Исследовательская лаборатория PT Research Lab компании Positive Technologies, российского разработчика системы контроля защищенности и соответствия стандартам MaxPatrol и сканера безопасности XSpider, представила статистику уязвимостей веб-приложений за 2009 г. В этом году были проанализированы данные о 5560 веб-приложениях, протестированных специалистами компании Positive Technologies в ходе предоставления консалтинговых и сервисных услуг по информационной безопасности, таких как: тесты на проникновение, анализ защищенности в рамках стандарта PCI DSS и мониторинг защищенности внешнего периметра с использованием системы MaxPatrol.Практически половина проанализированных систем содержали уязвимости. Суммарно во всех приложениях было обнаружено 13434 ошибок различной степени риска, зафиксировано 1412 образцов вредоносного кода, содержащихся на страницах уязвимых систем. Доля скомпрометированных сайтов, распространявших вредоносное программное обеспечение, составила 1,7%. Каждый из таких сайтов содержал уязвимости, позволяющие выполнять команды на сервере, что подтверждает возможность использование этих уязвимостей для компрометации системы. Основной результат исследования неутешителен. Вероятность обнаружения критичной ошибки в веб-приложении автоматическим сканером составляет около 35% и достигает 80% при детальном экспертном анализе. Этот факт демонстрирует невысокую защищенность современных веб-приложений не только от атак со стороны квалифицированных злоумышленников, но и от действий атакующих, вооруженных готовыми утилитами для «автоматического взлома».Как и ранее, наиболее распространенными ошибками, допускаемыми разработчиками приложений, являются уязвимости «межсайтовое выполнение сценариев» и «внедрение операторов SQL», на которые пришлось более 19% и 17% всех обнаруженных уязвимостей соответственно.Сравнение результатов с отчетами предыдущих четырех лет показал, что ситуация со степенью защищенности веб-приложений в 2009 г. в целом улучшилась. Так, анализ устранения уязвимостей на 768 сайтах, проверявшихся в 2008 и 2009 г., показал, что более 60 процентов владельцев устранили все критичные уязвимости в течение года и существенно повысили защищенность своих ресурсов. Полную версию отчета в pdf-формате Вы можете скачать на сайте компании: http://www.ptsecurity.ru/analytics.asp
-
-
- Туркменистан - Китай: расширяя пути сотрудничества В Адыгее милиционера обвиняют во взяточничестве Рассмотрены вопросы бюджетирования, ориентированного на результат ОБСЕ и СЕ признали парламентские выборы в Молдове соответствующими международным стандартам Туркменистан - Китай: расширяя пути сотрудничества Шахматы: на Всемирной олимпиаде Двум охотникам в Кабардино-Балкарии удалось спастись от нападавших На ремонт дорог Магадана выделят 80 миллионов рублей В Армении будет работать новая виртуальная Ассоциация для бизнесменов Подозрительность на грани идиотизма Казахская красота очаровала Варшаву Итоги очередного заседания Кабинета Министров Программа InWEnt “Региональное развития экономики в Центральной Азии” Взаимовыгодное сотрудничество Адыгея не может обеспечить себя продовольствием Туркменистан и ОБСЕ развивают сотрудничество в области совершенствования избирательного законодательства Туркменистан - МККК: развитие сотрудничества Всемирному Совету Кредитных Союзов исполнилось 40 лет
-
-