Опубликована статистика уязвимости Web приложений

Группа экспертов, входящая в Web Application Security Consortium ( http://www.webappsec.org/ ) – международную организацию, объединяющую профессионалов в области безопасности Web-приложений, опубликовала статистику проблем безопасности Интернет-сайтов, обнаруженных в 2007 году. Исходные данные были получены по результатам работ по оценке защищенности Web-приложений проводимых в 2007 году следующими компаниями, с использованием автоматизированных инструментов (в алфавитном порядке):

• Booz Allen Hamilton
• BT
• Cenzic c Hailstorm
• dblogic.it
• HP Application Security Center c WebInspect
• Positive Technologies c MaxPatrol
• Veracode
• WhiteHat Security c WhiteHat Sentinel

Полученная статистика констатирует, что более 7% всех проанализированных сайтов может быть скомпрометирована полностью автоматически. Около 7,72% приложений содержат уязвимости высокой степени риска, обнаруженные при автоматическом сканировании систем. Однако при детальной ручной и автоматизированной оценке методами черного и белого ящика вероятность обнаружения уязвимости высокой степени риска достигает 96,85%.

По словам лидера проекта, руководителя отдела консалтинга и аудита компании Positive Technologies Сергея Гордейчика, ситуация с защищенностью Web-приложений остается достаточно сложной. Статистика показывает, что детальный анализ методом черного и белого ящика позволят идентифицировать до 9 уязвимостей высокой степени риска на каждом из сайтов.

Подробную информацию можно получить по следующим адресам:

http://www.securitylab.ru/analytics/359068.php (рус)

  http://www.webappsec.org/projects/statistics/ (en)