Компания CENZIC, поставщик программного обеспечения и услуг по защите Web-приложений, на днях опубликовала отчетпо тенденциям безопасности Web-приложений за период со второго квартала 2008 года по четвертый квартал 2009 года. Основные выводы, сделанные специалистами компании CENZIC по результатам проведенного анализа:
- 82% всех обнаруженных уязвимостей связано с Web-технологиями;
- Большее количество уязвимостей найдено в браузере Firefox;
- Компании Adobe, Sun (а теперь уже Oracle) и HPсодержаться в числе 10 ведущих поставщиков с наиболее серьезными уязвимостями (на вторую половину 2009 года).
name='more'>
Анализ бюллетеней безопасности, публикуемых NIST, MITRE, SANS, US-CERTи OSVDB, позволил получить соотношение уязвимостей, связанных с Web-технологиями, от общего числа всех обнаруживаемых уязвимостей с середины 2008 по окончанию 2009 г.
Анализ наиболее часто встречающихся уязвимостей за 3 и 4 кварталы 2009 года позволил получить следующие данные:
То есть, основными недостатками при разработке коммерческих Web-приложений являются уязвимости:
- Межсайтовое выполнение сценариев ( Cross-Site Scripting, XSS)
- Внедрение операторов SQL ( SQL Injection)
- Выход за корневой каталог Web-сервера ( Path Traversal)
Рассматривая категорию прочих уязвимостей (Misc, 44%), компания CENZIC приводит следующие результаты:
Анализ наиболее часто встречаемых уязвимостей в "живых" приложениях собственных клиентов компании CENZIC позволил получить результаты, представленные на рисунке ниже:
То есть, уязвимости, которые приводят к выполнению командна сервере (RFI/SQLi), встречаются в 32%случаев. Уязвимости, связанные с механизмами аутентификации и авторизации можно встретить на 71% Web-приложений. А наиболее распространенными недостатками являются различные утечки информации (93%) и уязвимость типа "Межсайтовое выполнение сценариев" (81%).
Проводя анализ обнаруженных и устраненных уязвимостей в наиболее популярных браузерах, компанией CENZIC были получены такие результаты:
То есть, по числу уязвимостей лидирует Firefox, а в рядах отстающих по тому же критерию - Opera. Это вовсе не означает, что Opera является более защищенным браузером по сравнению с остальными браузерами, приводимыми в отчете. Аналогично конкурентам Opera не застрахован от zero-day атак [ 1].
Анализ уязвимостей Web-серверов показал, что чуть больше половины всех обнаруженных уязвимостей во второй половине 2009 года приходится на продукт WebSphereкомпании IBM:
Ознакомиться с полным содержимым отчета можно по следующему адресу: http://www.cenzic.com/downloads/Cenzic_AppSecTrends_Q3-Q4-2009.pdf
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
Исполнение ФЗ-152 может быть простым и быстрым.
Приходите на вебинар и узнайте, как автоматизировать рутину, избежать штрафов и всегда быть готовым к проверке вместе с Security Vision. Все необходимые документы — одним кликом!
Анализ наиболее часто встречающихся уязвимостей за 3 и 4 кварталы 2009 года позволил получить следующие данные:
То есть, основными недостатками при разработке коммерческих Web-приложений являются уязвимости:
- Межсайтовое выполнение сценариев ( Cross-Site Scripting, XSS)
- Внедрение операторов SQL ( SQL Injection)
- Выход за корневой каталог Web-сервера ( Path Traversal)
Рассматривая категорию прочих уязвимостей (Misc, 44%), компания CENZIC приводит следующие результаты:
Анализ наиболее часто встречаемых уязвимостей в "живых" приложениях собственных клиентов компании CENZIC позволил получить результаты, представленные на рисунке ниже:
То есть, уязвимости, которые приводят к выполнению командна сервере (RFI/SQLi), встречаются в 32%случаев. Уязвимости, связанные с механизмами аутентификации и авторизации можно встретить на 71% Web-приложений. А наиболее распространенными недостатками являются различные утечки информации (93%) и уязвимость типа "Межсайтовое выполнение сценариев" (81%).
Проводя анализ обнаруженных и устраненных уязвимостей в наиболее популярных браузерах, компанией CENZIC были получены такие результаты:
То есть, по числу уязвимостей лидирует Firefox, а в рядах отстающих по тому же критерию - Opera. Это вовсе не означает, что Opera является более защищенным браузером по сравнению с остальными браузерами, приводимыми в отчете. Аналогично конкурентам Opera не застрахован от zero-day атак [ 1].
Анализ уязвимостей Web-серверов показал, что чуть больше половины всех обнаруженных уязвимостей во второй половине 2009 года приходится на продукт WebSphereкомпании IBM:
Ознакомиться с полным содержимым отчета можно по следующему адресу: http://www.cenzic.com/downloads/Cenzic_AppSecTrends_Q3-Q4-2009.pdf
