Netsparker только что опубликовал анонимную статистику веб-безопасности об уязвимостях безопасности, которые их онлайн-решение выявило в веб-приложениях и веб-сервисах своих пользователей в течение последних 3 лет.
Такие статистические данные, которые не основаны на опросах, могут быть весьма полезными – по крайней мере, чтобы получить общий обзор того, что происходит.
Эти статистические данные также служат главной цели – они помогают всем разработчикам, специалистам по безопасности и всем, кто работает с веб-приложениями, лучше понимать, что может быть неправильным в создании, разработке и защите.
XSS более распространен, чем SQL-инъекция
SQL инъекция была самой важной уязвимостью веб-приложений за последнее десятилетие в соответствии с 10 списком уязвимостей безопасности для веб-приложений OWASP (да, ребята, мы все еще ждем новой версии!).
Хотя статистика Netsparker показывает нам, все это наоборот, по крайней мере, с точки зрения объема.
26% идентифицированных уязвимостей, 40 908, если быть точным, были комбинацией отраженных и DOM межсайтовых сценариев (XSS).
Только 2% выявленных уязвимостей были SQL-инъекциями.
Это большое расхождение, хотя это не удивительно, по мнению авторов. Они сказали следующее:
У разработчиков есть много ресурсов для написания кода, который не уязвим для SQL-инъекций, таких как подготовленные операторы. Новые фреймворки по умолчанию защищают от SQLi и затрудняют запись небезопасного кода SQL. С другой стороны, XSS-уязвимости гораздо сложнее реализовать, и даже когда в структуре встроена защита, очень легко совершить ошибки
Устаревшее и уязвимое программное обеспечение по-прежнему является серьезным угрозой безопасности веб-приложений
Обновляйте свои приложения, сервера, ваше программное обеспечение – Apple, Google, Microsoft постоянно обыгрывают эту тему, но, похоже, это мало помогает.
Это одна из самых простых передовых практик, особенно в наше время с автоматическим обновлением и программным обеспечением для управления патчами.
Кажется, что люди не следят за этим и 5% выявленных проблем, связанны с устаревшим программным обеспечением.
Если бы Equifax и Mossack Fonseca обновили свое программное обеспечение, в прошлом году у нас не было бы двух самых больших нарушений данных в Интернете.
Accuracy является ключом к более безопасным веб-приложениям
Есть еще несколько статистических данных, из которых мы можем чему-то научиться, интересным для меня было то, что Netsparker автоматически проверял около 80% выявленных уязвимостей.
Ложные срабатывания – большая проблема в автоматическом сканировании уязвимостей и безопасности, поскольку кому-то приходится вручную тратить часы на проверку результатов и отсеивание ложных срабатываний.
Благодаря тому, что Netsparker автоматически делает это, небольшая команда может выполнять более эффективную работу, а более крупная команда может быть более продуктивной, делая меньше ручной проверки.
Отчет о статистике сетевой безопасности Netsparker
Отчет гораздо более подробный и содержит гораздо больше статистических данных, поэтому, пожалуйста, прочитайте отчет статистики сканирования Netsparker для всех выпусков и общих проблем безопасности, которые делают веб-приложения уязвимыми для злоумышленных атак хакеров.