Компания Positive Technologies опубликовала отчет за 2008 год по уязвимостям в Web-приложениях. Он был создан на основании анализа уязвимостей сайтов, которые компания выполняла для своих покупателей, а также в рамках услуги «Проверка Безопасности Сайта», которая проводилась с помощью программы MaxPatrol у клиентов хостинг-центра РБК. При этом вручную специалистами команды было проверено 59 сайтов и все они оказались уязвимыми (найдено 428 уязвимостей), в то время как при анализе с помощью MaxPatrol 10400 сайтов уязвимыми оказались 7802 (найдено 33503 уязвимостей). По приведенным цифрам видно, что специалисты обнаруживают в среднем больше уязвимостей, чем MaxPatrol. Впрочем, это объясняется тем, что специалисты анализировали приложения методом «белого ящика», а в MaxPatrol был употреблен модуль PenTest — удаленного нетравматического взлома.
Согласно резальтатам исследований оказалось, что наиболее повышенной чувствительностью оказывается утечка полезной информации — она была отмечена на 97,19% исследованных сайтов. В эту группу входит доступ к исходному коду серверных сценариев, раскрытие пути каталога Web-сервера, получение различной чувствительной информации и прочее. Критичность ошибок данного класса может различаться от низкой до критичной — находится в зависимости от того какая именно информация будет в общем доступе.
Ошибки вида «Межсайтовое исполнение сценариев» были найдены на 50,10% сайтов, тем не менее 30,08% всех уязвимостей приложений относится к этому роду. Эти ошибки позволяют одним пользователям сайта нападать на других.
Детальный обзор, проведенный специалистами с доступом к исходному коду сайтов, показал, что 68% из них уязвимы для атак вида SQL-инъекций, которые постоянно позволяют встроить вредоносный код в состав сайта. Хотя доля уязвимых для этого вида атак сайтов, обнаруженных с помощью MaxPatrol, оказалась на уровне 15,50% (пятое место).
Согласно резальтатам отчета 83% сайтов имеют критичные уязвимости, а в 78-ми случаях из 100 в программном обеспечении Web-приложения содержатся уязвимости средней величины риска. При этом до 20% Web-приложений могут находиться инфицированы автоматизированным способом, т.е. с помощью вирусов или червей. В результатах 2008 года впервые была напечатана статистика по обнаруженному вредоносному ПО на сайтах. Оказалось, что на 1,32% сайтов из 10400 проверенных были найдены последствия взлома.
