Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

1. МЕТОДИКА И ИССЛЕДОВАНИЯ

Данный отчет содержит обзорную статистику уязвимостей веб-приложений, полученную в ходе работ по анализу защищенности, выполненных экспертами компании Positive Technologies в 2012 году. В общей сложности в 2012 году специалисты компании Positive Technologies изучили порядка 400 веб-приложений в рамках различных работ, начиная от инструментального сканирования и заканчивая анализом исходного кода. С целью получения объективной оценки уровня защищенности были выделены 67 веб-приложений, для которых проводился углубленный анализ защищенности с наиболее полным покрытием проверок. Результаты анализа защищенности веб-приложений, полученные в ходе таких работ, как инструментальное сканирование или тестирование на проникновение, в данном исследовании не затрагиваются.

Для выделенных 67 сайтов было обнаружено 576 уязвимостей различной степени риска. Оценка защищенности проводилась ручным способом методами черного, серого и белого ящиков с использованием вспомогательных автоматизированных средств. Метод черного ящика заключается в проведении работ по оценке защищенности информационной системы без предварительного получения какой-либо информации о ней со стороны владельца. Метод серого ящика аналогичен методу черного ящика, при этом в качестве нарушителя на данном этапе рассматривается пользователь, обладающий определенными привилегиями в системе. Метод белого ящика заключается в том, что для оценки защищенности информационной системы используются все необходимые данные о ней, включая исходный код приложений. В статистику вошли только данные о внешних веб-приложениях, доступных из глобальной сети Интернет.

Обнаруженные уязвимости классифицировались согласно соответствующим угрозам по системе Web Application Security Consortium Threat Classification (WASC TC v2 [1]). Ошибки обработки входных и возвращаемых данных (Improper Input Handling и Improper Output Handling) не были классифицированы, поскольку они могут использоваться при эксплуатации множества других уязвимостей.

В настоящей статистике приведены только уязвимости веб-приложений. Другие распространенные проблемы информационной безопасности (к примеру, недостатки процесса управления обновлениями ПО) не рассматриваются.

Степень риска уязвимостей оценивалась согласно системе Common Vulnerability Scoring System (CVSS v2 [2]); на основе этой оценки выделялись высокий, средний и низкий уровни риска.
Содержание:
обновить

а вы знаете, что...

… толчком к быстрому распространению ракушек каури в Африке послужило развитие работорговли в начале XVI века? Португальские, голландские и английские купцы скупали каури у берегов Индии, везли их в Гвинею, где продавали за двойную-тройную цену. На вырученные деньги они покупали рабов, которых везли в Америку, где получали еще большую прибыль.