. Он был составлен на основании анализа уязвимостей сайтов, которые компания выполняла для своих клиентов, а также в рамках услуги "Проверка Безопасности Сайта", которая проводилась с помощью программы MaxPatrol у клиентов хостинг-центра РБК. При этом вручную экспертами компании было проверено 59 сайтов и все они оказались уязвимыми (найдено 428 уязвимостей), в то время как при анализе с помощью MaxPatrol 10400 сайтов уязвимыми оказались 7802 (найдено 33503 уязвимостей). По приведенным цифрам видно, что эксперты обнаруживают в среднем больше уязвимостей, чем MaxPatrol. Впрочем, это объясняется тем, что эксперты анализировали приложения методом "белого ящика", а в MaxPatrol был использован модуль PenTest - удаленного нетравматического взлома.

По результатам исследований оказалось, что наиболее распространенной уязвимостью оказывается утечка важной информации - она была зарегистрирована на 97,19% исследованных сайтов. В эту категорию входит доступ к исходному коду серверных сценариев, раскрытие пути каталога Web-сервера, получение различной чувствительной информации и прочее. Критичность ошибок данного класса может варьироваться от низкой до критичной - зависит от того какая именно информация находится в общем доступе.

Ошибки типа «Межсайтовое выполнение сценариев» были обнаружены на 50,10% сайтов, однако 30,08% всех уязвимостей приложений относится к этому типу. Эти ошибки позволяют одним пользователям сайта нападать на других.

Детальный анализ, проведенный экспертами с доступом к исходному коду сайтов, показал, что 68% из них уязвимы для атак типа SQL-инъекций, которые часто позволяют встроить вредоносный код в состав сайта. Хотя доля уязвимых для этого типа атак сайтов, обнаруженных с помощью MaxPatrol, оказалась на уровне 15,50% (пятое место).

По результатам отчета 83% сайтов имеют критичные уязвимости, а в 78-ми случаях из ста в программном обеспечении Web-приложения содержатся уязвимости средней степени риска. При этом до 20% Web-приложений могут быть инфицированы автоматизированным способом, то есть с помощью вирусов или червей. В результатах 2008 года впервые была опубликована статистика по обнаруженному вредоносному ПО на сайтах. Оказалось, что на 1,32% сайтов из 10400 проверенных были обнаружены последствия взлома.

Поделитесь материалом с коллегами и друзьями