Пресс-релизы //

Международная статистика уязвимостей WEB-приложений за 2008 год

Эксперты международной организации Web Application Security Consortium (WASC), объединяющей профессионалов в области безопасности Web-приложений, традиционно представили статистику уязвимостей WEB-приложений за 2008 год (WASC Web Application Security Statistics Project 2008).

Обзорная статистика содержит данные, полученные в ходе тестирований на проникновение, аудитов безопасности и других работ, проведенных компаниями, входящими в WASC: Blueinfy, Cenzic, dns, encription limited, HP Application Security Center, Positive Technologies, Veracode и WhiteHat Security.
Статистика получена на основе анализа данных 12-ти тысяч Web-приложений, в которых, в общей сложности, было обнаружено более 97 тысяч уязвимостей различной степени риска.

Как оказалось, более 13% исследованных сайтов могут быть полностью скомпрометировано автоматически, 49% Web-приложений содержат уязвимости высокой степеней риска (Urgent и Critical), обнаруженные при автоматическом сканировании систем, при детальной ручной и автоматизированной оценке методом "белого ящика" вероятность обнаружения уязвимостей высокой степени риска достигает от 80% до 96%.

Проверка на соответствие требованиям стандарта индустрии платежных карт PCI DSS (Payment Card Industry Data Security Standard) показала, что вероятность обнаружения уязвимостей степени риска выше среднего составляет более 86% при любом методе работ, а при проведении глубокого анализа 99% Web-приложений не удовлетворяют требованиям стандарта.

Согласно статистике, наиболее распространенными уязвимостями являются "Межсайтовое выполнение сценариев" (Cross-Site Scripting), различные виды утечки информации (Information Leakage), "Внедрение операторов SQL" (SQL Injection), "Расщепление HTTP-запроса" (HTTP Response Splitting). По сравнению с 2007 годом число сайтов, содержащих SQL Injection, снизилось на 13%, Cross-site Scripting - на 20%, однако число сайтов, содержащих Information Leakage, возросло на 24%, также возросла вероятность автоматической компрометации узлов с 7% до 13%.

Если сравнить данные WASC с российской статистикой за 2008 год, выпущенной компанией Positive Technologies http://www.ptsecurity.ru/news_page.asp?id=47, можно отметить, что ситуация практически не отличается - 83% российских сайтов имеют критичные уязвимости, а одной из наиболее распространенных уязвимостей также является "Межсайтовое выполнение сценариев" (Cross-Site Scripting).

Лидер проекта WASC Web Application Security Statistics Project - Сергей Гордейчик, руководитель отдела консалтинга и аудита компании Positive Technologies, так прокомментировал ситуацию: "Статистика публикуется третий год подряд, и каждый новый выпуск демонстрирует ухудшение с общим состоянием безопасности Web-сайтов. Рост количества уязвимых систем связан с двумя факторами – с улучшением качества автоматизированных средств контроля защищенности и "хакерских" утилит, а также с увеличением доли динамических Web-приложений, которые, как правило, содержат больше проблем с безопасностью".

Полная версия отчета опубликована на страницах: http://www.securitylab.ru/analytics/386759.php (русск.) и http://projects.webappsec.org/Web-Application-Security-Statistics (eng).
____________________________________________________________
Web Application Security Consortium (WASC) www.webappsec.org – международная организация, объединяющая профессионалов в области безопасности Web-приложений. Проект WASC Web Application Security Statistics Project 2008 - совместная инициатива лидеров индустрии защиты Web-приложений, направленная на лучшее понимание природы уязвимостей Web-приложений. Основные цели проекта - идентификация распространенности и вероятности обнаружения уязвимостей различных классов и сравнение распространенных подходов к анализу с целью выявления их сильных и слабых сторон.
____________________________________________________________
Positive Technologies www.ptsecurity.ru - одна из ведущих российских компаний в области информационной безопасности. Основные направления деятельности компании - разработка системы контроля защищенности и соответствия стандартам MaxPatrol и сканера безопасности XSpider; предоставление консалтинговых и сервисных услуг в области информационной безопасности; развитие специализированного портала Securitylab.ru. Positive Technologies - это команда высококвалифицированных разработчиков, консультантов и экспертов, которые обладают большим практическим опытом, являются членами международных организаций и активно участвуют в развитии отрасли.
____________________________________________________________
Контактная информация: тел. +7 (495)744 0144, pr@ptsecurity.ru

Контактное лицо: PR менеджер
Компания: Positive Technologies
Добавлен: 18:01, 20.10.2009 Количество просмотров: 799

Мероприятия, приуроченные к 82-летию Главного управления контрразведки «Смерш» прошли на Урале, Уральский округ Росгвардии, 19:19, 18.04.2025, Россия136

В преддверии 82-й годовщины со дня образования Главного управления контрразведки «Смерш» НКО СССР, проведены показные занятия для подшефных школьников.

