Подразделением X-Force, компании IBM, опубликован очередной аналитический отчет " X-Force^ 2009 Trend and Risk Report". В отчете охвачены следующие наборы данных:
- Уязвимости в целом (раскрытие уязвимостей, уровень опасности, вероятности эксплуатации, распределение уязвимостей по вендору и т.д.). - Уязвимости и угрозы Web-приложений
- Уязвимости и угрозы на стороне клиента (client-side)
- Угрозы просмотра нежелательного контента
- Вредоносные программы
- Спам
- Фишинг
name='more'>
X-Force признают, что наиболее распространенными типами угроз в настоящее время, являются уязвимости Web-приложений. Так выглядит динамика обнаруженных уязвимостей с 1998 года:
Рассматривая динамику уязвимостей с 2004 по 2009 год, X-Force приводит следующие результаты:
То есть, наиболее распространенными уязвимостями, связанными с разработкой Web-приложений, являются "Внедрение операторов SQL" (SQL Injection) [ CWE-89, OWASP A2, WASC-19, WHID: SQL Injection], "Межсайтовое выполнение сценариев" (Cross-Site Scripting, XSS) [ CWE-79, OWASP A1, WASC-8, WHID: XSS] и "Инклюдинг файлов" (File Include) [ CWE-98, OWASP A3, WASC-33, WHID: LFI], что в целом сходится с результатами статистики Positive Technologies [ 1, 2, 3] и с результатами международной статистики Web Application Security Consortium [ 4].
По данным X-Force, частота обнаружения уязвимости "Подделка HTTP-запросов" (Cross-Site Request Forgery) [ CWE-352, OWASP A5, WASC-9, WHID: CSRF] выросла за год почти на 40%. Это объясняется повышенным вниманием к указанной уязвимости в последнее время.
Впечатляющие цифры можно увидеть на графике автоматизированных сканирований за 2009 год (до 70,000,000 обнаруженных уязвимостей Cross-Site Scripting на большом скопе сканируемых узлов):
А так выглядит график срока публикации эксплоита с момента разглашения уязвимостей (client-side):
И разумеется соотношение наиболее опасных уязвимостей по вендору:
Но и 14% уязвимостей Adobe, в соотношении с другими производителями, было достаточно, чтобы к концу 2009 года стать одним из наиболее популярных векторов осуществления атаки на клиента:
Ознакомиться с полным содержимым отчета можно на сайте IBM по адресу: www.servicemanagementcenter.com
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
Практикум «Харденинг ИТ: от дизайна до настроек».
Старт: 20 октября. Продолжительность: 4 недели
Сформируйте фундамент для защиты инфраструктуры своей компании
Рассматривая динамику уязвимостей с 2004 по 2009 год, X-Force приводит следующие результаты:
То есть, наиболее распространенными уязвимостями, связанными с разработкой Web-приложений, являются "Внедрение операторов SQL" (SQL Injection) [ CWE-89, OWASP A2, WASC-19, WHID: SQL Injection], "Межсайтовое выполнение сценариев" (Cross-Site Scripting, XSS) [ CWE-79, OWASP A1, WASC-8, WHID: XSS] и "Инклюдинг файлов" (File Include) [ CWE-98, OWASP A3, WASC-33, WHID: LFI], что в целом сходится с результатами статистики Positive Technologies [ 1, 2, 3] и с результатами международной статистики Web Application Security Consortium [ 4].
По данным X-Force, частота обнаружения уязвимости "Подделка HTTP-запросов" (Cross-Site Request Forgery) [ CWE-352, OWASP A5, WASC-9, WHID: CSRF] выросла за год почти на 40%. Это объясняется повышенным вниманием к указанной уязвимости в последнее время.
Впечатляющие цифры можно увидеть на графике автоматизированных сканирований за 2009 год (до 70,000,000 обнаруженных уязвимостей Cross-Site Scripting на большом скопе сканируемых узлов):
А так выглядит график срока публикации эксплоита с момента разглашения уязвимостей (client-side):
И разумеется соотношение наиболее опасных уязвимостей по вендору:
Но и 14% уязвимостей Adobe, в соотношении с другими производителями, было достаточно, чтобы к концу 2009 года стать одним из наиболее популярных векторов осуществления атаки на клиента:
Ознакомиться с полным содержимым отчета можно на сайте IBM по адресу: www.servicemanagementcenter.com
