Опубликована международная статистика уязвимостей WEB-приложений

Москва, 18 сентября 2008 г.

Группа экспертов, входящая в Web Application Security Consortium, международную организацию, объединяющую профессионалов в области безопасности Web-приложений, опубликовала статистику уязвимостей безопасности Интернет-сайтов, обнаруженных в 2007 году. Данные были получены по результатам работ по оценке защищенности Web-приложений, проводимых в 2007 году компаниями Booz Allen Hamilton, BT, Cenzic, dblogic.it, HP Application Security Center, Positive Technologies, Veracode и WhiteHat Security. В статистику вошли два набора данных: результаты автоматического тестирования и результаты работ по оценке защищенности с использованием методов BlackBox и WhiteBox. Статистика содержит данные о более чем 32 000 Web-приложений, в которых было обнаружено около 70 000 уязвимостей различной степени риска.

Согласно статистике, наиболее распространенными уязвимостями являются Cross-Site Scripting, Information Leakage, SQL Injection и Predictable Resource Location. Анализ полученных данных показал, что более 7% всех проанализированных сайтов могут быть скомпрометированы полностью автоматически, а при детальной ручной и автоматизированной оценке вероятность обнаружения уязвимости высокой степени риска достигает 96,8%.

По словам лидера проекта, руководителя отдела консалтинга и аудита компании Positive Technologies Сергея Гордейчика, ситуация с защищенностью Web-приложений остается достаточно сложной. "Статистика показывает, что детальный анализ позволяет идентифицировать до 9 уязвимостей высокой степени риска на каждом из сайтов", - подчеркнул Сергей. Подробная информация: http://www.securitylab.ru/analytics/359068.php (русск.), http://www.webappsec.org/projects/statistics (eng).

___________________________________________________________________________

Web Application Security Consortium (WASC) www.webappsec.org – международная организация, объединяющая профессионалов в области безопасности Web-приложений. Проект WASC Web Application Security Statistics Project 2007 - совместная инициатива лидеров индустрии защиты Web-приложений, направленная на лучшее понимание природы уязвимостей Web-приложений. Основные цели проекта - идентификация распространенности и вероятности обнаружения уязвимостей различных классов и сравнение распространенных подходов к анализу с целью выявления их сильных и слабых сторон.

____________________________________________________________________________

Positive Technologies www.ptsecurity.ru - одна из ведущих российских компаний в области информационной безопасности. Основные направления деятельности компании - разработка систем комплексного мониторинга информационной безопасности (XSpider, MaxPatrol); предоставление консалтинговых и сервисных услуг в области информационной безопасности; развитие специализированного портала Securitylab.ru. Positive Technologies - это команда высококвалифицированных разработчиков, консультантов и экспертов, которые обладают большим практическим опытом, являются членами международных организаций и активно участвуют в развитии отрасли.