Новости Software

Защищенность современных веб-приложений оставляет желать лучшего

Исследовательская лаборатория PT Research Lab компании Positive Technologies опубликовала статистику уязвимостей веб-приложений за 2009 год.

Проведенные исследования, в рамках которых было подвергнуто тестам 5560 интернет-приложений, продемонстрировали крайне низкий уровень защиты представленных на рынке решений: практически половина проанализированных систем содержали уязвимости, а доля скомпрометированных сайтов, распространявших вредоносное программное обеспечение, составила 1,7%.

Полученные экспертами данные показали, что вероятность обнаружения критичной ошибки в веб-приложении автоматическим сканером составляет около 35% и достигает 80% при детальном экспертном анализе. Этот факт демонстрирует невысокую защищенность онлайновых продуктов не только от атак со стороны квалифицированных злоумышленников, но и от действий атакующих, вооруженных инструментами для "автоматического взлома".

При этом наиболее распространенными ошибками, допускаемыми разработчиками, являются уязвимости "межсайтовое выполнение сценариев" (Cross-Site Scripting) и "внедрение операторов SQL" (SQL Injection), на которые пришлось более 19% и 17% всех обнаруженных уязвимостей соответственно.

Защищенность современных веб-приложений оставляет желать лучшего

Сравнение результатов с отчетами предыдущих четырех лет показало, что ситуация с защищенностью веб-приложений в прошлом году в целом улучшилась. Так, анализ устранения уязвимостей на 768 сайтах, проверявшихся в 2008 и 2009 годах, показал, что более 60 процентов владельцев устранили все критичные уязвимости в течение года и существенно повысили защищенность своих ресурсов. Регулярный анализ защищенности веб-приложений и налаженный процесс устранения выявленных недостатков позволяют за год уменьшить число уязвимых сайтов в среднем втрое.

По словам специалиста по информационной безопасности Positive Technologies Дмитрия Евтеева, развитие систем контроля защищенности, безопасных платформ и средств разработки, проактивных средств защиты и межсетевых экранов уровня приложения (Web Application Firewall) начинает приносить свои плоды. Однако, как и раньше, большая часть уязвимостей приходится на ошибки администрирования и могла быть устранена использованием безопасных конфигураций систем и приложений и использованием базовых функций защиты.

С полной версией отчета лаборатории PT Research Lab можно ознакомиться здесь.

Материалы по теме:

Источник:

window-new
Soft
Hard
Тренды 🔥