Последний доклад компании WhiteHat Security об уязвимостях веб-сайтов показал, что ситуация в Интернете немного улучшилась. При этом акцент следует сделать на слове “немного”.
В пятой части отчета “WhiteHat Website Security Statistics Report” сообщается, что 82% из 687 обследованных веб-сайтов имеют как минимум одну проблему в области безопасности с тех пор, как WhiteHat стала за ними наблюдать. Это несколько меньше по сравнению с данными, которые приводились в предыдущем, мартовском отчете, когда проблемы были обнаружены у 9 из 10 сайтов.
Из выявленных уязвимостей 66% было устранено. С другой стороны, по последним данным, 72% веб-сайтов имеют серьезные бреши в системе защиты, что практически совпадает с мартовскими данными (70%). За основу оценки уязвимостей был взят строгий стандарт PCI DSS (Payment Card Industry Data Security Standard).
Хотя компания сообщила, что в целом уязвимостей становится меньше, список наиболее распространенных практически не изменился, -- они хорошо знакомы всем, кто интересуется проблемами интернет-безопасности. Чаще всего встречается подверженность перекрестному использованию скриптов (cross-site scripting), которая обнаружена на семи из каждых десяти веб-сайтов. За ней следуют проблемы, связанные с утечкой информации (два сайта из пяти) и спуфингом контента (на одном из пяти сайтов).
Впервые в числе десяти главных уязвимостей оказалась подверженность перекрестным подложным запросам, которая позволяет атакующему заставить браузер жертвы послать в Интернет авторизованный запрос. Поскольку подложный запрос выглядит так, словно он поступил от имеющего необходимые права пользователя, веб-сайт обработает его соответствующим образом.
Что касается практических советов, то предприятиям следует уделять внимание приоритизации уязвимостей веб-сайтов в соответствии с их значимостью для бизнеса. Генеральный директор компании WhiteHat Джереми Гроссман рекомендует разработчикам правильно использовать проверку вводимой и фильтрацию исходящей информации. Кроме того, все запросы к базам данных должны быть параметризованы, чтобы защититься от угрозы инъекций в SQL-запросы, заявил Гроссман еженедельнику eWeek.