Консорциум Web Application Security Consortium (WASC) опубликовал статистику уязвимостей Web-приложений за 2008 г. Анализ полученных данных показывает, что более 13% всех проанализированных сайтов могут быть скомпрометированы полностью автоматически. Около 49% Web-приложений содержат уязвимости высокой степени риска (Urgent и Critical), обнаруженные при автоматическом сканировании систем.
Однако при детальной ручной и автоматизированной оценке методом белого ящика вероятность обнаружения таких уязвимостей высокой степени риска достигает 80-96%. Вероятность же обнаружения уязвимостей степени риска выше среднего (критерий соответствия требованиям PCI DSS) составляет более 86% при любом методе работ. В то же время при проведении более глубокого анализа 99% Web-приложений не удовлетворяют требованиям стандарта PCI DSS.
На основании проведенного анализа можно сделать следующие выводы:
- Наиболее распространенными уязвимостями являются "Межсайтовое выполнение сценариев" (Cross-site Scripting), различные виды утечки информации (Information Leakage), "Внедрение операторов SQL" (SQL Injection), "Расщепление HTTP-запроса" (HTTP Response Splitting);
- Вероятность обнаружения критичной ошибки в динамическом Web-приложении составляет порядка 49% при проведении автоматического сканирования и 96% при всестороннем экспертном анализе методом белого ящика;
- Уязвимости, связанные с недостатками администрирования, встречаются на 20% чаще, чем уязвимости связанные с ошибками в разработке систем;
- До 99% Web-приложений не удовлетворяют требованиям стандарта по защите информации в индустрии платежных карт, а 48% не соответствуют критериям ASV-сканирования по PCI DSS;
- Детальный анализ методом белого ящика позволяет в среднем идентифицировать до 91 уязвимостей высокой степени риска на одно Web-приложение, в то время как автоматизированное сканирование – только 3;
- По сравнению с 2007 годом снизилось число сайтов содержащих распространенные уязвимости SQL Injection и Cross-site Scripting на 13 и 20% соответственно, однако, число сайтов содержащих различного вида возможности утечки информации возросло на 24%. С другой стороны, вероятность автоматической компрометации узлов возросла с 7 до 13%.
Русскоязычный вариант