Vulnerabilities in the wild : detecting vulnerable web applications at scale

Abstract

Web-sovellukset ovat suosittu kohde pahansuoville hyökkäyksille. Yleisissä web-sovelluksista voi löytyä useita haavoittuvuuksia vuoden aikana, joten on tärkeää päivittää sovelluksia aktiivisesti, jos niihin tulee tietoturvapäivityksiä. Harvoin näissä sovelluksissa on kuitenkaan automaattisia päivityksiä, joten järjestelmien päivittäminen on usein käyttäjän harteilla. Jos järjestelmä joutuu hyökkäyksen kohteeksi, sitä ei pelkästään saateta käyttää sivuston omistajaa vastaan, vaan myös aiheuttamaan haittaa sen käyttäjille. Mikäli web-sovellusten päivitystavat olisivat paremmin tiedossa, voitaisiin päivityskäytäntöjä parantaa tämän tiedon pohjalta.

Tutkielman tavoitteena on muodostaa menetelmä internetin laajuiseen web-sovellusten haavoittuvuuteen liittyvän metainformaation tiedonkeruuseen. Metodia tullaan testaamaan WordPress-sovellusta vastaan, joka on yksi suosituimmista avoimen lähdekoodin web-sovelluksista. Menetelmä on artefakti, joka kehitetään noudattaen kuusi askelta käsittävää suunnittelutieteen (Design Science) metodologiaa.

Tutkimuksen yhteydessä tehdään kaksi kirjallisuuskatsausta. Ensimmäinen kirjallisuuskatsaus on toteutettu web-sovelluksia käsittelevän tietoturvakirjallisuuden pohjalta ja se keskittyy yleisemmällä tasolla web-sovelluksiin. Tämän katsauksen avulla pyritään hahmottamaan, millaisia riskejä ja hyökkäyksiä vastaavat sovellukset yleensä kohtaavat. Toinen kirjallisuuskatsaus keskittyy web-sovellusten haavoittuuksien skannaukseen, minkä avulla on mahdollista arvioida paremmin ovatko nykyiset ratkaisut sopivia koko verkon kattavaan tiedonkeruuseen.

Kirjallisuuskatsausten pohjalta tutkimuksessa muodostetaan menetelmä Internetin laajalle web-sovellusten informaation keruulle. Metodin testauksen ja arvioinnin tuloksena voidaan todeta, että modernit laajennettavat ZMap projektin luomat avoimeinlähdekoodin työkalut ovat nopeita ja tehokkaita laaja-alaiseen skannaukseen ja informaation keruuseen. Censys projekti käyttää ZMap-työkalua aktiivisesti datan keruuseen tutkimuksia varten. Tässä tutkimuksessa käytetään Censys projektin keräämää dataa apuna metodin testauksessa. Testeissä saatujen tuloksien perusteella on pääteltävissä, että varsin suurella osalla WordPress-asennuksista oli käytössä yli vuoden vanha versio sovelluksesta. Asennettujen versioiden tuoreudessa oli havaittavissa pieniä viitteitä siitä, että joillain mantereilla sijaitsevat asennukset olivat astetta tuoreempia kuin toisilla. Sillä oliko web-sovelluksen web-sivulle asennettu sertifikaatti, ei näyttänyt olevan juurikaan vaikutusta sovelluksen version tuoreuteen.

Web applications are a popular target for malicious attacks. Common web applications can have multiple different security flaws discovered within a timespan of a year. It is important and useful practice to keep these applications up to date to avoid possible exploitation of these flaws, but rarely these systems have great automatic update systems built in, so the maintenance tasks fall to the users. If system is hacked by a malicious party it might not only be used to harm the owner of the system but to also harm other parties. Knowing the current installation base of specific web applications allows reacting to possible problems within the patching practises.

This study aims to construct a method for collecting meta information regarding vulnerable web applications at Internet-wide scale. Web content management system WordPress has been chosen for the testing application of this method as it is one of the most popular open source web application used today. Construction process of this information gathering method followed the six steps of the Design Science Research Methodology. Web content management system (WCMS) security literature has been reviewed within this study, to gain knowledge of vulnerabilities and risks that WCMS applications face. These results are then compared to the vulnerabilities and risks facing other common web applications. Second literature review covers previous reputable studies comparing and discussing vulnerability scanning. The information gained from this second literature review allows us to understand how applicable these methods presented in vulnerability scanning literature are to large scale scanning.

With knowledge gained from these literature reviews a scanning method was created and tested. The testing proved that new kind of extendable open source scanning tools created by The ZMap Project are fast and efficient for internet wide web application information gathering. The Censys project actively uses ZMap to gather research data from internet. This study uses the research data collected by Censys for testing of the constructed method. The data gained from the testing showed that there are still quite many hosts which had over a year old versions of WordPress running. The results allowed exploration of the installation age differences between continents, but these differences were quite small. Web applications which had digital certificate installed had slightly more recent versions of WordPress installed, compared to the sites which had no certificate.