Из всех попавших в рамки исследования web-ресурсов 64% содержали уязвимости высокого уровня опасности, 98% содержали уязвимости среднего уровня опасности, а 37% — низкого. Эксперты составили график из 10 самых популярных уязвимостей, которые встречаются в web-приложениях.
Как видим, наиболее популярной уязвимостью в Positive Technologies считают CSRF. При этом Уязвимость межсайтового скриптинга, как ни странно, занимает всего 6 место.
При оценке защищенности web-сайтов эксперты также рассмотрели вопрос различий уровня безопасности систем управления контентом (CMS) с открытым исходным кодом, коммерческих и написанных отдельно для сайта. Исследователи отмечают, что сайты, созданные на основе собственных CMS, хотя и содержат большее количество критических уязвимостей, менее подвержены «случайному» взлому. Коммерческие и open-source системы отличаются более высоким уровнем защищенности, но при этом также имеют свои слабые места. Так, коммерческие CMS наиболее подвержены атакам внедрения SQL-кода, а при работе с open-source решениями следует опасаться атак межсайтового скриптинга.
При изучении web-ресурсов финансового сектора эксперты Positive Technologies пришли к выводу о негативной ситуации в данном секторе. Только 10% ресурсов выполняют требования PCI DSS к защите web-приложений, при этом некорректная обработка ошибок наблюдается в 76% приложений.
Стоит отметить, что анализ систем дистанционного банковского обслуживания (ДБО) показал очень низкий процент наличия уязвимостей. Только 1% уязвимостей ДБО связан с высоким уровнем риска.
Две трети web-приложений содержат опасные уязвимости: 2 комментария