Эксперты: Уязвимости в web-сайтах – обычное дело

Согласно отчету компании DOSarrest Internet Security, сервис тестирования и оптимизации уязвимостей (Vulnerability Testing and Optimization, VTO) обнаружил, что 90% из 50 исследованных сайтов содержат одну и более брешей. В 95% случаев они связаны с утечкой информации в связи с устаревшими версиями ПО и установленных модулей. 

Уязвимости в исследованных сайтах позволяют злоумышленникам осуществлять подделку межсайтовых запросов (CSRF) и межсайтовый скриптинг (XSS). Кроме того, по словам экспертов, обычным явлением являются SQL-инъекции. Так, 22% уязвимых сайтов содержат бреши, позволяющие осуществлять этот тип атак. 

«Это не значит, что 90% сайтов содержат несколько уязвимостей. Однако в большинстве случаев они связаны с недостаточной защитой информации и управлением сеансами», - сообщил менеджер по обеспечению безопасности DOSarrest Шон Пауэр (Sean Power).

В мае нынешнего года эксперты WhiteHat Security сообщили, что в 2012 году количество серьезных уязвимостей, приходящихся на один сайт, снизилось до 56 (по сравнению с 79 в 2011 году). Тем не менее, в 86% исследуемых интернет-ресурсов обнаружена, по крайней мере, одна уязвимость , которая могла эксплуатироваться ежедневно. 

По словам одного из основателей WhiteHat Security Джеремайи Гроссмана (Jeremiah Grossman), безопасность web-сайтов является постоянной движущейся целью, и организации должны осознавать, как различные этапы разработки жизненного цикла системы (SDLC) влияют на появление уязвимостей.

«Очевидно, что организации избрали политику ничего не предпринимать, пока что-либо не случится», - сообщил Гроссман.