Сегодня Web Application Security Consortium
(WASC)
был опубликован новый доклад об угрозах в Сети. Выводы неутешительны
— у 97% сайтов обнаруживаются критические уязвимости.

"В 7,72% приложений можно найти критические уязвимости при помощи
автоматического сканирования", — говорится в докладе WASC. "А детальный анализ с
применением автоматизированных средств увеличивает вероятность обнаружения таких
уязвимостей до 96,85%", — написано там же.

Данные WASC основываются на анализе 32000 веб-сайтов, произведенном как с
помощью автоматических инструментов, так и при помощи так называемого "white-
and black-box" сканирования, при котором ручной анализ и автоматизированные
инструменты совмещены.

Получающая все большее распространение межсайтовая подделка запросов (CSRF)
не набрала в этом отчете много баллов, уязвимость подобного рода обнаружилась
лишь у 1,43% ресурсов, однако, несмотря на это, в WASC ее считают самой
распространенной проблемой, поскольку ее весьма трудно обнаружить при помощи
автоматических средств, и большинство экспертов сходятся во мнении, что она,
наверняка, много где присутствует. Как обычно, самыми часто встречающимися в
сети уязвимостями стали межсайтовый скриптинг (41%), утечки информации (32%),
SQL-инъекции (9%) и раскрытие пути (8%).



Оставить мнение