Компания Positive Technologies выпустила интересный отчет о статистике обнаруженных уязвимостей за 2010-2011 годы.
К сожалению, в отчет не попали результаты исключительно автоматизированного анализа приложений. Только ручной и комбинированный анализ, а количество сайтов всего 123 за 2 года. Для того чтобы делать выводы по определенным отраслям или вести поквартальную статистику. (Собственно, какой интерес в поквартальной статистике, кроме информации о квартальной загруженности специалистов Positive Technologies.)
Но большая часть выводов из анализа интересны:
· Все анализировавшийся в web-приложения имели уязвимости как минимум среднего уровня (в 2011 году) и 64% приложений имели уязвимости высокого уровня.
· Наиболее популярные критические уязвимости
· Причемдляweb приложенийнаPHP наиболеехарактерныCross-Site Request Forgery, SQL Injection, Path Traversal, дляASP.NET - Cross-Site Request Forgery, SQL Injection, дляJava - Cross-Site Request Forgery, OS Commanding.
· Наибольший процент критических уязвимостей в приложениях отрасли Телекоммуникаций - 88%, а наименьший процент в финансовом секторе – 44%.
· В системах ДБО встречаются в основном уязвимости среднего уровня (90%). То есть наиболее критические возможные уязвимости проверяются разработчиком, а уязвимости низкого уровня не встречаются в силу назначения ДБО.
· Только 10% приложений финансового сектора соответствует требованиям PCI DSS.
В плане 100% наличия уязвимостей в web приложениях очень актуальны становятся специализированныесредства защиты веб приложений.