Пресс-релизы //

Международная статистика уязвимостей WEB-приложений за 2008 год

Эксперты международной организации Web Application Security Consortium (WASC), объединяющей профессионалов в области безопасности Web-приложений, традиционно представили статистику уязвимостей WEB-приложений за 2008 год (WASC Web Application Security Statistics Project 2008).

Обзорная статистика содержит данные, полученные в ходе тестирований на проникновение, аудитов безопасности и других работ, проведенных компаниями, входящими в WASC: Blueinfy, Cenzic, dns, encription limited, HP Application Security Center, Positive Technologies, Veracode и WhiteHat Security.
Статистика получена на основе анализа данных 12-ти тысяч Web-приложений, в которых, в общей сложности, было обнаружено более 97 тысяч уязвимостей различной степени риска.

Как оказалось, более 13% исследованных сайтов могут быть полностью скомпрометировано автоматически, 49% Web-приложений содержат уязвимости высокой степеней риска (Urgent и Critical), обнаруженные при автоматическом сканировании систем, при детальной ручной и автоматизированной оценке методом "белого ящика" вероятность обнаружения уязвимостей высокой степени риска достигает от 80% до 96%.

Проверка на соответствие требованиям стандарта индустрии платежных карт PCI DSS (Payment Card Industry Data Security Standard) показала, что вероятность обнаружения уязвимостей степени риска выше среднего составляет более 86% при любом методе работ, а при проведении глубокого анализа 99% Web-приложений не удовлетворяют требованиям стандарта.

Согласно статистике, наиболее распространенными уязвимостями являются "Межсайтовое выполнение сценариев" (Cross-Site Scripting), различные виды утечки информации (Information Leakage), "Внедрение операторов SQL" (SQL Injection), "Расщепление HTTP-запроса" (HTTP Response Splitting). По сравнению с 2007 годом число сайтов, содержащих SQL Injection, снизилось на 13%, Cross-site Scripting - на 20%, однако число сайтов, содержащих Information Leakage, возросло на 24%, также возросла вероятность автоматической компрометации узлов с 7% до 13%.

Если сравнить данные WASC с российской статистикой за 2008 год, выпущенной компанией Positive Technologies http://www.ptsecurity.ru/news_page.asp?id=47, можно отметить, что ситуация практически не отличается - 83% российских сайтов имеют критичные уязвимости, а одной из наиболее распространенных уязвимостей также является "Межсайтовое выполнение сценариев" (Cross-Site Scripting).

Лидер проекта WASC Web Application Security Statistics Project - Сергей Гордейчик, руководитель отдела консалтинга и аудита компании Positive Technologies, так прокомментировал ситуацию: "Статистика публикуется третий год подряд, и каждый новый выпуск демонстрирует ухудшение с общим состоянием безопасности Web-сайтов. Рост количества уязвимых систем связан с двумя факторами – с улучшением качества автоматизированных средств контроля защищенности и "хакерских" утилит, а также с увеличением доли динамических Web-приложений, которые, как правило, содержат больше проблем с безопасностью".

Полная версия отчета опубликована на страницах: http://www.securitylab.ru/analytics/386759.php (русск.) и http://projects.webappsec.org/Web-Application-Security-Statistics (eng).
____________________________________________________________
Web Application Security Consortium (WASC) www.webappsec.org – международная организация, объединяющая профессионалов в области безопасности Web-приложений. Проект WASC Web Application Security Statistics Project 2008 - совместная инициатива лидеров индустрии защиты Web-приложений, направленная на лучшее понимание природы уязвимостей Web-приложений. Основные цели проекта - идентификация распространенности и вероятности обнаружения уязвимостей различных классов и сравнение распространенных подходов к анализу с целью выявления их сильных и слабых сторон.
____________________________________________________________
Positive Technologies www.ptsecurity.ru - одна из ведущих российских компаний в области информационной безопасности. Основные направления деятельности компании - разработка системы контроля защищенности и соответствия стандартам MaxPatrol и сканера безопасности XSpider; предоставление консалтинговых и сервисных услуг в области информационной безопасности; развитие специализированного портала Securitylab.ru. Positive Technologies - это команда высококвалифицированных разработчиков, консультантов и экспертов, которые обладают большим практическим опытом, являются членами международных организаций и активно участвуют в развитии отрасли.
____________________________________________________________
Контактная информация: тел. +7 (495)744 0144, pr@ptsecurity.ru

Контактное лицо: PR менеджер
Компания: Positive Technologies
Добавлен: 18:01, 20.10.2009 Количество просмотров: 981

Сергей Семикин («ГИГАНТ - Компьютерные системы»): «Не бывает магии: работает не «сам ИИ», а правильная архитектура, качественные данные и четко ограниченный сценарий», ГИГАНТ, 23:28, 30.05.2026, Россия83

В «ГИГАНТ — Компьютерные системы» уже используют ИИ-агентов, но без попыток превратить ИИ в универсальную таблетку от всех проблем.

«Гравитон» принял участие в конференции «Эффективное производство 4.0», «Гравитон», 23:14, 30.05.2026, Россия73

Компания «Гравитон», ведущий российский разработчик вычислительной техники, приняла участие в практической промышленной конференции «Эффективное производство 4.0», которая прошла в рамках международной выставки «Металлообработка-2026».

