Эксперты компании Positive Technologies, предоставляющей услуги в сфере аудита и обеспечения информационной безопасности, опубликовали ежегодное исследование уязвимостей веб-приложений.
Так, наиболее распространенной уязвимостью является межсайтовое выполнение сценариев (Cross-Site Scripting, XSS), на долю которой приходится 43% всех ошибок. Как отмечено в отчете, данная ошибка встречалась в 74% всех проанализированных приложений – практически три четверти всех сайтов содержит подобную ошибку. Также достаточно часто встречаются уязвимости, связанные с внедрением операторов SQL (SQL Injection) и различные варианты утечки информации (Information Leakage).
Среди причин утечек можно отметить ошибки в разграничении доступа к интернет-ресурсам, хранение в общедоступных, но "скрытых" папках конфиденциальных данных, резервные копии сценариев. Степень риска, связанная с этими уязвимостями варьируется в зависимости от конкретной ситуации. В некоторых случаях исследователям удалось получить доступ к критичной системной или деловой информации (например, базам учетных записей, журналам транкзаций) используя только механизм Forced Browsing (посредством подбора имен файлов, доступных для загрузки из Интернета).
Исследователи обнаружили критические уязвимости в 63% сайтов, а в 93% случаев в программном обеспечении веб-приложений были обнаружены уязвимости средней степени риска.
 |
|
жаль ... но куда деваться... НАША РАША.... Свернуть
