суббота, 9 июня 2012 г.

СОИБ. Статистика уязвимостей web-приложений за 2010-2011 годы


Компания Positive Technologies выпустила интересный отчет о статистике обнаруженных уязвимостей за  2010-2011 годы.

К сожалению, в отчет не попали результаты исключительно автоматизированного анализа приложений. Только ручной и комбинированный анализ, а количество сайтов всего 123 за 2 года. Маловато для того чтобы делать выводы по определенным отраслям или вести поквартальную статистику. (Собственно, какой интерес в поквартальной статистике, кроме информации о квартальной загруженности специалистов Positive Technologies.)

Но большая часть выводов из анализа интересны:
·        Все анализировавшийся в web-приложения имели уязвимости как минимум среднего уровня (в 2011 году) и 64% приложений имели уязвимости высокого уровня.
·        Наиболее популярные критические уязвимости
o   Cross-Site Request Forgery в 61% приложений
o   SQL Injection в 47% приложений
o   OS Commanding в 28% приложений
o   Path Traversal в 28% приложений
·        Причем для web приложений на PHP наиболее характерны Cross-Site Request Forgery, SQL Injection, Path Traversal, для ASP.NET - Cross-Site Request Forgery, SQL Injection, для Java - Cross-Site Request Forgery, OS Commanding.
·        Наибольший процент критических уязвимостей в приложениях отрасли Телекоммуникаций - 88%, а наименьший процент в финансовом секторе – 44%.
·        В системах ДБО встречаются в основном уязвимости среднего уровня (90%). То есть наиболее критические возможные уязвимости проверяются разработчиком, а уязвимости низкого уровня не встречаются в силу назначения ДБО.
·        Только 10% приложений финансового сектора соответствует требованиям PCI DSS.

В плане 100% наличия уязвимостей в web приложениях очень актуальны становятся специализированныесредства защиты веб приложений.

Комментариев нет: