Международная организация Web Application Security Consortium опубликовала статистику уязвимостей WEB-приложений.
Группа экспертов, входящая в Web Application Security Consortium, международную организацию, объединяющую профессионалов в области безопасности Web-приложений, опубликовала статистику уязвимостей безопасности Интернет-сайтов, обнаруженных в 2007 году. Данные были получены по результатам работ по оценке защищенности Web-приложений, проводимых в 2007 году компаниями Booz Allen Hamilton, BT, Cenzic, dblogic.it, HP Application Security Center, Positive Technologies, Veracode и WhiteHat Security.
В статистику вошли два набора данных: результаты автоматического тестирования и результаты работ по оценке защищенности с использованием методов BlackBox и WhiteBox. Статистика содержит данные о более чем 32 000 Web-приложений, в которых было обнаружено около 70 000 уязвимостей различной степени риска.
Согласно статистике, наиболее распространенными уязвимостями являются Cross-Site Scripting, Information Leakage, SQL Injection и Predictable Resource Location.
Анализ полученных данных показал, что более 7% всех проанализированных сайтов могут быть скомпрометированы полностью автоматически, а при детальной ручной и автоматизированной оценке вероятность обнаружения уязвимости высокой степени риска достигает 96,8%.
По словам лидера проекта, руководителя отдела консалтинга и аудита компании Positive Technologies Сергея Гордейчика, ситуация с защищенностью Web-приложений остается достаточно сложной. "Статистика показывает, что детальный анализ позволяет идентифицировать до 9 уязвимостей высокой степени риска на каждом из сайтов", - подчеркнул Сергей.
Подробная информация: http://www.securitylab.ru/analytics/359068.php (русск.)http://www.webappsec.org/projects/statistics (eng)