Опрос специалистов по Web Application Security (январь)
Ранее я уже писал о декабрьский опрос Web Application Security Professionals Survey, которое провел Джеремия Гроссман. А сейчас расскажу вам о результатах январского Web Application Security Professionals Survey (в котором я принимал участие ).
Вопрос:
1) What type of organization do you work for?
A) Security vendor / consultant (60 %)
b) Enterprise (9 %)
c) Government (9 %)
d) Educational institution (5 %)
e) Other (14%) ( #) No Answer (2 %)
2) How would you rate your technical expertise in web application security
a) Guru (21 %)
b) Expert (47%) (# ) c) Intermediate (28 %)
d) Novice (2 %)
e) I am Nessus (0 %)
No Answer (2 %)
3) What was your background before entering the web application security field
a) Software Development (53 %)
b) IT (16 %)
c) QA (0 %)
d) Product / Project Management ( 2 %)
e) I’ll never tell! (2 %)
f) Other (please specify) (23 %)
No Answer (2 %)
4) From your experience, how many security professionals “get” web application security?
a) All or almost all (0 %)
b) Most (19 %)
c) About half (26 %)
d) Some (49 %)
e) None or very few (7 %)
5) What are your thoughts about the Universal XSS vulnerability in Adobe’s Acrobat Reader Plugin
a) Really bad (53 %)
b) Bad (37% )
c) Never heard of it (2 %)
d) Nothing new here, move along (5 %)
e) Please stop with the FUD! (2 %)
6) During your web application vulnerability assessments, how many websites where that DID NOT have at least one relatively severe vulnerability
a) All or almost all (2 %)
b) Most (2 %)
c) About half (2 %)
d) Some (19 %)
e) None or very few (74 %)
7) What’s your preferred acronym for Cross Site Request Forgery
a) CSRF (58 %)
b) XSRF (19 %)
c) Neither, I prefer Session Riding (7 %)
d) No preference (16 %)
Does using Ajax technology open up new website attacks
a) Yes (9 %)
b) Yes, it adds some new things (35%) ( #) c) No, but it increases the attacks surface (40 %)
d) Nothing new here, move along (5 %)
e) Other (9 %)
No Answer (2%)
9) Your recommendation about using web application firewalls
a) Two thumbs up (21 %)
b) One thumb up (47 %)
c) Thumbs down (12% )
d) Profane gesture (9 %)
No Answer (5 %)
10) How would describe the current state of web browser security
a) Rock solid (2% )
b) Could be better (51 %)
c) Swiss cheese, fix it! (44 %)
No Answer (2 %)
11) Name your Top 3 web application security resources
Первая тройка:
http://ha.ckers. org
http://www.owasp.org
http://jeremiahgrossman.blogspot.com
12) What are your Top 3 tools to find vulnerabilities in websites
(# ) Первая тройка:
Paros
Burp Suite
By Hand / My Brain
13) What are the Top 3 types of website attacks we’re most likely to see a lot more of in 2007
Первая тройка:
Cross-Site Scripting
Cross-Site Requests Forgery
Web Worms
14) What was your information security New Year’s resolution (# )
Первая тройка:
Less projects, more quality
To spend more time with my wife and less time thinking about security
Finding vulnerabilities in FireFox
15) What’s the first thing you have or plan to learn / research / try / code / write in 2007?
Первая тройка:
XSS / CSRF combo attacks
Adding embedded Ruby support to a popular hex editor to make it the Emacs of reverse engineering
Universal XSS Worm, but only as a PoC and personal information gain
Результаты опроса весьма интересны. Кстати, на этот раз помимо статистических данных, Джеремия также привел цитаты опрошенных специалистов
Как видно из ответов на вопрос 4, респонденты считают, что не все секюрити профессионалы (и даже только небольшая часть) понимаются на веб безопасности. О чем я также регулярно напоминаю, когда пишу про дырки на секюрити сайтах. И как видно из ответов на вопросы 5, большинство (как и я) считает универсальную XSS в PDF опасной уязвимостью. По вопросу 9 видно, что мнения по поводу фаерволы для веб приложений (WAF) разделились. Кстати, Джеремия среди обнародованных цитат привел и мою, о том, что WAF сейчас не очень полезны, и что я разработал технику обхода WAF (в частности mod_security), о чем я планирую написать статью
По вопросу 6 видно, что респонденты считают, что большинство сайтов имеют серьезные уязвимости. И как видно из вопроса 10, большинство опрошенных (95%) считает, что безопасность браузеров требует уточнения. Кстати, ha.ckers.org, заняв первое место по результатам вопроса 11, является также и моим любимым webappsec ресурсом. А результаты вопросы 13 сильно пересекаются с моими прогнозами на 2007 год (более XSS, фишинга и веб червей ).
Отмечу, что в статистических данных есть небольшие ошибки (не всегда совпадает 100%), о чем я уже сообщил Джеремии. Но результаты дают возможность оценить современное состояние отрасли.
2144
