Количество уязвимостей, обнаруженных в веб-приложениях в 2006 г., выросло более чем на треть по сравнению с 2005 г., по данным трёх баз данных уязвимостей — CERT/CC, NVD (Национальной базы данных уязвимостей), OSVDB (Базы данных уязвимостей открытого кода) и базы данных уязвимостей Symantec. По данным базы CERT/CC, в 2006 году зафиксировано 8064 дыр, на 35% больше, чем в 2005 г.
Самым крупным фактором роста стал более лёгкий процесс обнаружения уязвимостей в бесплатных и коммерческих веб-приложениях, считает Арт Маньон, глава команды обнаружения уязвимостей Координационного центра CERT. «Их стало легче находить, легче создавать и легче применять», — сказал он.
В 2005 г. рост количества уязвимостей, собранных во всех четырёх базах (CERT/CC, NVD, OSVDB, Symantec), объясняли той же причиной.
В первом полугодии 2006 г. более трёх четвертей всех уязвимостей ПО были найдены в приложениях, работающих с интернетом, утверждают в Symantec. В октябрьском докладе Common Vulnerabilities and Exposures Project (CVE) первые три наиболее опасные категории, к которым относится 45% уязвимостей, найденных с января по сентябрь включительно, приходились на веб-программы.
Под лёгкостью поиска уязвимостей специалисты подразумевают возможность поиска в исходном коде — как в интернете, так и на локальном компьютере. «Многие люди проводят исследования grep и gripe», — говорит Стивен Кристи, редактор проекта CVE, управляемого некоммерческой корпорацией MITRE по заказу правительства. «Grep» — команда (утилита) поиска по файлам в Unix-системах, в том числе по шаблонам.
С 2001 г. количество уязвимостей, найденных в веб-приложениях, выросло, по разным данным, в 4-8 раз (4,8-8,5 тыс. против 1,4-2,4 тыс).
Из всех уязвимостей в веб-приложениях 43% были найдены в коде, написанном на PHP. Этот популярный язык используется для написания малых и средних веб-сайтов, однако его применяют и Yahoo, и Google, и другие крупные компании.
Операционные системы на этом фоне выглядят надёжнее, но и здесь обнаружение уязвимостей нулевого дня сыграло большую роль в атаках. Уязвимости нулевого дня, то есть те, которые хакеры обнаруживают и используют раньше, чем специалисты по безопасности и компании-разработчики, стали растущей тенденцией в прошлом году, — указывает Оливер Фридрихс, директор Symantec по реагированию на проблемы безопасности. «Реальная угроза уязвимостей нулевого дня состоит в том, что они часто используются для кражи информации в ходе очень узконаправленных атак против отдельных компаний. В то же время, простые уязвимости в веб-приложениях не наносят материального ущерба такого масштаба».