeva il controllo di sicurezza per la vulnerabilità ROBOT.

Perchè Netsparker si preoccupa per gli Open Source?

Uno dei modi migliori per dimostrare l'efficacia effettiva dello scanner per la sicurezza delle applicazioni web di Netsparker è di testarlo su un'ampia varietà di applicazioni web.

Così i ricercatori di sicurezza Netsparker eseguono la scasione di grandi varietà di applicazioni web open source tra cui: carrelli della spesa, soluzioni e-commerce, applicazoni web di social networking, forum e blog.
La complessità dell'ambiente di testing aumenta quando si considera il grande numero di linguaggi utilizzati per creare le applicazioni web; Per esempio: PHP, Java, Ruby on Rails, ASP.NET, Node.JS, Python e altri framework.

 

"L'unico motivo - oltre ad avere un fantastico team di ricercatori dedicati alla sicurezza - per cui siamo in grado di scansionare così tante applicazioni web e rilevare così tante vulnerabilità su una così vasta gamma, è perché l'automazione è il cuore della tecnologia di scansione delle applicazioni web di Netsparker."

 

Ci sono un paio di vantaggi netti. I team di sviluppo delle applicazioni open source ottengono test sulla sicurezza gratuiti, permettendogli di scrivere un codice sorgente più sicuro.
Se desideri condurre test sulla sicurezza gratuiti e automatici sulle tue applicazioni web e leggere ulteriori informazioni su come siamo grandi sostenitori della comunità open source, consulta la nostra offerta di Scansioni Online Gratuite per la Sicurezza Web per Progetti Open Source.

Cos'ha scoperto Netsparker riguardo lo stato della Sicurezza Open Source nel 2017?

Qual è la vulnerabilità più prolifica nelle applicazioni open source?

La vulnerabilità più diffusa rilevata nelle applicazioni Web Open Source è stata Reflected XSS.

Questa vulnerabilità rappresentava quasi il 70% del numero complessivo di vulnerabilità segnalate.
Tutti i tipi di vulnerabilità Cross-site Scripting (XSS) si sono classificate al settimo posto nell'elenco OWASP Top 10 2017.

Quante applicazioni Web sono state scansionate nel 2017 da Netsparker?

  • Il numero totale di applicazioni web che sono state testate da Netsparker e scansionate nel 2017 è stato di 154, con un aumento di oltre il 48% rispetto al nostro ultimo report.
  • I più popolari framework o linguaggi di applicazioni Web in cui sono state sviluppate le applicazioni scansionate sono PHP (124), .NET (14) eJ ava (10)
  • I più popolari server di database back-end usati dalle applicazioni scansionate sono MySQL (86), Microsoft SQL Server (13)

Quali sono stati i risultati della scansione delle vulnerabilità per il 2017?

Di seguito sono riportati numeri e statistiche riguardo le scoperte di Netsparker nel 2017 dopo la scansione di 154 applicazioni Web open source.

  • Il numero di applicazioni web vulnerabili era 59. Questo dato è oltre il 38% di tutte le applicazioni web che abbiamo testato.
  • Il numero totale di vulnerabilità individuate da Netsparker in questi siti open source era 346.
  • Sono state scansionate 124 applicazioni web PHP, di cui 53 erano vulnerabili. Pertanto quasi il 43% delle applicazioni web PHP che sono state scansionate presentavano vulnerabilità al loro interno.
  • Sono state scansionate 14 applicazioni web .NET e rilevate vulnerabilità in 4 di esse. Ciò significa che il 28% delle applicazioni web scansionate create con .NET erano vulnerabili.
  • Sono state scansionate 10 applicazioni web Java e solo una era vulnerabile. Ciò significa che il 10% delle applicazioni web create con Java erano vulnerabili.

Che tipi di vulnerabilità sono stati trovati?

Le vulnerabilità delle applicazioni Web rilevate da Netsparker sono elencate nella tabella seguente.

