Зачастую обеспечение безопасности Web-серверов сводится в лучшем случае к установке обновлений и использованию SSL, чего явно не достаточно для адекватной защиты.
Группа экспертов, входящая в Web Application Security Consortium ( http://www.webappsec.org/ ) – международную организацию, объединяющую профессионалов в области безопасности Web-приложений, опубликовала статистику проблем безопасности Интернет-сайтов, обнаруженных в 2006 году. При составлении документа использовались результаты работ по анализу безопасности сетей , проведенных компаниями – международными лидерами в вопросах безопасности Web-приложений: Cenzic ( Hailstorm ), Positive Technologies ( XSpider ), SPI Dynamics ( WebInspect ) и WhiteHat ( Sentinel ).
«Уязвимости Web-серверов очень распространены, а риски, связанные с ними достаточно высоки. Недаром требования по проверке защищенности Web-приложений входят в ряд международных стандартов, в том числе PCI DSS. – говорит системный архитектор компании Positive Technologies Сергей Гордейчик. – Но зачастую обеспечение безопасности Web-серверов сводится в лучшем случае к установке обновлений и использованию SSL, чего явно не достаточно для адекватной защиты».
Собранная статистика показывает, что безопасность Интернет-серверов далека от идеала, ведь наиболее распространенная уязвимость типа «Межсайтовое выполнение сценариев» (Cross-Site Scripting, XSS) была обнаружена более чем в 85% всех сайтов.
Суммарные результаты практически не отличаются от статистики, опубликованной Positive Technologies ранее для российской части Интернет ( http://www.ptsecurity.ru/webstat2006.asp ). Это значит, что проблема безопасности Web-приложений в России стоит достаточно остро.
Познакомиться с полным текстом исследования можно на сайте Web Application Security Consortium http://www.webappsec.org/projects/statistics/ .
Живой, мертвый или в суперпозиции? Узнайте в нашем канале