The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

63% web-сайтов содержат опасные уязвимости

23.05.2009 22:11

Компания WhiteHat Security опубликовала результаты исследования безопасности web-сайтов в сети. В соответствии с представленным отчетом, программное обеспечение 63% исследованных сайтов различных компаний содержит по меньшей мере одну критическую или опасную уязвимость. При этом в среднем на один сайт приходится 7 неисправленных проблем безопасности, среди которых лидируют уязвимости, позволяющие осуществить межсайтовый скриптинг (подвержено 65% сайтов) и ошибки приводящие к утечке информации (47% сайтов).

Около 30% сайтов содержат ошибки, позволяющие формировать подставной контент (spoofing), 18% имеют проблемы с авторизацией пользователей, 17% позволяют осуществлять подстановку SQL кода, 14% размещают скрытые ресурсы в предсказуемых местах, 11% допускают перехват сессий, 11% подвержены CSRF (cross-site request forger) атакам.

Если рассматривать степень подверженности уязвимостям сайтов в зависимости от области деятельности поддерживающих их организаций, то уязвимости были зафиксированы у 82% сайтов социальных сетей; 75% у сайтов фирм, связанных с информационными технологиями; 65% - финансовые компании; 64% - страховые фирмы; 61% - компании, занимающиеся розничной продажей; 59% - фармацевтические фирмы; 54% - предприятия, работающие в области телекоммуникаций; 47% - организации, связанные со здравоохранением.

Кроме того, в отчете подчеркнута проблема низкой эффективности и медлительности исправления ошибок. Например, среднее время исправления уязвимости, позволяющей осуществить подстановку SQL кода - 38 дней, XSS уязвимости - 58 дней, устранение утечки информации - 85 дней, проблемы с аутентификацией - два месяца.

  1. Главная ссылка к новости (http://www.darkreading.com/sec...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/21864-security
Ключевые слова: security, web
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (6) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 22:29, 23/05/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    интересно как они проводили исследование, какой инструмент использовали?
     
     
  • 2.2, Michael (??), 23:15, 23/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >интересно как они проводили исследование, какой инструмент использовали?

    я думаю, они зарабатывают аудитом сайтов и просто обобщили свою практику

     
     
  • 3.6, аноним (?), 11:43, 24/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    я думаю что они могли использовать базу с любого сайта безопасности по уязвимостям и просто просканить у кого какой варез стоит. Не секрет же что многие используют готовые CMS, опятьже могу стоять старые версии php и д.т. А чтобы найти дырку в самописном софте, это надо исследовать сайт вдоль и поперек, не думаю что они затрачивали на это силы.
     
     
  • 4.9, Ivan (??), 02:49, 25/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Был бы смешно, если бы не было страшно, но многие хостинг-провайдеры держат давно устаревший софт (в частности PHP) (в новых minor-версиях которого уже исправлены сотни ошибок и уязвимостей) под предлогом того, что он испытан и стабилен.
     

  • 1.3, user (??), 00:28, 24/05/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Чтобы узнать о результатах XSS атаки, нужен реальный взлом, => массовый хакинг. Но не это волнует... лучше бы сообщили как и при каких обстоятельствах достигли такого результата, иначе нахер статистика, если не знаешь где именно проблема.
     
     
  • 2.5, 70 (?), 09:45, 24/05/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Зато теперь ты будешь внимательнее ;)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру