четверг, 28 августа 2014 г.

PHP - дыра на дыре?!!

В продолжение заметки "Кому нужен AppSec", новый обзор уязвимостей Web-приложений для различных отраслей . Есть облегченный вариант в Ведомостях.

Из резюме:


  • Все веб-приложения содержат те или иные уязвимости, при этом 62% рассмотренных систем содержат уязвимости высокой степени риска



  • В топ-10 вошли две уязвимости высокой степени риска: «Внедрение операторов SQL», которому подвержены 43% исследованных веб-ресурсов, а также «Внедрение внешних сущностей XML», которому оказались подвержены 20% анализируемых систем.
  • Наибольшее количество веб-приложений, содержащих уязвимости высокой степени риска, было выявлено среди веб-приложений, принадлежащих СМИ, где 80% приложений 
  • подвержены критическим уязвимостям.
  • 76% систем, написанных на языке программирования PHP, оказались подвержены критическим уязвимостям
  • Половина рассмотренных систем ДБО содержали критические уязвимости, при этом полностью требованиям PCI DSS не соответствовала ни одна из исследованных систем.
  • Тестирование методом белого ящика в среднем позволяет обнаружить в 10 раз больше критических уязвимостей, а так-же примерно в два раза больше уязвимостей средней и низкой 
  • степени риска, чем тестирование только методами черного и серого ящиков.


В продолжение темы,  04.09.2014 в 14:00 будет проведен вебинар "Рекомендации Центробанка по обеспечению информационной безопасности автоматизированных банковских систем". Зарегистрироваться можно здесь.
Постараемся ответить почему документ получился таким как получился, почему в нем нет SSDL/SDLC в явном виде и другие возникшие вопросы.


PS. Заголовок такой заголовок, ага.

Комментариев нет: