07.07.2012  Новости, Безопасность

Компания Positive Technologies обнародовала результаты анализа Web-приложений российских компаний и предприятий, который проводили ее специалисты с 2010 по 2011 гг. в рамках оказания услуг по тестированию на проникновение и анализу защищенности информационных систем. Объектами тестирования стали 123 сайта; оценка защищенности проводилась ручным способом по методам черного и белого ящиков с использованием вспомогательных автоматизированных средств. Как следует из материалов исследования, на всех 123 порталах были найдены уязвимости (в среднем по 15 уязвимостей на каждый из них). При этом 64% ресурсов содержали уязвимости критического уровня риска, 98% — среднего уровня и 37% — низкого. Вредоносным кодом были заражены около 10% сайтов. Абсолютным лидером стала уязвимость Cross-Site Request Forgery, обнаруженная на 61% проанализированных сайтов. Далее идут Brute Force и Information Leakage — 52% и 54% соответственно, а также критическая уязвимость SQL Injection (47%). В Top-10 попали еще две критические уязвимости, OS Commanding и Path Traversal (по 28%), и недостатки среднего уровня риска: Insufficient Anti-automation (42%), Cross-Site Scripting (40%), Predictable Resource Location (36%) и Insufficient Transport Layer Protection (22%). В целом 2011 г. был отмечен ростом доли ресурсов, подверженных уязвимости Cross-Site Request Forgery, тогда как SQL Injection и OS Commanding стали встречаться реже, чем в 2010 г. Что касается систем управления контентом ... читать далее.