Исследовательская лаборатория PT Research Lab компании Positive Technologies опубликовала статистику уязвимостей веб-приложений за 2009 год.Проведенные исследования, в рамках которых было подвергнуто тестам 5560 интернет-приложений, продемонстрировали крайне низкий уровень защиты представленных на рынке решений: практически половина проанализированных систем содержали уязвимости, а доля скомпрометированных сайтов, распространявших вредоносное программное обеспечение, составила 1,7%.Полученные экспертами данные показали, что вероятность обнаружения критичной ошибки в веб-приложении автоматическим сканером составляет около 35% и достигает 80% при детальном экспертном анализе. Этот факт демонстрирует невысокую защищенность онлайновых продуктов не только от атак со стороны квалифицированных злоумышленников, но и от действий атакующих, вооруженных инструментами для «автоматического взлома».При этом наиболее распространенными ошибками, допускаемыми разработчиками, являются уязвимости «межсайтовое выполнение сценариев» (Cross-Site Scripting) и «внедрение операторов SQL» (SQL Injection), на которые пришлось более 19% и 17% всех обнаруженных уязвимостей соответственно.Сравнение результатов с отчетами предыдущих четырех лет показало, что ситуация с защищенностью веб-приложений в прошлом году в целом улучшилась. Так, анализ устранения уязвимостей на 768 сайтах, проверявшихся в 2008 и 2009 годах, показал, что более 60 процентов владельцев устранили все критичные уязвимости в течение года и существенно повысили защищенность своих ресурсов. Регулярный анализ защищенности веб-приложений и налаженный процесс устранения выявленных недостатков позволяют за год уменьшить число уязвимых сайтов в среднем втрое.По словам специалиста по информационной безопасности Positive Technologies Дмитрия Евтеева, развитие систем контроля защищенности, безопасных платформ и средств разработки, проактивных средств защиты и межсетевых экранов уровня приложения (Web Application Firewall) начинает приносить свои плоды. Однако, как и раньше, большая часть уязвимостей приходится на ошибки администрирования и могла быть устранена использованием безопасных конфигураций систем и приложений и использованием базовых функций защиты.
-
Recent Posts
- Ситуация в Афганистане – прямая угроза безопасности Армении: депутат
- ПРО ПУТЕШЕСТВИЕ НА ПЛОТУ
- Отзыв об отеле Грэйсланд энд Хилтон Пхукет Таиланд ОТЗЫВЫ ТУРИСТОВ
- Мубарак получил гарантии безопасности
- Мимо чемпионата: звезды, которых не увидят в ЮАР
- Британская полиция не знает об отравлении Литвиненко
- США превосходят Россию по количеству боеголовок на 1500 единиц
- Айзек Азимов, “Выборы"
- Русского программиста банка Goldman Sachs обвинили в краже коммерческих секретов
- Как меня купали в проруби