Тенденции уязвимостей межсайтовых сценариев и Internet Explorer

  • Article

Еще в 2005 году стало ясно, что межсайтовые сценарии (XSS) являются самым распространенным типом уязвимостей программного обеспечения. Более новое исследование, проведенное компанией Veracode с использованием данных из Базы данных случаев веб-хакерства, показывает, что XSS является наиболее распространенной уязвимостью в веб-приложениях и второй из уязвимостей, которые вероятнее всего будут использованы в реальных атаках.

Диаграмма, на которой показано, что межсайтовые сценарии (XSS) являются самой распространенной уязвимостью: затронуто 68 % веб-приложений. Утечка информации является вторым номером: затронуто 66 % веб-приложений.
Диаграмма любезно предоставлена компанией Veracode; используется с разрешения

Данные из центра Microsoft Security Response Center (MSRC) говорят о росте количества уязвимостей XSS, о которых было сообщено:

Диаграмма, на которой показан рост количества обнаруженных уязвимостей межсайтовых сценариев с 1 в 2004 г., 3 в 2005 г., 7 в 2006 г., 16 в 2007 г., 9 в 2008 г., 7 в 2009 г., 8 в 2010 г., 22 в 2011 г. до 39 в первой половине 2012 г.
Рост количества уязвимостей XSS, о которых было сообщено в 2004 – 2012 (первая половина) гг.

На приведенной выше диаграмме мы наблюдаем, что межсайтовые сценарии год за годом фактически начинают вытеснять в процентном отношении другие типы уязвимостей.

Чтобы помочь защитить пользователей, в Internet Explorer впервые реализовано множество перекрывающихся средств предотвращения воздействия уязвимостей XSS, в том числе файлы "cookie" httpOnly, security=restricted IFRAMES, toStaticHTML() и фильтр XSS в Internet Explorer. В Internet Explorer 10 реализована поддержка нового стандарта HTML5"песочницы" IFRAME, которая позволяет разработчикам веб-приложений более строго контролировать поведение внедренного контента. Мы планируем продолжать инвестиции в эту область, поскольку реальные данные продолжают демонстрировать рост относительного числа уязвимостей XSS на практике.

Чтобы проверить влияние фильтра XSS в Internet Explorer, мы провели подробный анализ всех уязвимостей, о которых было сообщено в центр MSRC в первой половине 2012 года. Этот анализ показал, что в настоящее время фильтр XSS в Internet Explorer применяется для 37 % всех легитимных уязвимостей, о которых было сообщено в MSRC. (Для сравнения, другой очень распространенный класс уязвимостей — безопасность памяти — является причиной 24 % уязвимостей в том же наборе данных.)

Фильтр XSS в Internet Explorer — это всего лишь один пример того, что наша стратегия предотвращения угроз, реализуемая в браузере, не ограничивается только средствами защиты памяти, такими как ASLR и DEP/NX. Поскольку все больше пользователей и организаций применяют веб-технологии, задача предотвращения воздействия уязвимостей межсайтовых сценариев и других уязвимостей в веб-приложениях становится все более важной. Мы с радостью наблюдаем положительное влияние средств предотвращения воздействия угроз, связанных с межсайтовыми сценариями, и будем непрерывно работать над внедрением новых средств в этой области.

— Дэвид Росс (David Ross), ведущий инженер по программным средствам обеспечения безопасности, Microsoft Security Response Center