156
Согласно результатам исследования, проведенного специалистом по информационной безопасности Positive Technologies, две трети российских сайтов содержат критические уязвимости, а 10% заражены.
Данные, взятые за основу исследования, собирались на протяжении 2-х лет (2010-11 гг.). В контрольную выборку вошли 123 портала ключевых представителей государственного (25% сайтов) и финансового сектора (25 и 17% сайтов соответственно), а также телекоммуникационной (26%), ИТ- (13%), промышленной и других отраслей. Оценка защищенности производилась по состоянию веб-приложений, доступных через Сеть. Обнаруженные уязвимости классифицировались по WASC TC (Web Application Security Consortium Threat Classification) версии 2.0. Критичность уязвимости оценивалась согласно системе CVSS (Common Vulnerability Scoring System) версии 2: различались высокий, средний и низкий уровни риска.
В совокупности эксперты обнаружили 1817 уязвимостей разной степени риска. 64% сайтов содержали опасные бреши, 98% ― уязвимости средней тяжести. Лидером по количеству слабозащищенных сайтов оказались телекоммуникационные сервисы: на 88% из них были обнаружены критические уязвимости. Немногим ниже этот показатель в сфере информационных технологий и госсекторе (75 и 65% соответственно). На промышленных предприятиях ситуация лучше (50%), однако Positive Technologies обнаружила здесь ряд ресурсов с очень высокой концентрацией критических уязвимостей, что создает благодатную почву для кибератак, чреватых катастрофическими последствиями. Наиболее благополучным оказался финансовый сектор (43%), а в системах ДБО критичные бреши практически истреблены. Однако в этой сфере присутствуют специфические уязвимости ― CSRF (Cross-Site Request Forgery, найдена в 6% систем ДБО), XSS (Cross-Site Scripting, 18%), которые не представляют большой опасности, но способны облегчить задачу фишерам и банковским грабителям.
По оценке Positive Technologies, наиболее распространенной уязвимостью в веб-приложениях является CSRF, которая обнаружена на 61% ресурсов. Немногим более половины сайтов содержат бреши типа Information Leakage и Brute Force. В TOP 10 вошли также 3 критические уязвимости: SQL Injection (47%), OS Commanding (28%) и Path Traversal (28%). На долю XSS пришлось 40% изученных ресурсов. Исследователи отметили сокращение числа сайтов с высокой и низкой степенью риска в 2011 г. При этом уязвимости типа SQL Injection стали встречаться реже, а доля CSRF возросла.
Самым популярным языком программирования в Рунете является РНР (63% протестированных ресурсов). При этом 81% сайтов, использующих этот язык, содержат критические уязвимости, обусловленные ошибками в программной реализации. В прикладном ПО, написанном на РНР, наиболее часто встречаются такие бреши, как CSRF (73% сайтов), SQL Injection (61%), XSS (43%).
Как оказалось, 92% сайтов, содержащих вредоносный код, написаны на РНР и работают под управлением Apache. Половина зараженных сайтов используют бесплатные CMS (системы управления содержимым). На таких ресурсах чаще прочих присутствуют уязвимости OS Commanding (92% заражений), CSRF (75%), SQL Injection (58%), Improper Filesystem Permissions (50%) и Cross-Site Scripting (42%).
