Рейтинг@Mail.ru

16 сентября 2014

Более 60% корпоративных сайтов содержат уязвимости с высокой степенью риска

Наиболее распространенные уязвимости (доля сайтов, %)

 

Согласно исследованию компании «Positive Technologies», в последнее время заметно возросло количество сайтов с уязвимостями высокой степени риска. Исследователи выявили распространенные уязвимости и оценили эффективность методов их обнаружения.

Анализу защищенности проводился компанией в 2013 году. В ходе тестов проверено около 500 сайтов. Из-за участившихся атак в банковской сфере значительная часть исследуемых сайтов принадлежала банкам. Проводился анализ безопасности сайтов СМИ в связи с громкими случаями их взломов и распространения дезинформации. Также изучались сайты государственных учреждений, промышленных предприятий и телекоммуникационных компаний.

В 2013 году 62% сайтов содержали уязвимости высокой степени риска. Этот показатель на 17% выше прошлогоднего. Наибольшее количество приложений с уязвимостями высокой степени риска было выявлено на сайтах СМИ (80%). А среди сайтов дистанционного банковского обслуживания ни одна из исследованных систем не соответствовала требованиями стандарту безопасности данных индустрии платежных карт PCI DSS.

Наиболее распространенная прореха 2013 года – межсайтовое выполнение сценариев. Она встречается среди 78% исследованных сайтов. Данная уязвимость позволяет злоумышленнику изменять содержимое веб-страницы, отображаемой в браузере пользователя. Например, в системе интернет-банкинга злоумышленник может сформировать фальшивую форму авторизации. При этом введенные данные будут отправляться на сервер нарушителя.

Второе место (69%) занимает слабая защита от подбора идентификаторов или паролей пользователей. В десятку также вошли «Внедрение операторов SQL» и «Внедрение внешних сущностей XML». В процентном соотношении эти две уязвимости высокой степени риска составили 43% и 20% соответственно.

Наименее защищенными оказались сайты, написанные на языке PHP. Критические уязвимости содержат 76% из них. Опасная уязвимость «Внедрение операторов SQL» встречается на 62% таких сайтах. Вторыми по степени защиты оказались ресурсы на Java (70%) и ASP.NET (55%).

Эксперты Positive Technologies провели сравнительный анализ тестирования приложений методами черного, серого и белого ящиков:

  • метод черного ящика подразумевает исследование системы без получения данных о ней со стороны владельца;
  • метод серого ящика предполагает нарушителя, который обладает некоторыми привилегиями в системе;
  • метод белого ящика осуществляет анализ с использованием всех данных о системе, включая исходные коды программ.

Среди ресурсов исследованных методами черного и серого ящиков критические уязвимости нашлись на 60% сайтов. Для метода белого ящика этот показатель составил 75%.

Тестирование методом белого ящика позволяет обнаружить примерно в 10 раз больше критических уязвимостей, чем тестирование методами черного и серого ящиков, однако владельцы сайтов используют его редко.

Просмотров: 401

Ссылки по теме

Positive Technologies

Ваши комментарии:

Для того, чтобы оставлять коментарии, Вам нужно авторизоваться на Sec.Ru. Если У Вас еще нет аккаунта, пройдите процедуру регистрации.


Информация

  • Снимай крутую видеорекламу - выкладывай на Sec.Ru!

    Рекламный ролик - один из самых эффективных способов донесения информации. И он отлично подходит для рекламирования любой продукции, в т.ч. и продукции рынка систем безопасности.
    Поэтому редакция Портала решила составить свой рейтинг лучших рекламных видеороликов. Все они разные и все чем-то покоряют: красотой, задумкой, стилем съемки, посылом, необычным финалом.
    Некоторые из них язык не повернется назвать иначе как шедевром короткого метра. Смотрим, наслаждаемся, делаем заметки, учимся творить рекламу правильно.
    Если Вы хотите выложить видеоролик о своей продукции на Sec.Ru, пишите о своем желании на adv@sec.ru!

    Картинка: Jpg, 100x150, 16,47 Кбайт

    Мотор!

Отраслевые СМИ

Все права защищены 2002 – 2017
Rambler's Top100 �������@Mail.ru