Копить — не надо: «Выберу.ру» составил рейтинг лучших автокредитов без первого взноса в апреле 2025 года, Финансовый маркетплейс «Выберу.ру», 19:26, 18.04.2025, Россия128
«Выберу.ру подготовил рейтинг банков с самыми выгодными потребителям условиями автокредитов без обязательного первого взноса при покупке любых машин — с пробегом или новых.

Весна в Желдорреммаше – время встречи гостей, https://ao-zdrm.ru/, 19:26, 18.04.2025, Россия128

На заводах АО «Желдорреммаш» стартовал весенний этап профориентационной «Недели без турникетов». Производственные площадки компании посетит несколько тысяч человек. Масштабная всероссийская акция, проводимая под эгидой Союза машиностроителей России, продлится до конца апреля

Corpsoft24 автоматизировала непрерывное химическое производство одного из крупнейших мировых производителей - ГК «ГалоПолимер», CorpSoft24, 19:23, 18.04.2025, Россия130
Компания CorpSoft24 завершила проект по внедрению информационной системы управления финансово-хозяйственной деятельностью производителя химической продукции ГК «ГалоПолимер» на базе «1С:ERP. Управление холдингом».

«Кит-системс» расширяет сотрудничество с QTECH, Кит-систепмс, 19:21, 18.04.2025, Россия133

Системный интегратор «Кит-системс» подтвердил партнерскую авторизацию российского производителя телекоммуникационного и серверного оборудования – компании QTECH на 2025 год.

Компания «Гарант» выпустила сервис на основе искусственного интеллекта, Компания "Гарант", 19:06, 18.04.2025, Россия42

ИИ-сервис «Искра» от компании «Гарант» ответит на правовой вопрос или подготовит шаблон документа.

Ресторан‑бар «Оптимист» запускает акцию «Счастливые часы»: 50 % скидка на все вина по будням, Ресторан-бар "Оптимист", 19:05, 18.04.2025, Россия40

Екатеринбург, пр. Ленина 50 «Б» – Ежедневно с 15:00 до 18:00 ресторан‑бар «Оптимист» приглашает гостей насладиться эксклюзивным предложением: полная скидка 50 % на все позиции винной карты основного меню – тихие и игристые вина (кроме шампанского).

Start Link оптимизировал процесс подбора сотрудников в Московской пивоваренной компании, HRlink, 19:05, 18.04.2025, Россия45

Московская Пивоваренная Компания (МПК) в несколько раз сократила временные и трудозатраты в процессе найма новых сотрудников с помощью модуля для удаленного приема на работу Start Link (входит в экосистему кадрового ЭДО HRlink).

Tom Tailor улучшил бизнес-показатели с помощью платформы iSpring Learn, iSpring, 19:04, 18.04.2025, Россия53

Компания Tom Tailor построила систему дистанционного обучения сотрудников с помощью LMS платформы iSpring Learn, что позволило ускорить адаптацию новичков, повысить их продуктивность с первых дней работы и влиять на товарооборот

Обновлена платформа мониторинга данных Smart Monitor, VolgaBlob, 19:04, 18.04.2025, Россия42
На конференции VB-Trend 2025 компания VolgaBlob представила новую версию своего флагманского продукта Smart Monitor. В релизе 5.0 усовершенствована технология поиска Search Anywhere, появился инструмент для заметок Smart Notebooks

Новый импульс развития аддитивных технологий для российских промышленных предприятий, Группа "Борлас", 19:04, 18.04.2025, Россия42

Санкт-Петербургский политехнический университет Петра Великого и Группа «Борлас» (входит в ГК Softlinе) подписали соглашение о стратегическом партнёрстве с целью обучения студентов и специалистов промышленных предприятий технологическим инновациям, а также для создания инженерно-производственных центров аддитивных лазерных технологий совместно с ведущими российскими промышленными предприятиями.

«ОПАСНАЯ БЛИЗОСТЬ»: СЕРИАЛ О СИЛЬНЫХ ЧУВСТВАХ НА ЭКРАНАХ ТЕЛЕВИЗОРОВ LG OLED evo, LG Electronics, 19:04, 18.04.2025, Россия44

Новый остросюжетный сериал «Опасная близость» (18+)1 от онлайн-кинотеатра START рассказывает историю Анны — успешного пластического

LG расширяет бизнес передовых материалов по всему миру с LG PuroTec, LG Electronics, 19:02, 18.04.2025, Россия38

LG Electronics (LG) ускоряет глобальное расширение своего бизнеса передовых материалов с LG PuroTec™,

Система «Видеоаналитика на складе» от BIA Technologies стала лучшим ИТ-проектом 2024 года в логистике, BIA Technologies, 18:56, 18.04.2025, Россия82

ИТ-компания вошла в число победителей ежегодного исследования делового издания РБК Петербург - «IT проекты и технологии развития» и получила награду Digital Awards в номинации «Транспорт и Логистика».

Школа программирования CODDY вошла в ТОП-10 образовательных центров Тюмени, CODDY, 19:01, 18.04.2025, Россия32

Школа программирования CODDY удостоена престижной награды «100 лучших компаний Тюмени» и вошла в ТОП-10 образовательных центров по результатам голосования жителей города в рамках проекта «Народная премия72».