Вначале прошлого месяца компанией WhiteHat Security была опубликована статистика уязвимостей в веб-приложениях за 2009 год. Десятка "лидеров" выглядит следующим образом:
То есть, проблемы все те же – межсайтовое выполнение сценариев, различные варианты утечки информации, уязвимости в контексте механизмов авторизации, внедрение операторов SQL и др.
Рассматривая уязвимости в веб-приложениях по уровню риска, в контексте стандарта безопасности в индустрии пластиковых карт (PCI DSS), WhiteHat Security приводит следующие цифры:
Таким образом, ровно как и по данным компании Positive Technologies, большинство веб-приложений не соответствуют требованиям стандарта PCI DSS.
С полным отчетом WhiteHat Security за 2009 год можно ознакомиться здесь.
>>Таким образом, ровно как и по данным компании Positive Technologies, большинство веб-приложений не соответствуют требованиям стандарта PCI DSS.
ОтветитьУдалитьРечь идет о веб-приложениях вообще или же функционирующих исключительно в рамках индустрии пластиковых карт? И если все таки первое, то как дела обстоят с уязвимостями веб-приложений, работающих в «пластиковой» индустрии?
Скоп приложений, которые рассматривает WhiteHat Security – это все проанализированные веб-приложения с 2006 по 2009 год. См. раздел "Comparing Industry Verticals", там приведено разделение компаний по отрасли. К слову, статистика PT аналогичным образом охватывает все публичные веб-приложения в целом (в нашем случае, обязательным условием является то, что приложение доступно со стороны Интернет).
ОтветитьУдалитьОтвечая на второй вопрос, дела обстоят не слишком хорошо. По собственному опыту, системы дистанционного банковского обслуживания при первичном анализе содержат различные уязвимости. От SQL-инъекций и XSS до session fixation и CSRF. Если обратиться к реальным инцидентам, то по данным 7Safe, 85% всех реализованных атак с последующим хищением данных пластиковых карт – это реализованные атаки на веб-приложения. Кстати, инцидент с Heartland Payment Systems – это последствия эксплуатации SQL-инъекции... В общем дела обстоят не шибко хорошо, а над конкретными метриками мы работаем :)