Пресс-релизы //

Международная статистика уязвимостей WEB-приложений за 2008 год

Эксперты международной организации Web Application Security Consortium (WASC), объединяющей профессионалов в области безопасности Web-приложений, традиционно представили статистику уязвимостей WEB-приложений за 2008 год (WASC Web Application Security Statistics Project 2008).

Обзорная статистика содержит данные, полученные в ходе тестирований на проникновение, аудитов безопасности и других работ, проведенных компаниями, входящими в WASC: Blueinfy, Cenzic, dns, encription limited, HP Application Security Center, Positive Technologies, Veracode и WhiteHat Security.
Статистика получена на основе анализа данных 12-ти тысяч Web-приложений, в которых, в общей сложности, было обнаружено более 97 тысяч уязвимостей различной степени риска.

Как оказалось, более 13% исследованных сайтов могут быть полностью скомпрометировано автоматически, 49% Web-приложений содержат уязвимости высокой степеней риска (Urgent и Critical), обнаруженные при автоматическом сканировании систем, при детальной ручной и автоматизированной оценке методом "белого ящика" вероятность обнаружения уязвимостей высокой степени риска достигает от 80% до 96%.

Проверка на соответствие требованиям стандарта индустрии платежных карт PCI DSS (Payment Card Industry Data Security Standard) показала, что вероятность обнаружения уязвимостей степени риска выше среднего составляет более 86% при любом методе работ, а при проведении глубокого анализа 99% Web-приложений не удовлетворяют требованиям стандарта.

Согласно статистике, наиболее распространенными уязвимостями являются "Межсайтовое выполнение сценариев" (Cross-Site Scripting), различные виды утечки информации (Information Leakage), "Внедрение операторов SQL" (SQL Injection), "Расщепление HTTP-запроса" (HTTP Response Splitting). По сравнению с 2007 годом число сайтов, содержащих SQL Injection, снизилось на 13%, Cross-site Scripting - на 20%, однако число сайтов, содержащих Information Leakage, возросло на 24%, также возросла вероятность автоматической компрометации узлов с 7% до 13%.

Если сравнить данные WASC с российской статистикой за 2008 год, выпущенной компанией Positive Technologies http://www.ptsecurity.ru/news_page.asp?id=47, можно отметить, что ситуация практически не отличается - 83% российских сайтов имеют критичные уязвимости, а одной из наиболее распространенных уязвимостей также является "Межсайтовое выполнение сценариев" (Cross-Site Scripting).

Лидер проекта WASC Web Application Security Statistics Project - Сергей Гордейчик, руководитель отдела консалтинга и аудита компании Positive Technologies, так прокомментировал ситуацию: "Статистика публикуется третий год подряд, и каждый новый выпуск демонстрирует ухудшение с общим состоянием безопасности Web-сайтов. Рост количества уязвимых систем связан с двумя факторами – с улучшением качества автоматизированных средств контроля защищенности и "хакерских" утилит, а также с увеличением доли динамических Web-приложений, которые, как правило, содержат больше проблем с безопасностью".

Полная версия отчета опубликована на страницах: http://www.securitylab.ru/analytics/386759.php (русск.) и http://projects.webappsec.org/Web-Application-Security-Statistics (eng).
____________________________________________________________
Web Application Security Consortium (WASC) www.webappsec.org – международная организация, объединяющая профессионалов в области безопасности Web-приложений. Проект WASC Web Application Security Statistics Project 2008 - совместная инициатива лидеров индустрии защиты Web-приложений, направленная на лучшее понимание природы уязвимостей Web-приложений. Основные цели проекта - идентификация распространенности и вероятности обнаружения уязвимостей различных классов и сравнение распространенных подходов к анализу с целью выявления их сильных и слабых сторон.
____________________________________________________________
Positive Technologies www.ptsecurity.ru - одна из ведущих российских компаний в области информационной безопасности. Основные направления деятельности компании - разработка системы контроля защищенности и соответствия стандартам MaxPatrol и сканера безопасности XSpider; предоставление консалтинговых и сервисных услуг в области информационной безопасности; развитие специализированного портала Securitylab.ru. Positive Technologies - это команда высококвалифицированных разработчиков, консультантов и экспертов, которые обладают большим практическим опытом, являются членами международных организаций и активно участвуют в развитии отрасли.
____________________________________________________________
Контактная информация: тел. +7 (495)744 0144, pr@ptsecurity.ru

Контактное лицо: PR менеджер
Компания: Positive Technologies
Добавлен: 18:01, 20.10.2009 Количество просмотров: 942

RooX представляет RooX UIDM CIAM — первый специализированный российский продукт для аутентификации клиентов и развития клиентского ID, RooX, 20:41, 05.02.2026, Россия563

RooX UIDM CIAM ориентирован на веб-сервисы, которым требуется удобные сценарии регистрации и входа клиентов, а также поддержка многофакторной аутентификации. Продукт от российского разработчика позволит любому бизнесу собрать собственный клиентский ID, встроенный в продуктовый сервис и соответствующий корпоративному дизайну.

