Компания CENZIC , поставщик программного обеспечения и услуг по защите Web-приложений, на днях опубликовала отчет по тенденциям безопасности Web-приложений за период со второго квартала 2008 года по четвертый квартал 2009 года. Основные выводы, сделанные специалистами компании CENZIC по результатам проведенного анализа:
- 82% всех обнаруженных уязвимостей связано с Web-технологиями;
- Большее количество уязвимостей найдено в браузере Firefox ;
- Компании Adobe , Sun (а теперь уже Oracle ) и HP содержаться в числе 10 ведущих поставщиков с наиболее серьезными уязвимостями (на вторую половину 2009 года).
name='more'>
Анализ бюллетеней безопасности, публикуемых NIST , MITRE , SANS , US-CERT и OSVDB , позволил получить соотношение уязвимостей, связанных с Web-технологиями, от общего числа всех обнаруживаемых уязвимостей с середины 2008 по окончанию 2009 г.
Анализ наиболее часто встречающихся уязвимостей за 3 и 4 кварталы 2009 года позволил получить следующие данные:
То есть, основными недостатками при разработке коммерческих Web-приложений являются уязвимости:
- Межсайтовое выполнение сценариев ( Cross-Site Scripting, XSS )
- Внедрение операторов SQL ( SQL Injection )
- Выход за корневой каталог Web-сервера ( Path Traversal )
Рассматривая категорию прочих уязвимостей (Misc, 44%), компания CENZIC приводит следующие результаты:
Анализ наиболее часто встречаемых уязвимостей в "живых" приложениях собственных клиентов компании CENZIC позволил получить результаты, представленные на рисунке ниже:
То есть, уязвимости, которые приводят к выполнению командна сервере (RFI/SQLi), встречаются в 32%случаев. Уязвимости, связанные с механизмами аутентификации и авторизации можно встретить на 71% Web-приложений. А наиболее распространенными недостатками являются различные утечки информации (93%) и уязвимость типа "Межсайтовое выполнение сценариев" (81%).
Проводя анализ обнаруженных и устраненных уязвимостей в наиболее популярных браузерах, компанией CENZIC были получены такие результаты:
То есть, по числу уязвимостей лидирует Firefox , а в рядах отстающих по тому же критерию - Opera . Это вовсе не означает, что Opera является более защищенным браузером по сравнению с остальными браузерами, приводимыми в отчете. Аналогично конкурентам Opera не застрахован от zero-day атак [ 1 ].
Анализ уязвимостей Web-серверов показал, что чуть больше половины всех обнаруженных уязвимостей во второй половине 2009 года приходится на продукт WebSphere компании IBM :
Ознакомиться с полным содержимым отчета можно по следующему адресу: http://www.cenzic.com/downloads/Cenzic_AppSecTrends_Q3-Q4-2009.pdf
Анализ наиболее часто встречающихся уязвимостей за 3 и 4 кварталы 2009 года позволил получить следующие данные:
То есть, основными недостатками при разработке коммерческих Web-приложений являются уязвимости:
- Межсайтовое выполнение сценариев ( Cross-Site Scripting, XSS )
- Внедрение операторов SQL ( SQL Injection )
- Выход за корневой каталог Web-сервера ( Path Traversal )
Рассматривая категорию прочих уязвимостей (Misc, 44%), компания CENZIC приводит следующие результаты:
Анализ наиболее часто встречаемых уязвимостей в "живых" приложениях собственных клиентов компании CENZIC позволил получить результаты, представленные на рисунке ниже:
То есть, уязвимости, которые приводят к выполнению командна сервере (RFI/SQLi), встречаются в 32%случаев. Уязвимости, связанные с механизмами аутентификации и авторизации можно встретить на 71% Web-приложений. А наиболее распространенными недостатками являются различные утечки информации (93%) и уязвимость типа "Межсайтовое выполнение сценариев" (81%).
Проводя анализ обнаруженных и устраненных уязвимостей в наиболее популярных браузерах, компанией CENZIC были получены такие результаты:
То есть, по числу уязвимостей лидирует Firefox , а в рядах отстающих по тому же критерию - Opera . Это вовсе не означает, что Opera является более защищенным браузером по сравнению с остальными браузерами, приводимыми в отчете. Аналогично конкурентам Opera не застрахован от zero-day атак [ 1 ].
Анализ уязвимостей Web-серверов показал, что чуть больше половины всех обнаруженных уязвимостей во второй половине 2009 года приходится на продукт WebSphere компании IBM :
Ознакомиться с полным содержимым отчета можно по следующему адресу: http://www.cenzic.com/downloads/Cenzic_AppSecTrends_Q3-Q4-2009.pdf 
