63% сайтов имеют критичные уязвимости

Компания «Позитив Текнолоджиз», разработчик систем комплексного мониторинга
информационной безопасности, опубликовала ежегодный обзор статистики уязвимостей
Web-приложений за 2007 год. По данным отчета, уязвимости в Web-приложениях
- наиболее распространенные «бреши» защиты сетевой безопасности. В опубликованном
обзоре рассматриваются данные о нескольких десятках Web-приложений, в которых
были обнаружены и классифицированы более 500 ошибок различной степени риска.
В «Позитив Текнолоджиз» не один год собирается и анализируется уникальная
статистика уязвимостей разных типов информационных систем. Данные, вошедшие
в обзор, были получены в ходе тестов на проникновение и аудитов информационной
безопасности компаний, разрабатывающих и эксплуатирующих Online-приложения,
операторов телекоммуникационных услуг, финансового сектора, государственных
структур и предприятий нефтегазового комплекса. Результаты работ показали,
что 63% сайтов имеют критичные уязвимости, а в 93 случаев из 100 в программном
обеспечении Web-приложения содержатся уязвимости средней степени риска.
Наиболее распространенными уязвимостями по результатам отчета являются:
«межсайтовое выполнение сценариев» (Cross-Site Scripting, XSS), «внедрение
операторов SQL» (SQL Injection) и различные варианты утечки информации (Information
Leakage). Анализируя данные обзоров последних лет, можно сделать следующий
вывод: несмотря на то, что корректное применение автоматизированных средств
анализа уязвимостей позволяет идентифицировать более 70% всех уязвимостей,
ситуация с защитой Web-приложений из года в год практически не меняется
в лучшую сторону.