83% сайтов имеют критичные уязвимости

Компания Positive Technologies опубликовала традиционный ежегодный отчет "Статистика уязвимостей Web-приложений" за 2008 г. Отчет основан на данных, полученных экспертами Positive Technologies.

В отчет вошли данные по 10459 веб-приложениям, доступным из интернета. Суммарно во всех приложениях была обнаружена 33931 ошибка различной степени риска.

По результатам отчета 83% сайтов имеют критичные уязвимости, а в 78 случаях из ста в программном обеспечении веб-приложения содержатся уязвимости средней степени риска. Корреляция информации между обнаруженными взломами приложений и использованными при этом уязвимостями показала, что до 20% приложений могут быть инфицированы автоматизированным способом.

Наиболее распространенной уязвимостью, как и в прошлом году, является "межсайтовое выполнение сценариев" (Cross-Site Scripting, XSS) - каждый второй сайт содержит подобную уязвимость, остальное приходится на "внедрение операторов SQL" (SQL Injection), различные варианты утечки информации (Information Leakage), "чтение произвольных файлов" (Path Traversal) и "подбор пароля" (Brute Force).

По сравнению с результатами 2006 и 2007 гг. ситуация несколько улучшилась, но уязвимости в веб-приложениях по-прежнему остаются одним из наиболее распространенных недостатков обеспечения защиты информации в организациях, и недооценка связанных с этим рисков является основным фактором текущего низкого состояния защищенности большинства из них.