49% веб-приложений имеют от одной до десяти уязвимостей

В докладе о безопасности веб-приложений за 2008 г. (2008 Annual Web Application Security Report), недавно опубликованном британской ИБ-фирмой NTA Monitor, рисуется тревожная картина уязвимостей веб-приложений, обнаруженных в 2007 г. По данным компании, результаты исследования основываются на тестах, проводимых в течение всего года «для клиентов, постоянно участвующих в исследовании, и для клиентов, которые планируют или только начинают использовать новое приложение».

49% всех исследуемых приложений имеют от одной до десяти уязвимостей. Во всех отраслях в среднем по 13 уязвимостей всех уровней критичности на одну заявку. 2% уязвимостей классифицированы как имеющие «высокий» уровень риска. 17% всех заявок на тестирование включают по крайней мере один чрезвычайно важный недостаток, по сравнению с 34% в 2006 г.

Однако в некоторых отраслях обстановка значительно хуже, чем в других. Сфера услуг страдает больше всего – 20% приложений имели в среднем по одной уязвимости «высокого» уровня и по четыре «среднего». Издательства имели по семь уязвимостей «среднего» уровня, но ни одной «высокого». Удивительно, но правительственные организации имеют хорошие показатели - без уязвимостей «высокого» уровня, и только всего по три «среднего» уровня в среднем на одну заявку. Банковские и юридические заявки в среднем имели по одной уязвимости «высокого» уровня, сообщает Heise Security.

В компании подтвердили, что в этих тестах участвовали произвольные приложения, без подозрения на уязвимости. Несмотря на то, что размер выборки не разглашается по соображениям конфиденциальности, результаты могут быть достаточно достоверными.