Более двух третей веб-приложений по-прежнему имеют дыры в безопасности либо с использованием SQL-инъекций, либо с помощью межсайтовых сценариев. Учитывая, что веб-приложения проверяются на наличие уязвимостей каждые две минуты, просто чудо, что где-нибудь в Интернете остаются какие-либо защищенные данные!
Согласно новому отчету HP, количество обнаруженных уязвимостей веб-приложений значительно отличается от количества, которое существует на самом деле.
По результатам тестов, проведенных HP, 69% веб-приложений содержали хотя бы одну ошибку SQLi, а 64% имели уязвимость межсайтового скриптинга.
Если вы подумаете об этом с точки зрения более раннего открытия Imperva, что веб-приложения проверяются на наличие уязвимостей каждые две минуты, это чудо, что где-то в Интернете остаются какие-либо защищенные данные.
Уязвимости SQLi означают, что злоумышленники могут отправить SQL в базу данных, чтобы получить неожиданный доступ к данным способами, не предусмотренными разработчиками, поэтому лежащие в основе данные могут быть извлечены или изменены.
Межсайтовые сценарии используют отсутствие проверки ввода и встраивают вредоносный клиентский код в веб-страницу, которую просматривает веб-браузер жертвы.
К другим уязвимостям, обнаруженным HP, относятся жестко закодированные пароли, встроенные в 30% протестированных приложений, что может означать, что код может работать иначе; и уязвимость манипулирования путями в 63% приложений. Изменив имена файлов или пути, злоумышленники могут получить доступ к неожиданным областям в пользовательских системах. Уязвимость внедрения команд, которая может быть использована злоумышленниками для выполнения команд операционной системы на целевом компьютере. также был обнаружен в 35% протестированных приложений.
HP обнаружила, что при анализе для каждого приложения и для каждой строки кода в среднем было обнаружено 410 уязвимостей для каждого из 236 оцененных приложений, что соответствует 4,6 уязвимости на 1000 строк кода. Из трех подсчитанных языков PHP был наиболее уязвимым языком программирования с 13,1 уязвимостями на 1000 строк, за ним следует .Net с 7,7. Java была самой безопасной на уровне 4.1.