Серьёзные веб-уязвимости встречаются всё реже Крупные компании, которые занимаются ИБ, периодически публикуют отчёты о состоянии дел с безопасностью в интернете. Почти всегда в этих отчётах много негатива: растёт количество вирусов, количество уязвимостей и так далее. Редкий случай, когда выходит исследование с прямо противоположными выводами: такое исследование несколько дней назад опубликовала компания WhiteHat Security, которая занимается обеспечением безопасности веб-приложений. По данным WhiteHat Security, количество серьёзных уязвимостей в вебе значительно уменьшилось в последнее время. Они собирают статистику ежегодно, сканируя содержимое нескольких тысяч сайтов в течение всего года. Так, в 2011 году по результатам сканирования более 7000 сайтов (сотни терабайт контента) им удалось обнаружить в среднем 79 серьёзных уязвимостей на каждом сайте. Для сравнения, в 2010 году таковых было 230, в 2009 году — 480, в 2008 году — 795, в 2007 году — 1111. Серьёзные уязвимости стали гораздо быстрее устранять: в 2011 году среднее время закрытия уязвимости составило 38 дней, тогда как в 2010 голу было 110 дней. Процент закрываемых уязвимостей в прошлом году тоже вырос с 53% до 63%. Если рассматривать уязвимости по типам, то на первом месте по популярности остаётся межсайтовый скриптинг (XSS), который встречается на 55% сайтов. Далее следуют утечки информации (53% сайтов), контент-спуфинг (36%), недостаточная авторизация (21%) и межсайтовая подмена запроса (CSRF, 19%). Только на восьмом месте в списке оказались SQL-инъекции: их обнаружили всего на 11% сайтов. Рейтинг по абсолютному количеству уязвимостей выглядит несколько иначе: здесь у XSS абсолютное преимущество. Это связано с тем, что на некоторых сайтах могут быть сотни XSS. По отраслям самыми безопасными признаны банковские сайты: на каждом из них обнаружено всего лишь по 17 уязвимостей. Хуже всего ситуация у интернет-магазинов (121). 02.07.2012 http://www.xakep.ru/post/58926/ https://www.whitehatsec.com/assets/WPstats_summer12_12th.pdf
очень интересно как они считают) поди так http://xxx.com/news.php?id=1{SQL} раз уязвимость http://xxx.com/news.php?id=2{SQL} два уязвимость .. http://xxx.com/news.php?id=79{SQL} семьдесят девять уязвимость
Неудивительно. Через пару лет уязвимостей вообще не останется скорей всего. Профессионализм разработчиков растет, да и волна в СМИ по поводу всяких анонистов, лулсеков заставлет держать форму.
Дану, это опять же смотря из какого разряда сайт. Если магазин, дык его любой студент/школьник и т.д. может сделать, а профессионализме можно только мечтать (за редким исключением). А в их ряды вступают новые и новые члены => дырок меньше не станет на таких сайтах. И даже если не будут ломаться цмс, на которых они делают сайты, то модули к ним будут по прежнему оставлять желать лучшего.
я делал немного другую стату весной был в работе мой многопоточный сканер SQLi на фаззинг параметров с кавычками на POST, GET, Cookies, Referer, User-Agent проверено миллион хостов из списка Alexa Rank (то бишь самые траффистые) результат был шокирующим на каждом 20-м сайте была вызвана ошибка SQL общая картина состояла из уязвимостей в обработке кавычек у MySQL, MSSQL, PostgreSQL, Oracle, SQLite и даже Frontbase.