63% web-сайтов содержат опасные уязвимости

23.05.2009 22:11

Компания WhiteHat Security опубликовала результаты исследования безопасности web-сайтов в сети. В соответствии с представленным отчетом, программное обеспечение 63% исследованных сайтов различных компаний содержит по меньшей мере одну критическую или опасную уязвимость. При этом в среднем на один сайт приходится 7 неисправленных проблем безопасности, среди которых лидируют уязвимости, позволяющие осуществить межсайтовый скриптинг (подвержено 65% сайтов) и ошибки приводящие к утечке информации (47% сайтов).

Около 30% сайтов содержат ошибки, позволяющие формировать подставной контент (spoofing), 18% имеют проблемы с авторизацией пользователей, 17% позволяют осуществлять подстановку SQL кода, 14% размещают скрытые ресурсы в предсказуемых местах, 11% допускают перехват сессий, 11% подвержены CSRF (cross-site request forger) атакам.

Если рассматривать степень подверженности уязвимостям сайтов в зависимости от области деятельности поддерживающих их организаций, то уязвимости были зафиксированы у 82% сайтов социальных сетей; 75% у сайтов фирм, связанных с информационными технологиями; 65% - финансовые компании; 64% - страховые фирмы; 61% - компании, занимающиеся розничной продажей; 59% - фармацевтические фирмы; 54% - предприятия, работающие в области телекоммуникаций; 47% - организации, связанные со здравоохранением.

Кроме того, в отчете подчеркнута проблема низкой эффективности и медлительности исправления ошибок. Например, среднее время исправления уязвимости, позволяющей осуществить подстановку SQL кода - 38 дней, XSS уязвимости - 58 дней, устранение утечки информации - 85 дней, проблемы с аутентификацией - два месяца.

исправить +/–

Главная ссылка к новости (http://www.darkreading.com/sec...)

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/21864-security

Ключевые слова: security, web

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (6)

1.1, Аноним (-), 22:29, 23/05/2009 [ответить] [﹢﹢﹢] [ · · · ]	+/–
интересно как они проводили исследование, какой инструмент использовали?

2.2, Michael (??), 23:15, 23/05/2009 [^] [^^] [^^^] [ответить]	+/–
>интересно как они проводили исследование, какой инструмент использовали? я думаю, они зарабатывают аудитом сайтов и просто обобщили свою практику

3.6, аноним (?), 11:43, 24/05/2009 [^] [^^] [^^^] [ответить]	+/–
я думаю что они могли использовать базу с любого сайта безопасности по уязвимостям и просто просканить у кого какой варез стоит. Не секрет же что многие используют готовые CMS, опятьже могу стоять старые версии php и д.т. А чтобы найти дырку в самописном софте, это надо исследовать сайт вдоль и поперек, не думаю что они затрачивали на это силы.

4.9, Ivan (??), 02:49, 25/05/2009 [^] [^^] [^^^] [ответить]	+/–
Был бы смешно, если бы не было страшно, но многие хостинг-провайдеры держат давно устаревший софт (в частности PHP) (в новых minor-версиях которого уже исправлены сотни ошибок и уязвимостей) под предлогом того, что он испытан и стабилен.

1.3, user (??), 00:28, 24/05/2009 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Чтобы узнать о результатах XSS атаки, нужен реальный взлом, => массовый хакинг. Но не это волнует... лучше бы сообщили как и при каких обстоятельствах достигли такого результата, иначе нахер статистика, если не знаешь где именно проблема.

2.5, 70 (?), 09:45, 24/05/2009 [^] [^^] [^^^] [ответить]	+2 +/–
Зато теперь ты будешь внимательнее ;)

игнорирование участников | лог модерирования

Добавить комментарий

Текст: