WASC Announcement: 2008 Web Application Security Statistics Published

WASC Announcement: 2008 Web Application Security Statistics Published
Опубликована статистика уязвимостей Web-приложений за 2008 г. консорциума Web Application Security Consortium (WASC). Ознакомиться с ней можно здесь . Публикация содержит обзорную статистику уязвимостей Web-приложений, полученную в ходе работ по тестированиям на проникновение, аудитов безопасности и других работ, проводимых Компаниями, входящими в консорциум WASC в 2008 году. Всего статистика содержит данные о 12186 сайтах, в которых было обнаружено 97554 уязвимости различной степени риска. В результате собранных данных было получено 4 набора данных: суммарная статистика по всем видам работ;статистика по автоматическому сканированию;статистика по оценке защищенности методом черного ящика;статистика по оценке защищенности методом белого ящика. Анализ полученных данных показывает, что более 13%всех проанализированных сайтов может быть скомпрометировано полностью автоматически. Около 49% Web-приложений содержат уязвимости высокой степеней риска (Urgent и Critical), обнаруженные при автоматическом сканировании систем. Однако при детальной ручной и автоматизированной оценке методом белого ящика вероятность обнаружения таких уязвимостей высокой степени риска достигает 80-96%. Вероятность же обнаружения уязвимостей степени риска выше среднего (критерий соответствия требованиям PCI DSS) составляет более 86% при любом методе работ. В то же время при проведении более глубокого анализа 99% Web-приложений не удовлетворяет требованиям стандарта по защите информации в индустрии платежных карт . name='more'> Сравнивая международную статистику уязвимостей Web-приложений (WASC) с ее Российским аналогом ( статистика Positive Technologies ), будут получены данные приведенные на рисунке ниже. Как можно заметить, в разработанных Web-приложениях нашими соотечественниками, гораздо чаще встречаются уязвимости типа "Внедрение операторов SQL". С другой стороны, западными разработчиками, зачастую допускаются ошибки в программировании Web-приложений, связанные с различными вариантами утечки информации, недостаточной аутентификацией в приложении, а также, с не менее критичной уязвимостью, чем SQL Injection "Обратный путь в директориях" (до сих пор используют файлы вместо СУБД?:)). Локализованная версия статистики уязвимостей Web-приложений за 2008 г. консорциума WASC в ближайшее время будет доступна на портале securitylab .
client-side аналитика PCI DSS positive technologies security уязвимости web уязвимости compliance server-side whitebox статистика wasc метрики
Alt text