Пресс-релизы //

Международная статистика уязвимостей WEB-приложений за 2008 год

Эксперты международной организации Web Application Security Consortium (WASC), объединяющей профессионалов в области безопасности Web-приложений, традиционно представили статистику уязвимостей WEB-приложений за 2008 год (WASC Web Application Security Statistics Project 2008).

Обзорная статистика содержит данные, полученные в ходе тестирований на проникновение, аудитов безопасности и других работ, проведенных компаниями, входящими в WASC: Blueinfy, Cenzic, dns, encription limited, HP Application Security Center, Positive Technologies, Veracode и WhiteHat Security.
Статистика получена на основе анализа данных 12-ти тысяч Web-приложений, в которых, в общей сложности, было обнаружено более 97 тысяч уязвимостей различной степени риска.

Как оказалось, более 13% исследованных сайтов могут быть полностью скомпрометировано автоматически, 49% Web-приложений содержат уязвимости высокой степеней риска (Urgent и Critical), обнаруженные при автоматическом сканировании систем, при детальной ручной и автоматизированной оценке методом "белого ящика" вероятность обнаружения уязвимостей высокой степени риска достигает от 80% до 96%.

Проверка на соответствие требованиям стандарта индустрии платежных карт PCI DSS (Payment Card Industry Data Security Standard) показала, что вероятность обнаружения уязвимостей степени риска выше среднего составляет более 86% при любом методе работ, а при проведении глубокого анализа 99% Web-приложений не удовлетворяют требованиям стандарта.

Согласно статистике, наиболее распространенными уязвимостями являются "Межсайтовое выполнение сценариев" (Cross-Site Scripting), различные виды утечки информации (Information Leakage), "Внедрение операторов SQL" (SQL Injection), "Расщепление HTTP-запроса" (HTTP Response Splitting). По сравнению с 2007 годом число сайтов, содержащих SQL Injection, снизилось на 13%, Cross-site Scripting - на 20%, однако число сайтов, содержащих Information Leakage, возросло на 24%, также возросла вероятность автоматической компрометации узлов с 7% до 13%.

Если сравнить данные WASC с российской статистикой за 2008 год, выпущенной компанией Positive Technologies http://www.ptsecurity.ru/news_page.asp?id=47, можно отметить, что ситуация практически не отличается - 83% российских сайтов имеют критичные уязвимости, а одной из наиболее распространенных уязвимостей также является "Межсайтовое выполнение сценариев" (Cross-Site Scripting).

Лидер проекта WASC Web Application Security Statistics Project - Сергей Гордейчик, руководитель отдела консалтинга и аудита компании Positive Technologies, так прокомментировал ситуацию: "Статистика публикуется третий год подряд, и каждый новый выпуск демонстрирует ухудшение с общим состоянием безопасности Web-сайтов. Рост количества уязвимых систем связан с двумя факторами – с улучшением качества автоматизированных средств контроля защищенности и "хакерских" утилит, а также с увеличением доли динамических Web-приложений, которые, как правило, содержат больше проблем с безопасностью".

Полная версия отчета опубликована на страницах: http://www.securitylab.ru/analytics/386759.php (русск.) и http://projects.webappsec.org/Web-Application-Security-Statistics (eng).
____________________________________________________________
Web Application Security Consortium (WASC) www.webappsec.org – международная организация, объединяющая профессионалов в области безопасности Web-приложений. Проект WASC Web Application Security Statistics Project 2008 - совместная инициатива лидеров индустрии защиты Web-приложений, направленная на лучшее понимание природы уязвимостей Web-приложений. Основные цели проекта - идентификация распространенности и вероятности обнаружения уязвимостей различных классов и сравнение распространенных подходов к анализу с целью выявления их сильных и слабых сторон.
____________________________________________________________
Positive Technologies www.ptsecurity.ru - одна из ведущих российских компаний в области информационной безопасности. Основные направления деятельности компании - разработка системы контроля защищенности и соответствия стандартам MaxPatrol и сканера безопасности XSpider; предоставление консалтинговых и сервисных услуг в области информационной безопасности; развитие специализированного портала Securitylab.ru. Positive Technologies - это команда высококвалифицированных разработчиков, консультантов и экспертов, которые обладают большим практическим опытом, являются членами международных организаций и активно участвуют в развитии отрасли.
____________________________________________________________
Контактная информация: тел. +7 (495)744 0144, pr@ptsecurity.ru

Контактное лицо: PR менеджер
Компания: Positive Technologies
Добавлен: 18:01, 20.10.2009 Количество просмотров: 875

RAEX: BSS укрепила позиции в Топ-12 рэнкинга крупнейших ИТ-разработчиков программного обеспечения, BSS, 15:27, 02.10.2025, Россия66

Также по версии агентства RAEX BSS вошла в список 24 крупнейших ИТ-компаний, а в рейтинге «Дистрибуция» занимает 4-е место.

Система управления доступом NS.IDM включена в реестр отечественного ПО, Систематика Консалтинг, 15:24, 02.10.2025, Россия65

Комплексное решение для управления ресурсами и правами приложений, учётными данными пользователей и организаций NS.IDM включено в Единый реестр российских программ для электронных вычислительных машин и баз данных.

