Статистика уязвимостей веб-приложений за 2008 год
Компания Positive Technologies опубликовала данные по статистике уязвимостей веб-приложений за 2008 год.
По результатам отчета 83% сайтов имеют критичные уязвимости, а в 78-ми случаях из ста в программном обеспечении веб-приложения содержатся уязвимости средней степени риска. Корреляция информации между обнаруженными взломами веб-приложений и использованными при этом уязвимостями показала, что до 20% веб-приложений могут быть инфицированы автоматизированным способом.
Наиболее распространенной уязвимостью, как и в прошлом году, является межсайтовое выполнение сценариев - каждый второй сайт содержит подобную уязвимость, а остальное приходится на внедрение операторов SQL, различные варианты утечки информации, чтение произвольных файлов и подбор пароля.
По сравнению с результатами 2006 и 2007 годов ситуация несколько улучшилась, но уязвимости в веб-приложениях по-прежнему остаются одним из наиболее распространенных недостатков обеспечения защиты информации в организациях, и недооценка связанных с этим рисков является основным фактором текущего низкого состояния защищенности большинства из них.
Отчет основывался на данных, полученных экспертами компании Positive Technologies при выполнении консалтинговых проектов по заказу российских компаний различных секторов экономики, включая телекоммуникационный, финансовый и нефтегазовый секторы. В отчет вошли данные по 10 459 веб-приложениям, доступным из интернета. Суммарно во всех приложениях была обнаружена 33 931 ошибка различной степени риска. При анализе были задействованы различные методики проведения обследования, обнаруженные уязвимости классифицировались согласно Web Security Threat Classification международной организации Web Application Security Consortium.
© @Astera
