СОИБ. Статистика уязвимостей web-приложений за 2010-2011 годы


Компания Positive Technologies выпустила интересный отчет о статистике обнаруженных уязвимостей за  2010-2011 годы.

К сожалению, в отчет не попали результаты исключительно автоматизированного анализа приложений. Только ручной и комбинированный анализ, а количество сайтов всего 123 за 2 года. Маловато для того чтобы делать выводы по определенным отраслям или вести поквартальную статистику. (Собственно, какой интерес в поквартальной статистике, кроме информации о квартальной загруженности специалистов Positive Technologies.)

Но большая часть выводов из анализа интересны:
·        Все анализировавшийся в web-приложения имели уязвимости как минимум среднего уровня (в 2011 году) и 64% приложений имели уязвимости высокого уровня.
·        Наиболее популярные критические уязвимости
o   Cross-Site Request Forgery в 61% приложений
o   SQL Injection в 47% приложений
o   OS Commanding в 28% приложений
o   Path Traversal в 28% приложений
·        Причем для web приложений на PHP наиболее характерны Cross-Site Request Forgery, SQL Injection, Path Traversal, для ASP.NET - Cross-Site Request Forgery, SQL Injection, для Java - Cross-Site Request Forgery, OS Commanding.
·        Наибольший процент критических уязвимостей в приложениях отрасли Телекоммуникаций - 88%, а наименьший процент в финансовом секторе – 44%.
·        В системах ДБО встречаются в основном уязвимости среднего уровня (90%). То есть наиболее критические возможные уязвимости проверяются разработчиком, а уязвимости низкого уровня не встречаются в силу назначения ДБО.
·        Только 10% приложений финансового сектора соответствует требованиям PCI DSS.

В плане 100% наличия уязвимостей в web приложениях очень актуальны становятся специализированныесредства защиты веб приложений.

Комментарии

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3