Индид помог ИТ-интегратору СТК повысить безопасность привилегированного доступа, Индид, 15:24, 02.10.2025, Россия66

Индид, российский разработчик комплекса решений в области защиты айдентити, успешно внедрил Indeed Privileged Access Manager (Indeed PAM) в компании «Специальные технологии контроля» (СТК). Продукт, предназначенный для управления привилегированным доступом, обеспечил безопасное централизованное управление учетными записями пользователей с расширенными правами доступа к критически важным информационным ресурсам.

Объявлены победители конкурса «Лучший Auto-ID проект 2024-2025», ID Expert, 15:23, 02.10.2025, Россия73
В этом году на конкурс «Лучший Auto-ID проект» были поданы заявки в девяти номинациях, включая логистику, производство, ритейл, здравоохранение, транспорт, банковскую сферу и культуру

АНО «НЦК ИСУ» и вендор Global ERP заключили соглашение о сотрудничестве в сфере развития отечественных систем класса ERP, НЦК ИСУ, 12:50, 02.10.2025, Россия73

Автономная некоммерческая организация «Национальный центр компетенций по информационным системам управления холдингом» (АНО «НЦК ИСУ») и компания ООО «Бизнес Технологии», разработчик отечественной системы Global ERP, подписали соглашение о партнерстве.

Hybe: более 80% инвентаря Connected TV в России не передает данные о провайдере, Hybrid, 12:49, 02.10.2025, Россия79

Аналитики платформы для продвижения мобильных приложений Hybe, которая входит в состав AdTech-экосистемы Hybrid, выявили ключевые проблемы рынка Connected TV (CTV) в России, которые осложняют для рекламодателей работу с таргетингом и верификацией показов.

Fork-Tech: главная причина неудачного внедрения AI-проектов — корпоративная культура, Fork-Tech, 12:49, 02.10.2025, Россия84
Консультант, разработчик и интегратор инновационных ИТ-решений в финтехе Fork-Tech провел анализ барьеров внедрения искусственного интеллекта в российских компаниях.

Space вошел в ТОП-3 по выручке среди крупнейших разработчиков отечественных платформ виртуализации по версии TAdviser, ДАКОМ М, 12:49, 02.10.2025, Россия83
Компания «ДАКОМ М» (бренд Space), российский разработчик ИТ-решений, вошла в ТОП-3 по выручке среди крупнейших разработчиков отечественных платформ виртуализации по версии TAdviser.

В Новосибирске при поддержке «1С-Рарус» открыли ИТ-лабораторию для школьников, 1С-Рарус, 12:26, 02.10.2025, Россия53

В Новосибирской области при поддержке правительства региона, фирмы «1С» и компании «1С-Рарус» открыли ИТ-лабораторию для школьников. Программа обучения программированию будет интегрирована в образовательный процесс и поможет готовить кадры для цифровой экономики страны.

Хранилище данных ATLAS ускорило доступ к важной информации Самарской Губернской Думы, ATLAS, 09:57, 02.10.2025, Россия65

Компания ATLAS, российский разработчик и производитель решений для хранения, передачи и обработки данных, завершила проект по созданию надёжного хранилища для официального интернет-портала Самарской Губернской Думы.

Академия Directum обучает экспертов по новым программам развития, Directum, 09:55, 02.10.2025, Россия78

Учебное подразделение Directum представило персональные программы развития на основе курсов освоения Directum RX. Треки помогают специалистам разных профилей — как бизнес-пользователям, так и разработчикам — максимально эффективно двигаться к целям в профессиональном и карьерном росте.

Телфин маркирует бизнес-звонки компаний, Телфин, 22:40, 01.10.2025, Россия166

Телфин вводит сервис маркировки исходящих звонков для юридических лиц и индивидуальных предпринимателей. Теперь во время звонка клиент видит название компании и категорию вызова. Это не только обеспечивает соблюдение требований Федерального закона «О связи» от 01.04.2025, но и увеличивает доверие со стороны клиентов и повышает уровень дозвона.

Ежегодная онлайн-конференция BIA Technologies: эксперты поделились инновационными практиками в сфере 1С, BIA Technologies, 22:31, 01.10.2025, Россия157

Профильное мероприятие для специалистов сферы 1С – собственная ежегодная конференция BIA Technologies - БИАТЕХ#1С собрала более 900 участников. Эксперты ИТ-компании поделились инновационной практикой в 1С проектах, обсудили методы повышения эффективности работы и карьерные треки в 1С-разработке. Мероприятие прошло 18 сентября.

Hybrid Metaverse запустил первую в России платформу для рекламы в метавселенных, Hybrid, 22:24, 01.10.2025, Россия151
Компания Hybrid Metaverse, входящая в AdTech-экосистему Hybrid, представила первую в России платформу для размещения рекламы внутри метавселенных — Hybrid Metaverse Ads

«1С ПРО Консалтинг» запускает новый поток образовательного курса по методологии и автоматизации бюджетирования компаний, 1С ПРО Консалтинг, 22:23, 01.10.2025, Россия145

Компания «1С ПРО Консалтинг», которая специализируется на системно-ориентированной методологии внедрения корпоративных решений на платформе «1С», объявляет о запуске нового потока образовательного курса, посвященного разработке методологии и автоматизации бюджетирования.