БФТ-Холдинг завершил проект «Единый регистр населения Омской области», БФТ-Холдинг, 20:44, 05.02.2026, Россия555

В Омской области начал работу «Единый регистр населения Омской области» – информационный ресурс, который консолидирует данные о жителях региона из различных ведомств и используется при оказании государственных и муниципальных услуг.

Проценты — год бережёт: «Выберу.ру» подготовил рейтинг лучших вкладов на 1 год за январь 2026 года, Финансовый маркетплейс "Выберу.ру", 20:40, 05.02.2026, Россия558

«Выберу.ру» составил рейтинг с оставшимися наиболее выгодными депозитами при размещении денег на длинный срок — 1 год и свыше. Топ-подборка позволит вкладчикам в начале февраля найти максимально доходные варианты, чтобы зафиксировать двухзначные проценты и заработанной прибылью опередить инфляцию-2026.

ITKey получила сертификат ФСТЭК на облачную платформу KeyStack, ITKey, 18:10, 05.02.2026, Россия89

ITKey, ведущий российский разработчик и поставщик решений для построения облачной инфраструктуры, объявляет о получении сертификата ФСТЭК России на платформу виртуализации KeyStack.

На CSTB.PRO.MEDIA 2026 эксперты обсудят контентную политику онлайн-кинотеатров, CSTB, 20:42, 05.02.2026, Россия556

Какие новинки готовят онлайн-кинотеатры, сколько зарубежного контента будет в этом году. На CSTB.PRO.MEDIA 2026 эксперты обсудят контентную политику онлайн-кинотеатров.

Контроль товарных остатков с помощью 1С, RedLab, 20:46, 05.02.2026, Россия593
ИТ-компания RedLab приняла участие в реализации проекта по обеспечению стабильного и прозрачного обмена данными между 1С и интернет-магазином.

Аскона запустила программу «Рекомендовано Асконой» для отелей, Askona, 20:36, 05.02.2026, Россия68

Группа компаний «Аскона», эксперт в области товаров для здорового сна и уютного дома, в рамках программы Askona by Hotel в конце ноября 2025 года начала вручение дипломов «Рекомендовано Асконой».

Индид и UserGate представили совместное решение для безопасного удаленного доступа, Индид, 20:46, 05.02.2026, Россия556

Компания «Индид», разработчик комплекса продуктов в области защиты айдентити, и UserGate, российский разработчик решений по информационной безопасности, объявляют об успешном тестировании на совместимость межсетевого экрана следующего поколения UserGate NGFW и облачной системы многофакторной аутентификации (MFA).

«Кит-системс» расширил портфель решений для резервного копирования и восстановления данных, Кит-системс, 20:46, 05.02.2026, Россия557

Системный интегратор «Кит-системс» получил партнерскую авторизацию компании «Киберпротект».

ЭТП «Торги223» подтвердила статус официального оператора электронных торгов в Пермском крае, АО "ЦРЭТ" (оператор ЭТП "Торги223"), 20:45, 05.02.2026, Россия552

ЭТП «Торги223» (АО «ЦРЭТ») по итогам ежегодного отбора включена в перечень официальных операторов электронных площадок, допущенных к работе в Региональной информационной системе «Закупки Пермского края».

«Континент TLS-Сервер» от «Кода Безопасности» получил сертификат ФСБ, Код Безопасности, 20:35, 05.02.2026, Россия67

Программное решение «Континент TLS-Сервер» версии 2 от компании «Код Безопасности» получило официальный сертификат ФСБ России, подтверждающий его соответствие высоким требованиям к средствам криптографической защиты информации.

«Телфин» подвел итоги 2025 года: спрос на омниканальные решения связи растет на 40% в год, Телфин, 22:11, 04.02.2026, Россия149

Провайдер коммуникационных сервисов «Телфин» увеличил продажи комплексных решений связи на 40%. Спрос на омниканальные сервисы в корпоративном сегменте продолжает расти уже второй год подряд.

Versta.io обозначил тренды цифровизации, которые изменят логистику в России к 2030 году, Versta, 20:40, 05.02.2026, Россия571
Цифровой логистический оператор versta.io обозначил ключевые технологические тренды, определяющие развитие отрасли грузоперевозок на ближайшие 4-5 лет.

«1С-Рарус» — в топ-3 рейтинга TAdviser по цифровизации HoReCa, 1С-Рарус, 22:31, 04.02.2026, Россия187

«1С-Рарус» занимает лидирующие позиции в рейтинге TAdviser по цифровизации HoReCa. Компания предлагает индустрии гостеприимства и питания специализированные решения на платформе 1С, способствуя оптимизации процессов в условиях высокой конкуренции и регуляторных вызовов.

На CSTB.PRO.MEDIA 2026 обсудят тенденции платного ТВ и международную дистрибуцию российского контента, CSTB, 20:39, 05.02.2026, Россия157

Нужен ли блогерский контент на ТВ, у каких жанров российского кино наибольший потенциал дистрибуции. Об этом расскажут эксперты медиаотрасли на форуме CSTB.PRO.MEDIA 2026.