Подразделением X-Force, компании IBM, опубликован очередной аналитический отчет "X-Force® 2009 Trend and Risk Report". В отчете охвачены следующие наборы данных:
- Уязвимости в целом (раскрытие уязвимостей, уровень опасности, вероятности эксплуатации, распределение уязвимостей по вендору и т.д.).
- Уязвимости и угрозы Web-приложений
- Уязвимости и угрозы на стороне клиента (client-side)
- Угрозы просмотра нежелательного контента
- Вредоносные программы
- Спам
- Фишинг
X-Force признают, что наиболее распространенными типами угроз в настоящее время, являются уязвимости Web-приложений. Так выглядит динамика обнаруженных уязвимостей с 1998 года:
Рассматривая динамику уязвимостей с 2004 по 2009 год, X-Force приводит следующие результаты:
То есть, наиболее распространенными уязвимостями, связанными с разработкой Web-приложений, являются "Внедрение операторов SQL" (SQL Injection) [CWE-89, OWASP A2, WASC-19, WHID: SQL Injection], "Межсайтовое выполнение сценариев" (Cross-Site Scripting, XSS) [CWE-79, OWASP A1, WASC-8, WHID: XSS] и "Инклюдинг файлов" (File Include) [CWE-98, OWASP A3, WASC-33, WHID: LFI], что в целом сходится с результатами статистики Positive Technologies [1,2,3] и с результатами международной статистики Web Application Security Consortium [4].
По данным X-Force, частота обнаружения уязвимости "Подделка HTTP-запросов" (Cross-Site Request Forgery) [CWE-352, OWASP A5, WASC-9, WHID: CSRF] выросла за год почти на 40%. Это объясняется повышенным вниманием к указанной уязвимости в последнее время.
Впечатляющие цифры можно увидеть на графике автоматизированных сканирований за 2009 год (до 70,000,000 обнаруженных уязвимостей Cross-Site Scripting на большом скопе сканируемых узлов):
А так выглядит график срока публикации эксплоита с момента разглашения уязвимостей (client-side):
И разумеется соотношение наиболее опасных уязвимостей по вендору:
Но и 14% уязвимостей Adobe, в соотношении с другими производителями, было достаточно, чтобы к концу 2009 года стать одним из наиболее популярных векторов осуществления атаки на клиента:
Ознакомиться с полным содержимым отчета можно на сайте IBM по адресу: www.servicemanagementcenter.com
- Уязвимости в целом (раскрытие уязвимостей, уровень опасности, вероятности эксплуатации, распределение уязвимостей по вендору и т.д.).
- Уязвимости и угрозы Web-приложений
- Уязвимости и угрозы на стороне клиента (client-side)
- Угрозы просмотра нежелательного контента
- Вредоносные программы
- Спам
- Фишинг
X-Force признают, что наиболее распространенными типами угроз в настоящее время, являются уязвимости Web-приложений. Так выглядит динамика обнаруженных уязвимостей с 1998 года:
Рассматривая динамику уязвимостей с 2004 по 2009 год, X-Force приводит следующие результаты:
То есть, наиболее распространенными уязвимостями, связанными с разработкой Web-приложений, являются "Внедрение операторов SQL" (SQL Injection) [CWE-89, OWASP A2, WASC-19, WHID: SQL Injection], "Межсайтовое выполнение сценариев" (Cross-Site Scripting, XSS) [CWE-79, OWASP A1, WASC-8, WHID: XSS] и "Инклюдинг файлов" (File Include) [CWE-98, OWASP A3, WASC-33, WHID: LFI], что в целом сходится с результатами статистики Positive Technologies [1,2,3] и с результатами международной статистики Web Application Security Consortium [4].
По данным X-Force, частота обнаружения уязвимости "Подделка HTTP-запросов" (Cross-Site Request Forgery) [CWE-352, OWASP A5, WASC-9, WHID: CSRF] выросла за год почти на 40%. Это объясняется повышенным вниманием к указанной уязвимости в последнее время.
Впечатляющие цифры можно увидеть на графике автоматизированных сканирований за 2009 год (до 70,000,000 обнаруженных уязвимостей Cross-Site Scripting на большом скопе сканируемых узлов):
А так выглядит график срока публикации эксплоита с момента разглашения уязвимостей (client-side):
И разумеется соотношение наиболее опасных уязвимостей по вендору:
Но и 14% уязвимостей Adobe, в соотношении с другими производителями, было достаточно, чтобы к концу 2009 года стать одним из наиболее популярных векторов осуществления атаки на клиента:
Ознакомиться с полным содержимым отчета можно на сайте IBM по адресу: www.servicemanagementcenter.com
http://insecurity.baywords.com/index.php/ibm-full-disclosure-sql-injection/
ОтветитьУдалить:|
ха-ха =)))
ОтветитьУдалить