Nome della vulnerabilità

Total Occurrences

Severity Level

Reflected Cross-site Scripting (XSS)

240

High Severity

Frame Injection

29

Medium Severity

SQL Injection

24

Critical Severity

Stored Cross-site Scripting (XSS)

15

High Severity

Blind SQL Injection

14

Critical Severity

Code Evaluation

6

Critical Severity

Cross-Site Request Forgery (CSRF)

5

Low Severity

Open Redirection

5

Medium Severity

Boolean SQL Injection

3

Critical Severity

Blind Cross-site Scripting (XSS)

2

High Severity

Cross-site Scripting (XSS) via Remote File Inclusion (RFI)

1

High Severity

Server Side Template Injection (SSTI)

1

High Severity

Document Object Model Cross-site Scripting (DOM XSS)

1

High Severity

Circa l'88% delle vulnerabilità totali erano di livello critico o elevato.

Qual è il linguaggio di sviluppo meno sicuro?

Sulla base dei nostri risultati:

  • Il 43% delle applicazioni web PHP scansionate erano vulnerabili
  • Il 28% delle applicazioni web .NET scansionate erano vulnerabili
  • Il 10% delle applicazioni web Java scansionate erano vulnerabili

Ciò significa che il PHP è il linguaggio di sviluppo meno sicuro?

Mentre molti sviluppatori e professionisti della sicurezza acconsentirebbero a tale affermazione, non è così semplice effettuare tale confronto, perché:

  • Abbiamo scansionato molte più applicazioni costruite con PHP che con qualsiasi altro linguaggio (90% delle applicazioni scansionate)
  • PHP è il linguaggio più comunemente usato per le applicazioni web open source
  • PHP è il linguaggio più semplice da imparare dei tre, quindi attrae nuovi sviluppatori, che sono più propensi a fare molti errori.

In che modo è cambiata la sicurezza delle applicazioni Web dal 2016?

Rispetto ai risultati dei test dello scorso anno, è chiaro che le vulnerabilità XSS rimangono di gran lunga il tipo più comune di vulnerabilità che si può trovare nelle applicazioni web open source.
Il motivo di ciò è che gli sviluppatori che vogliono fornire una ricca interazione nelle moderne applicazioni web utilizzano JavaScript lato client.

Mentre le vulnerabilità SQL Injection dello scorso anno si sono classificate al secondo posto, quest'anno le vulnerabilità di Frame Injection le hanno sostituite. I principali linguaggi di sviluppo, framework e server di database rimangono gli stessi.

Quali provedimenti hanno preso chi sviluppa applicazioni open source?

Se consultate la lista Advisories delle Applicazioni Web Advisories by Netsparker, potete notare che sono stati pubblicati 32 avvisi nel 2017. Inoltre ci sono 28 avvisi in sospeso. Di questi 32, 28 venditori sono stati contattati. Delle 59 applicazioni web  segnalate con vulnerabilità, solo 6 sono state risolte. Il numero di avvisi con vulnerabilità multiple era 3. 

Il vostro progetto Open Source trarrebbe vantaggio dalle scansioni gratutie di vulnerabilità del Web?

Sulla base delle ultime statistiche, un'applicazione web selezionata casualmente può includere una media di 2,25 vulnerabilità. Gli sviluppatori potrebbero eliminare molte di queste prendendo in considerazione le migliori pratiche in materia di sicurezza durante l'SDLC.

Il tuo team ha il tempo di condurre test di penetrazione per trovarli tutti? E sai cosa fare per rimuovere la vulnerabilità e determinare se una certa vulnerabilità può considerarsi risolta? Vorresti avere accesso a una soluzione di scansione di sicurezza delle applicazioni Web automatizzata che li rilevi tutti e offrire consigli di riparazione?

Netsparker offre Scansioni di sicurezza Gratuite Online per le applicazioni web dei progetti open source. I progetti open source come OpenCart hanno già utilizzato con successo le scansioni di sicurezza di applicazioni Web gratuite e automatizzate di Netsparker. Provalo anche tu!

 

Fonte: https://www.netsparker.com/blog/web-security/state-security-open-source-web-applications-2018/

ULTIMI AGGIORNAMENTI