CENZIC Web Application Security Trends Report

Компания CENZIC, поставщик программного обеспечения и услуг по защите Web-приложений, на днях опубликовала отчет по тенденциям безопасности Web-приложений за период со второго квартала 2008 года по четвертый квартал 2009 года. Основные выводы, сделанные специалистами компании CENZIC по результатам проведенного анализа:

- 82% всех обнаруженных уязвимостей связано с Web-технологиями;
- Большее количество уязвимостей найдено в браузере Firefox;
- Компании Adobe, Sun (а теперь уже Oracle) и HP содержаться в числе 10 ведущих поставщиков с наиболее серьезными уязвимостями (на вторую половину 2009 года).

Анализ бюллетеней безопасности, публикуемых NIST, MITRE, SANS, US-CERT и OSVDB, позволил получить соотношение уязвимостей, связанных с Web-технологиями, от общего числа всех обнаруживаемых уязвимостей с середины 2008 по окончанию 2009 г.


Анализ наиболее часто встречающихся уязвимостей за 3 и 4 кварталы 2009 года позволил получить следующие данные:


То есть, основными недостатками при разработке коммерческих Web-приложений являются уязвимости:
- Межсайтовое выполнение сценариев (Cross-Site Scripting, XSS)
- Внедрение операторов SQL (SQL Injection)
- Выход за корневой каталог Web-сервера (Path Traversal)

Рассматривая категорию прочих уязвимостей (Misc, 44%), компания CENZIC приводит следующие результаты:


Анализ наиболее часто встречаемых уязвимостей в "живых" приложениях собственных клиентов компании CENZIC позволил получить результаты, представленные на рисунке ниже:


То есть, уязвимости, которые приводят к выполнению команд на сервере (RFI/SQLi), встречаются в 32% случаев. Уязвимости, связанные с механизмами аутентификации и авторизации можно встретить на 71% Web-приложений. А наиболее распространенными недостатками являются различные утечки информации (93%) и уязвимость типа "Межсайтовое выполнение сценариев" (81%).

Проводя анализ обнаруженных и устраненных уязвимостей в наиболее популярных браузерах, компанией CENZIC были получены такие результаты:


То есть, по числу уязвимостей лидирует Firefox, а в рядах отстающих по тому же критерию - Opera. Это вовсе не означает, что Opera является более защищенным браузером по сравнению с остальными браузерами, приводимыми в отчете. Аналогично конкурентам Opera не застрахован от zero-day атак [1].

Анализ уязвимостей Web-серверов показал, что чуть больше половины всех обнаруженных уязвимостей во второй половине 2009 года приходится на продукт WebSphere компании IBM:


Ознакомиться с полным содержимым отчета можно по следующему адресу: http://www.cenzic.com/downloads/Cenzic_AppSecTrends_Q3-Q4-2009.pdf
Автор: от

1 комментарий :

  1. Dmitry Evteev7 марта 2010 г. в 22:25

    в продолжение темы (NSS Labs Browser Security Testing): http://nsslabs.com/browser-security

    ОтветитьУдалить