Статистика уязвимостей web-приложений

10 сентября 2008 года

Консорциум безопасности web-приложений (WASC) опубликовал отчет по результатам исследования уязвимостей web-приложений за 2007 год. Отчет отталкивается от статистики, полученной в результате проверки безопасности 32717 сайтов и анализа 69476 уязвимостей.

Некоторые интересные факты:

  • Более 7% из проанализированных сайтов могут быть скомпрометированы средствами автоматического взлома. В 7.72% всех рассмотренных web-приложений, в результате автоматического сканирования, были обнаружены серьёзные ошибки безопасности.
  • В качестве самых распространенных уязвимоей отмечаются:
  • Межсайтовое выполнение сценариев (Cross-Site Scripting, XSS): 41% всех найденных уязвимостей, проблеме подвержены 31.47% всех проверенных сайтов;
  • Утечки информации (Information Leakage): 32% уязвимостей, 23.27% сайтов;
  • Подстановка SQL операторов (SQL Injection): 9% уязвимостей, 7.85% сайтов;
  • Размещение важных ресурсов в предсказуемых местах (Predictable Resource Location): 8% уязвимостей, 10.24% сайтов;

Как правило, XSS и SQL Injection уязвимости обусловлены проблемами на этапе разработки приложений, в то время как утечка информации и предсказуемое размещение ресурсов - результат ошибок при администрировании.

  • Более детальный анализ выявил степень распространение более опасных уязвимостей:
  • Подмена содержимого (Content Spoofing): 5.96% уязвимостей, 18.40% сайтов;
  • Недостаточная авторизация (Insufficient Authorization): 1.73% уязвимостей, 14.16% сайтов;
  • Недостаточная аутентификация (Insufficient Authentication): 1.88% уязвимостей, 12.95% сайтов;
  • Эффективность (вероятность) методов выявления уязвимостей:
  • Аутентификация (Authentication): 56.54%
  • Авторизация (Authorization): 19.01%
  • Атаки на пользователей сайта (Client-side Attacks): 69.37%
  • Выполнение кода на сервере (Command Execution): 27.85%
  • Получение дополнительной информации о web-приложениях (Information Disclosure): 56.54%
  • Логические атаки (Logical Attacks): 13.92%
  • Сравнение отставания вероятности обнаружения наличия уязвимостей при автоматическом сканировании от детального анализа (для опасных уязвимостей вероятность обнаружения проблемы при детальном анализе в 12.5 раз выше, чем при автоматической проверке):
  • Подмена содержимого (Content Spoofing): 18.30%
  • Недостаточная авторизация (Insufficient Authorization): 14.15%
  • Недостаточная аутентификация (Insufficient Authentication): 12.95%
  • Подстановка SQL операторов (SQL Injection): 8.68%
  • Среднее число уязвимостей на сайт, в зависимости от классов опасности (в скобках, результат автоматического сканирования и детального анализа):
  • Незначительная опасность: 3.15 (2.96, 1.11)
  • Средняя опасность: 2.35 (2.04, 2.65)
  • Высокая опасность: 4.22 (2.33, 8.91)
  • Всего: 2.12 (1.61, 13.11)

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «Статистика уязвимостей web-приложений», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.