Подразделением X-Force , компании IBM , опубликован очередной аналитический отчет " X-Force^ 2009 Trend and Risk Report ". В отчете охвачены следующие наборы данных:
- Уязвимости в целом (раскрытие уязвимостей, уровень опасности, вероятности эксплуатации, распределение уязвимостей по вендору и т.д.). - Уязвимости и угрозы Web-приложений
- Уязвимости и угрозы на стороне клиента (client-side)
- Угрозы просмотра нежелательного контента
- Вредоносные программы
- Спам
- Фишинг
name='more'>
X-Force признают, что наиболее распространенными типами угроз в настоящее время, являются уязвимости Web-приложений. Так выглядит динамика обнаруженных уязвимостей с 1998 года:
Рассматривая динамику уязвимостей с 2004 по 2009 год, X-Force приводит следующие результаты:
То есть, наиболее распространенными уязвимостями, связанными с разработкой Web-приложений, являются "Внедрение операторов SQL" (SQL Injection) [ CWE-89 , OWASP A2 , WASC-19 , WHID: SQL Injection ], "Межсайтовое выполнение сценариев" (Cross-Site Scripting, XSS) [ CWE-79 , OWASP A1 , WASC-8 , WHID: XSS ] и "Инклюдинг файлов" (File Include) [ CWE-98 , OWASP A3 , WASC-33 , WHID: LFI ], что в целом сходится с результатами статистики Positive Technologies [ 1 , 2 , 3 ] и с результатами международной статистики Web Application Security Consortium [ 4 ].
По данным X-Force, частота обнаружения уязвимости "Подделка HTTP-запросов" (Cross-Site Request Forgery) [ CWE-352 , OWASP A5 , WASC-9 , WHID: CSRF ] выросла за год почти на 40%. Это объясняется повышенным вниманием к указанной уязвимости в последнее время.
Впечатляющие цифры можно увидеть на графике автоматизированных сканирований за 2009 год (до 70,000,000 обнаруженных уязвимостей Cross-Site Scripting на большом скопе сканируемых узлов):
А так выглядит график срока публикации эксплоита с момента разглашения уязвимостей (client-side):
И разумеется соотношение наиболее опасных уязвимостей по вендору:
Но и 14% уязвимостей Adobe , в соотношении с другими производителями, было достаточно, чтобы к концу 2009 года стать одним из наиболее популярных векторов осуществления атаки на клиента:
Ознакомиться с полным содержимым отчета можно на сайте IBM по адресу: www.servicemanagementcenter.com
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
Рассматривая динамику уязвимостей с 2004 по 2009 год, X-Force приводит следующие результаты:
То есть, наиболее распространенными уязвимостями, связанными с разработкой Web-приложений, являются "Внедрение операторов SQL" (SQL Injection) [ CWE-89 , OWASP A2 , WASC-19 , WHID: SQL Injection ], "Межсайтовое выполнение сценариев" (Cross-Site Scripting, XSS) [ CWE-79 , OWASP A1 , WASC-8 , WHID: XSS ] и "Инклюдинг файлов" (File Include) [ CWE-98 , OWASP A3 , WASC-33 , WHID: LFI ], что в целом сходится с результатами статистики Positive Technologies [ 1 , 2 , 3 ] и с результатами международной статистики Web Application Security Consortium [ 4 ].
По данным X-Force, частота обнаружения уязвимости "Подделка HTTP-запросов" (Cross-Site Request Forgery) [ CWE-352 , OWASP A5 , WASC-9 , WHID: CSRF ] выросла за год почти на 40%. Это объясняется повышенным вниманием к указанной уязвимости в последнее время.
Впечатляющие цифры можно увидеть на графике автоматизированных сканирований за 2009 год (до 70,000,000 обнаруженных уязвимостей Cross-Site Scripting на большом скопе сканируемых узлов):
А так выглядит график срока публикации эксплоита с момента разглашения уязвимостей (client-side):
И разумеется соотношение наиболее опасных уязвимостей по вендору:
Но и 14% уязвимостей Adobe , в соотношении с другими производителями, было достаточно, чтобы к концу 2009 года стать одним из наиболее популярных векторов осуществления атаки на клиента:
Ознакомиться с полным содержимым отчета можно на сайте IBM по адресу: www.servicemanagementcenter.com 
