5 phút để đọc
Là một nền tảng bảo mật ứng dụng web và ứng dụng web, một phần công việc tại CyStack là liên tục theo dõi, cập nhật và đưa các các bản vá, công cụ phát hiện các lỗ hổng bảo mật ứng dụng web mới. Báo cáo diễn biến bảo mật ứng dụng web năm 2017 là một báo cáo được trích xuất từ kết quả công việc của chúng tôi, kết hợp một số nguồn dữ liệu về bảo mật khác trên thế giới.
Việc có được loại dữ liệu này cho phép chúng tôi phân tích tất cả các lỗ hổng trong ứng dụng web và cập nhật các mẫu nhận dạng, cơ chế phòng chống vào sản phẩm để bảo vệ tốt hơn cho khách hàng. Giúp nhận biết các xu hướng và những thay đổi đáng kể trong diễn biến an ninh mạng. Chúng ta cùng nhìn lại năm 2017 để hiểu những thay đổi và xu hướng về bảo mật ứng dụng web trong năm qua.
Năm 2017 ghi nhận một số lượng lớn các lỗ hổng trong ứng dụng web, bao gồm các danh mục nổi tiếng như Cross-site scripting (XSS), nhưng cũng có các loại mới như lỗ hổng Deserialization. WordPress và PHP tiếp tục “thống trị” lần lượt các lỗ hổng được công khai trong hệ thống quản lý nội dung và các công nghệ server-side.
Thống kê lỗ hổng bảo mật ứng dụng web năm 2017
Một trong những số liệu thống kê đầu tiên là số lượng lỗ hổng bảo mật ứng dụng web đã được phát hiện và đưa ra vào năm 2017, đã có rất nhiều sự thay đổi so với năm 2016.
-
Số lỗ hổng bảo mật trong ứng dụng web trong năm 2016-2017
Tổng số lỗ hổng mới xuất hiện trong năm 2017 là 14.082, đã tăng đáng kể (212%) so với năm 2016 (6.615). Trong số các lỗ hổng ứng dụng web có đến hơn 50% lỗ hổng đã được công khai mà tin tặc có thể lợi dụng để khai thác và tấn công ứng dụng web. Ngoài ra, hơn 1/3 lỗ hổng trong ứng dụng web chưa có giải pháp khắc phục, chẳng hạn như việc nâng cấp phần mềm hoặc vá lỗ hổng phần mềm.
Lỗ hổng Cross-site scripting (XSS) chiếm phần lớn (8%) trong số lỗ hổng trong ứng dụng web 2017. Trên thực tế, số lượng lỗ hổng đã tăng gấp đôi kể từ năm 2016.
Lỗ hổng bảo mật ứng dụng web trong OWASP Top 10
Năm 2017, OWASP đã công bố danh sách OWASP Top 10, bao gồm rủi ro mới liên quan đến lỗ hổng Deserialization.
Serialization là quá trình biên dịch cấu trúc dữ liệu hoặc trạng thái của đối tượng thành một định dạng có thể được lưu trữ (ví dụ như trong một tệp hoặc bộ đệm bộ nhớ) hoặc đường truyền (ví dụ qua một liên kết kết nối mạng) và sau đó được tái tạo lại thành đối đượng (Deserialization). Việc này được sử dụng rộng rãi trong RPC, HTTP, cơ sở dữ liệu, v.v.
-
Số lượng và loại OWASP Top 10 lỗ hổng 2014-2017
Lỗ hổng Derialization đã xuất hiện từ nhiều năm trước và tăng đáng kể trong năm 2016-2017. Ngày càng có nhiều ứng dụng sử dụng API chuẩn để giao tiếp với các Client làm xuất hiện ngày một nhiều lỗ hổng. Một số trong các API này lấy các đối tượng tuần tự hóa và giải phóng chúng trở lại, điều này có thể giải thích xu thế ngày càng tăng của các lỗ hổng Deserialization không an toàn. Khi các lập trình viên thực hiện các thao tác Deserialization và serialization từ đó làm xuất hiện những lỗ hổng nghiêm trọng.
Lỗ hổng trong CMS
Khi phân tích khuôn khổ các hệ thống quản lý nội dung (CMS), chúng tôi đã quyết định tập trung vào bốn nền tảng hàng đầu chiếm 60% thị phần – đó là WordPress, Joomla, Drupal và Magento.
Như dự đoán, lỗ hổng WordPress tiếp tục chiếm phần lớn nhất trong tất cả các lỗ hổng liên quan đến CMS. Đã có 418 lỗ hổng WordPress trong năm 2017, tăng khoảng 400% kể từ năm 2016.
Phân tích thêm về các lỗ hổng của WordPress cho thấy rằng 75% lỗ hổng trong năm 2017 bắt nguồn từ các plugin của nhà cung cấp bên thứ ba. Sự gia tăng số lượng lỗ hổng có thể được giải thích bởi sự phát triển của WordPress và bởi vì vấn đề bảo mật không tốt mã plugin của bên thứ ba.
| NĂM | SỐ LƯỢNG CÁC PLUGIN WORDPRESS |
| 2015 | 41.347 |
| Năm 2016 | 48.044 |
| Năm 2017 | 53.357 |
Lỗ hổng công nghệ backend
PHP vẫn là ngôn ngữ server-side phổ biến nhất, do đó dự kiến sẽ dẫn đến số lượng lỗ hổng cao nhất. Năm 2017, 44 lỗ hổng trong PHP đã được tìm thấy, giảm đáng kể (143%) so với số lỗ hổng của PHP vào năm 2016 (107). Vào cuối năm 2015, PHP đã phát hành phiên bản 7.0, sau gần một năm rưỡi và không có bản cập nhật, điều này giải thích cho sự gia tăng số lượng lỗ hổng trong năm 2016. Năm 2016, PHP phát hành một phiên bản nhỏ 7.1 giúp giảm số lượng các lỗ hổng trong năm 2017.
Tổng kết
Năm 2017 đã có rất nhiều sự thay đổi tổng thể về bảo mật ứng dụng web, số lượng ứng dụng web tăng hơn nhiều so với các năm 2016. Năm 2017, do sự dịch chuyển của công nghệ Web, một số lỗ hổng mới ở mức độ nguy hiểm cũng đã xuất hiện. XSS (Cross Site Scripting) vẫn là lỗ hổng phổ biến và nguy hiểm nhất trên thế giới web, càng nhiều website xây dựng trên javascript khiến lỗ hổng XSS càng có đất diễn.
Việc cập nhật các lỗ hổng bảo mật này liên tục rất tốn thời gian và chi phí của các nhà phát triển ứng dụng web, doanh nghiệp. Việc sử dụng một Platform làm nền tảng cơ bản để triển khai các giải pháp bảo mật như: Giám sát, Antivirus cho ứng dụng web, Quét lỗ hổng và tường lửa ứng dụng web, các bản vá ảo… là những xu hướng cần thiết để vận hành một website an toàn và liên tục.