Статистика веб-безопасности показало, что XSS и устаревшее программное обеспечение являются основными проблемами

Netsparker только что опубликовал анонимную статистику веб-безопасности об уязвимостях безопасности, которые их онлайн-решение выявило в веб-приложениях и веб-сервисах своих пользователей в течение последних 3 лет.

Такие статистические данные, которые не основаны на опросах, могут быть весьма полезными — по крайней мере, чтобы получить общий обзор того, что происходит.

Эти статистические данные также служат главной цели — они помогают всем разработчикам, специалистам по безопасности и всем, кто работает с веб-приложениями, лучше понимать, что может быть неправильным в создании, разработке и защите.

XSS более распространен, чем SQL-инъекция

SQL инъекция была самой важной уязвимостью веб-приложений за последнее десятилетие в соответствии с 10 списком уязвимостей безопасности для веб-приложений OWASP (да, ребята, мы все еще ждем новой версии!).

Хотя статистика Netsparker показывает нам, все это наоборот, по крайней мере, с точки зрения объема.

26% идентифицированных уязвимостей, 40 908, если быть точным, были комбинацией отраженных и DOM межсайтовых сценариев (XSS).

Только 2% выявленных уязвимостей были SQL-инъекциями.

Это большое расхождение, хотя это не удивительно, по мнению авторов. Они сказали следующее:

У разработчиков есть много ресурсов для написания кода, который не уязвим для SQL-инъекций, таких как подготовленные операторы. Новые фреймворки по умолчанию защищают от SQLi и затрудняют запись небезопасного кода SQL. С другой стороны, XSS-уязвимости гораздо сложнее реализовать, и даже когда в структуре встроена защита, очень легко совершить ошибки

Устаревшее и уязвимое программное обеспечение по-прежнему является серьезным угрозой безопасности веб-приложений

Обновляйте свои приложения, сервера, ваше программное обеспечение — Apple, Google, Microsoft постоянно обыгрывают эту тему, но, похоже, это мало помогает.

Это одна из самых простых передовых практик, особенно в наше время с автоматическим обновлением и программным обеспечением для управления патчами.

Кажется, что люди не следят за этим и 5% выявленных проблем, связанны с устаревшим программным обеспечением.

Если бы Equifax и Mossack Fonseca обновили свое программное обеспечение, в прошлом году у нас не было бы двух самых больших нарушений данных в Интернете.

Accuracy является ключом к более безопасным веб-приложениям

Есть еще несколько статистических данных, из которых мы можем чему-то научиться, интересным для меня было то, что Netsparker автоматически проверял около 80% выявленных уязвимостей.

Ложные срабатывания — большая проблема в автоматическом сканировании уязвимостей и безопасности, поскольку кому-то приходится вручную тратить часы на проверку результатов и отсеивание ложных срабатываний.

Благодаря тому, что Netsparker автоматически делает это, небольшая команда может выполнять более эффективную работу, а более крупная команда может быть более продуктивной, делая меньше ручной проверки.

Отчет о статистике сетевой безопасности Netsparker

Отчет гораздо более подробный и содержит гораздо больше статистических данных, поэтому, пожалуйста, прочитайте отчет статистики сканирования Netsparker для всех выпусков и общих проблем безопасности, которые делают веб-приложения уязвимыми для злоумышленных атак хакеров.

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40