Международная статистика уязвимостей web-приложений
Группа экспертов, входящая в Web Application Security Consortium, международную организацию, объединяющую профессионалов в области безопасности web-приложений, опубликовала статистику уязвимостей безопасности интернет-сайтов, обнаруженных в 2007 году. Данные были получены по результатам работ по оценке защищенности web-приложений, проводимых в 2007 году компаниями Booz Allen Hamilton, BT, Cenzic, dblogic.it, HP Application Security Center, Positive Technologies, Veracode и WhiteHat Security.
В статистику вошли два набора данных: результаты автоматического тестирования и результаты работ по оценке защищенности с использованием методов BlackBox и WhiteBox. Статистика содержит данные о более чем 32 000 web-приложений, в которых было обнаружено около 70 000 уязвимостей различной степени риска. Согласно статистике, наиболее распространенными уязвимостями являются Cross-Site Scripting, Information Leakage, SQL Injection и Predictable Resource Location.
Анализ полученных данных показал, что более 7% всех проанализированных сайтов могут быть скомпрометированы полностью автоматически, а при детальной ручной и автоматизированной оценке вероятность обнаружения уязвимости высокой степени риска достигает 96,8%.
В статистику вошли два набора данных: результаты автоматического тестирования и результаты работ по оценке защищенности с использованием методов BlackBox и WhiteBox. Статистика содержит данные о более чем 32 000 web-приложений, в которых было обнаружено около 70 000 уязвимостей различной степени риска. Согласно статистике, наиболее распространенными уязвимостями являются Cross-Site Scripting, Information Leakage, SQL Injection и Predictable Resource Location.
Анализ полученных данных показал, что более 7% всех проанализированных сайтов могут быть скомпрометированы полностью автоматически, а при детальной ручной и автоматизированной оценке вероятность обнаружения уязвимости высокой степени риска достигает 96,8%.