Сегодня Web Application Security Consortium
(WASC) был опубликован новый доклад об угрозах в Сети. Выводы неутешительны
- у 97% сайтов обнаруживаются критические уязвимости.
"В 7,72% приложений можно найти критические уязвимости при помощи
автоматического сканирования", - говорится в докладе WASC. "А детальный анализ с
применением автоматизированных средств увеличивает вероятность обнаружения таких
уязвимостей до 96,85%", - написано там же.
Данные WASC основываются на анализе 32000 веб-сайтов, произведенном как с
помощью автоматических инструментов, так и при помощи так называемого "white-
and black-box" сканирования, при котором ручной анализ и автоматизированные
инструменты совмещены.
Получающая все большее распространение межсайтовая подделка запросов (CSRF)
не набрала в этом отчете много баллов, уязвимость подобного рода обнаружилась
лишь у 1,43% ресурсов, однако, несмотря на это, в WASC ее считают самой
распространенной проблемой, поскольку ее весьма трудно обнаружить при помощи
автоматических средств, и большинство экспертов сходятся во мнении, что она,
наверняка, много где присутствует. Как обычно, самыми часто встречающимися в
сети уязвимостями стали межсайтовый скриптинг (41%), утечки информации (32%),
SQL-инъекции (9%) и раскрытие пути (8%).
