Эксперты Web Application Security Consortium (WASC) представили собственную статистику уязвимостей интернет-приложений за прошлый год – WASC Web Application Security Statistics Project 2008.
Как сообщает сайт Cybersecurity.ru, эта статистика включает сведения, полученные в результате аудитов безопасности, тестирований на проникновение и других работ, которые были проведены компаниями, состоящими в WASC: HP Application Security Center, Positive Technologies, Veracode, WhiteHat Security, Blueinfy, Cenzic, dns, encription limited. Статистка была получена на базе анализа информации о 12 тысяч Web-приложений, в которых, по словам экспертов, имеется в совокупности около 97 000 уязвимостей различной степени риска.
Свыше 13% исследованных интернет-ресурсов могут быть скомпрометированы автоматически, при этом 49% Web-приложений имеют уязвимости большой степени риска, найденные в режиме автоматического сканирования систем, а также при детальной автоматизированной и ручной оценке способом «белого ящика» шанс нахождения уязвимости достигает 80-96%.
Проверка на соответствие стандартам сферы платежных карт PCI DSS (Payment Card Industry Data Security Standard) продемонстрировала, что шанс найти тут уязвимость высокой степени риска составляет свыше 86%, а при реализации глубоко анализа 99% интернет-приложений оказываются несоответствующими требованиям стандарта.
По статистике, самыми распространенными уязвимостями считаются «Межсайтовое выполнение сценариев», «Внедрение операторов SQL», разные виды утечки сведений (Information Leakage), «Расщепление HTTP-запроса». Относительно 2007 года, количество сайтов с SQL Injection сократилось на 13%, с Cross-site Scripting – сразу на 20%, но при этом число сайтов с Information Leakage увеличилось на 24%, а вероятность автоматической компрометации узлов возросла с 7% до 13%.
Если сравнить статистику WASC с аналогичными данными по российскому рынку за 2008 год, которые представила компании Positive Technologies, то можно констатировать, что ситуация фактически идентичная – 83% сайтов Рунета имеют те или иные критичные уязвимости, а самой распространенной уязвимостью является «Межсайтовое выполнение сценариев».
Руководитель проекта WASC Web Application Security Statistics Project – Сергей Гордейчик, который по совместительству также является главой отдела консалтинга и аудита компании Positive Technologies, говорит о полученных результатах следующее: «Статистика анализируется третий год подряд. Каждый год общее состояние безопасности интернет-сайтов ухудшается. Рост числа уязвимых систем связан с улучшением качества автоматизированных инструментов проверки защищенности и соответствующих «хакерских» утилит. Кроме того, свою роль также сыграло увеличение доли динамических интернет-приложений, у которых зачастую серьезные проблемы с безопасностью».