Гран-при конкурса «BPM-проект года’2026» получил проект «Первого Бита», Первый Бит, 23:14, 30.05.2026, Россия76

Победителем конкурса «BPM-проект года’2026» признан проект компании «Первый Бит» по сквозной автоматизации заказов на производственном предприятии ООО «ЕРС-КОМПЛЕКТ». Торжественная церемония с оглашением результатов прошла 26 мая в Москве.

«Первый Бит» вошел в топ-15 поставщиков решений для анализа данных в России, Первый Бит, 23:14, 30.05.2026, Россия77
Компания «Первый Бит» вошла в топ 15 рейтинга «Крупнейшие поставщики решений для анализа данных в России 2025», подготовленного аналитическим агентством CNews Analytics в рамках обзора «Большие данные и аналитика 2026».

Aladdin LiveOffice совместим с платформой Termidesk VDI 6.1.1, "Группа Астра", 23:13, 30.05.2026, Россия72

Компании "Аладдин" и "Увеон – облачные технологии" (входит в "Группу Астра") объявляют о совместимости специализированного средства для безопасной дистанционной работы Aladdin LiveOffice с платформой для управления инфраструктурой виртуальных рабочих мест Termidesk VDI 6.1.1.

«1С-Рарус» за 1,5 месяца внедрил ERP-систему на новом заводе бытовой химии «Альмикс», 1С-Рарус, 23:12, 30.05.2026, Россия76

«1С-Рарус» внедрил «1С:ERP Управление предприятием» на новом предприятии бытовой химии «Альмикс». Автоматизированы производство, закупки, контроль качества и продажи. Система интегрирована с маркетплейсами и «Честным знаком». Компания получила платформу для работы по современным стандартам и масштабирования бизнеса

Первый БИТ стал генеральным партнером компании «ЭлНетМед», ЭлНетМед, 23:11, 30.05.2026, Россия71

Российский интегратор бизнес-решений для здравоохранения «Первый БИТ» стал генеральным партнером компании «ЭлНетМед», разработчика интеграционной платформы N3.Health и крупнейшего оператора по передаче данных в ЕГИСЗ от частной медицины.

Компания iSpring зафиксировала рост ключевых финансовых показателей по итогам 2025 года, iSpring, 23:11, 30.05.2026, Россия56
iSpring, разработчик решений для корпоративного онлайн-обучения подвел финансовые итоги 2025 года. Компания продемонстрировала устойчивую положительную динамику ключевых бизнес-показателей.

СИГМА — лауреат рейтинга Global CIO «Топ-100 ИТ-лидеров», ООО «СИГМА», 23:10, 30.05.2026, Россия49

Константин Сипачев, директор департамента решений АСТУ СИГМЫ, вошел в число профессионалов, чей стратегический вклад в развитие российской ИТ-отрасли помогает выявлять лучшие практики, обмениваться знаниями и создавать отраслевые стандарты, что в условиях импортозамещения особенно важно.

Красноярский край обошел Москву и весь юг России по любви к ретро-эстетике в видео, Мовавика, 23:10, 30.05.2026, Россия46

Жители Красноярского края используют ретро-фильтры на 22,5% чаще среднего по стране и на 70% чаще южан. Исследование видеоредактора «Мовавика Видео» также показало: петербуржцы обходят москвичей по частоте винтажных эффектов на 20%.

«Группа Астра» проверила на ЦИПР уровень доверия облакам, "Группа Астра", 23:10, 30.05.2026, Россия124

Недоверия к облакам уже нет, бизнес и провайдеры формируют новые правила игры. А «Группа Астра» представив собственное облако на российском процессоре Baikal-S, в котором безопасность заложена на уровне железа, активно строит новую реальность на этом рынке.

Почти половина роутеров не прошла тест на скорость, МегаФон, 23:08, 30.05.2026, Россия119

Эксперты лаборатории МегаФона проанализировали работу более 50 новых моделей 3G/4G-роутеров популярных брендов, которые производители направляют на тестирование до выхода в продажу.

«Энергосбыт Волга» объявляет старт летней акции «Удачные каникулы», ООО "Энергосбыт Волга", 23:05, 30.05.2026, Россия47

«Энергосбыт Волга» приглашает клиентов начать лето с акции «Удачные каникулы» и шанс получить 3 000 рублей на лицевой счёт на оплату электроэнергии и услуг ЖКХ. Будет разыграно 30 призов!

10 лет партнерства PAB с производителем редкоземельных металлов!, Pearl Axis Bearings (PAB), 23:05, 30.05.2026, Россия48
Компания Pearl Axis Bearings (PAB) и крупнейший китайский производитель редкоземельных металлов China Northern Rare Earth (CNREG) отметили 10 лет блестящего партнерства.

МегаФон и УльтимаТек объединяют экспертизу для развития рынка Private LTE в России, МегаФон, 23:03, 30.05.2026, Россия57

Компании подписали соглашение в области цифровизации промышленных предприятий на базе частных мобильных сетей. Совместные решения позволят предприятиям получать готовые цифровые платформы — от инфраструктуры связи до аналитических модулей — в рамках единого сервисного решения.