WASC Announcement: 2008 Web Application Security Statistics Published

Опубликована статистика уязвимостей Web-приложений за 2008 г. консорциума Web Application Security Consortium (WASC). Ознакомиться с ней можно здесь.

Публикация содержит обзорную статистику уязвимостей Web-приложений, полученную в ходе работ по тестированиям на проникновение, аудитов безопасности и других работ, проводимых Компаниями, входящими в консорциум WASC в 2008 году. Всего статистика содержит данные о 12186 сайтах, в которых было обнаружено 97554 уязвимости различной степени риска.

В результате собранных данных было получено 4 набора данных:
  • суммарная статистика по всем видам работ;
  • статистика по автоматическому сканированию;
  • статистика по оценке защищенности методом черного ящика;
  • статистика по оценке защищенности методом белого ящика.

Анализ полученных данных показывает, что более 13% всех проанализированных сайтов может быть скомпрометировано полностью автоматически. Около 49% Web-приложений содержат уязвимости высокой степеней риска (Urgent и Critical), обнаруженные при автоматическом сканировании систем. Однако при детальной ручной и автоматизированной оценке методом белого ящика вероятность обнаружения таких уязвимостей высокой степени риска достигает 80-96%. Вероятность же обнаружения уязвимостей степени риска выше среднего (критерий соответствия требованиям PCI DSS) составляет более 86% при любом методе работ. В то же время при проведении более глубокого анализа 99% Web-приложений не удовлетворяет требованиям стандарта по защите информации в индустрии платежных карт.


Сравнивая международную статистику уязвимостей Web-приложений (WASC) с ее Российским аналогом (статистика Positive Technologies), будут получены данные приведенные на рисунке ниже.


Как можно заметить, в разработанных Web-приложениях нашими соотечественниками, гораздо чаще встречаются уязвимости типа "Внедрение операторов SQL". С другой стороны, западными разработчиками, зачастую допускаются ошибки в программировании Web-приложений, связанные с различными вариантами утечки информации, недостаточной аутентификацией в приложении, а также, с не менее критичной уязвимостью, чем SQL Injection – "Обратный путь в директориях" (до сих пор используют файлы вместо СУБД?:)).

Локализованная версия статистики уязвимостей Web-приложений за 2008 г. консорциума WASC в ближайшее время будет доступна на портале securitylab.

4 комментария :