ГлавнаяНовости компанийИнтернет бизнесМеждународная статистика уязвимостей WEB-приложений за 2008 год

Международная статистика уязвимостей WEB-приложений за 2008 год

20.10.2009 00:00:00

Эксперты международной организации Web Application Security Consortium (WASC), объединяющей профессионалов в области безопасности Web-приложений, традиционно представили статистику уязвимостей WEB-приложений за 2008 год (WASC Web Application Security Statistics Project 2008). Обзорная статистика содержит данные, полученные в ходе тестирований на проникновение, аудитов безопасности и других работ, проведенных компаниями, входящими в WASC: Blueinfy, Cenzic, dns, encription limited, HP Application Security Center, Positive Technologies, Veracode и WhiteHat Security.

Статистика получена на основе анализа данных 12-ти тысяч Web-приложений, в которых, в общей сложности, было обнаружено более 97 тысяч уязвимостей различной степени риска. Как оказалось, более 13% исследованных сайтов могут быть полностью скомпрометировано автоматически, 49% Web-приложений содержат уязвимости высокой степеней риска (Urgent и Critical), обнаруженные при автоматическом сканировании систем, при детальной ручной и автоматизированной оценке методом "белого ящика" вероятность обнаружения уязвимостей высокой степени риска достигает от 80% до 96%. Проверка на соответствие требованиям стандарта индустрии платежных карт PCI DSS (Payment Card Industry Data Security Standard) показала, что вероятность обнаружения уязвимостей степени риска выше среднего составляет более 86% при любом методе работ, а при проведении глубокого анализа 99% Web-приложений не удовлетворяют требованиям стандарта.

Согласно статистике, наиболее распространенными уязвимостями являются "Межсайтовое выполнение сценариев" (Cross-Site Scripting), различные виды утечки информации (Information Leakage), "Внедрение операторов SQL" (SQL Injection), "Расщепление HTTP-запроса" (HTTP Response Splitting). По сравнению с 2007 годом число сайтов, содержащих SQL Injection, снизилось на 13%, Cross-site Scripting - на 20%, однако число сайтов, содержащих Information Leakage, возросло на 24%, также возросла вероятность автоматической компрометацииузлов с 7% до 13%. Если сравнить данные WASC с российской статистикой за 2008 год, выпущенной компанией Positive Technologies http://www.ptsecurity.ru/news_page.asp?id=47, можно отметить, что ситуация практически не отличается - 83% российских сайтов имеют критичные уязвимости, а одной из наиболее распространенных уязвимостей также является "Межсайтовое выполнение сценариев" (Cross-Site Scripting).

(русск.) и http://projects.webappsec.org/Web-Application-Security-Statistics (eng).

Web Application Security Consortium (WASC) www.webappsec.org - международная организация, объединяющая профессионалов в области безопасности Web-приложений. Проект WASC Web Application Security Statistics Project 2008 - совместная инициатива лидеров индустрии защиты Web-приложений, направленная на лучшее понимание природы уязвимостей Web-приложений. Основные цели проекта - идентификация распространенности и вероятности обнаружения уязвимостей различных классов и сравнение распространенных подходов к анализус целью выявления их сильных и слабых сторон.

Positive Technologies www.ptsecurity.ru - одна из ведущих российских компаний в области информационной безопасности. Основные направления деятельности компании - разработка системы контроля защищенности и соответствия стандартам MaxPatrol и сканера безопасности XSpider; предоставление консалтинговых и сервисных услуг в области информационной безопасности; развитие специализированного портала Securitylab.ru. Positive Technologies - это команда высококвалифицированных разработчиков, консультантов и экспертов,которые обладают большим практическим опытом, являются членами международных организаций и активно участвуют в развитии отрасли.

Positive Technologies одна из ведущих российских компаний в области информационной безопасности. Основные направления деятельности компании - разработка систем комплексного мониторинга информационной безопасности (XSpider, MaxPatrol); предоставление консалтинговых и сервисных услуг в области информационной безопасности; развитие специализированного портала Securitylab.ru. Positive Technologies - это команда высококвалифицированных разработчиков, консультантов и экспертов, которые обладают большим практическим опытом, являются членами международных организаций и активно участвуют в развитии отрасли. Москва www.ptsecurity.ru pr@ptsecurity.ru +7 495 7440144 Подписаться на новости компании

Похожие новости

Интернет бизнес Компьютерный бизнес
Промышленная группа «НЕКК» размещает свои закупки на ЭТП SETonline
Промышленная группа «НЕКК» присоединилась к числу клиентов компании ООО «СЭТОНЛАЙН». Инноваторы металлургической области уже разместили свои первые торгово-закупочные процедуры на электронной торговой площадке SETonline. 20.03.2014 15:02:56
Интернет бизнес Красота и здоровье
Произошло слияние компаний в холдинг цифровой репутации HDR
Холдинг цифровой репутации объединил в себе 3 интернет-сервиса по поиску специалистов и записи к ним на прием. Цель холдинга – формирование общедоступной оценки качества работы специалистов их клиентами, а именно цифрового профессионального рейтинга. 18.12.2013 14:14:29

Маркетинговые исследования