Публикация содержит обзорную статистику уязвимостей Web-приложений, полученную в ходе работ по тестированиям на проникновение, аудитов безопасности и других работ, проводимых Компаниями, входящими в консорциум WASC в 2008 году. Всего статистика содержит данные о 12186 сайтах, в которых было обнаружено 97554 уязвимости различной степени риска.
В результате собранных данных было получено 4 набора данных:
- суммарная статистика по всем видам работ;
- статистика по автоматическому сканированию;
- статистика по оценке защищенности методом черного ящика;
- статистика по оценке защищенности методом белого ящика.
Анализ полученных данных показывает, что более 13% всех проанализированных сайтов может быть скомпрометировано полностью автоматически. Около 49% Web-приложений содержат уязвимости высокой степеней риска (Urgent и Critical), обнаруженные при автоматическом сканировании систем. Однако при детальной ручной и автоматизированной оценке методом белого ящика вероятность обнаружения таких уязвимостей высокой степени риска достигает 80-96%. Вероятность же обнаружения уязвимостей степени риска выше среднего (критерий соответствия требованиям PCI DSS) составляет более 86% при любом методе работ. В то же время при проведении более глубокого анализа 99% Web-приложений не удовлетворяет требованиям стандарта по защите информации в индустрии платежных карт.
Сравнивая международную статистику уязвимостей Web-приложений (WASC) с ее Российским аналогом (статистика Positive Technologies), будут получены данные приведенные на рисунке ниже.
Как можно заметить, в разработанных Web-приложениях нашими соотечественниками, гораздо чаще встречаются уязвимости типа "Внедрение операторов SQL". С другой стороны, западными разработчиками, зачастую допускаются ошибки в программировании Web-приложений, связанные с различными вариантами утечки информации, недостаточной аутентификацией в приложении, а также, с не менее критичной уязвимостью, чем SQL Injection – "Обратный путь в директориях" (до сих пор используют файлы вместо СУБД?:)).
Локализованная версия статистики уязвимостей Web-приложений за 2008 г. консорциума WASC в ближайшее время будет доступна на портале securitylab.
Вы просто скули лучше ищите чем они );
ОтветитьУдалитьУ них просто нет макспатрола! :)
ОтветитьУдалитьвсе верно %))
ОтветитьУдалитьпоявилось: http://www.securitylab.ru/analytics/386759.php
ОтветитьУдалить