Уязвимостей в веб-приложениях в 2006 г. стало больше

Среда, 24 января 2007 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

Количество уязвимостей, обнаруженных в веб-приложениях в 2006 году, выросло более чем на треть по сравнению с 2005 г., по данным трёх баз данных уязвимостей – CERT/CC, NVD (Национальной базы данных уязвимостей), OSVDB (Базы данных уязвимостей открытого кода) и базы данных уязвимостей Symantec. По данным базы CERT/CC, в 2006 году зафиксировано 8064 дыр, на 35% больше, чем в 2005 г.
Самым крупным фактором роста стал более лёгкий процесс обнаружения уязвимостей в бесплатных и коммерческих веб-приложениях, считает Арт Маньон (Art Manion), глава команды обнаружения уязвимостей Координационного центра CERT. "Их стало легче находить, легче создавать и легче применять", - сказал он.
В 2005 г. рост количества уязвимостей, собранных во всех четырёх базах (CERT/CC, NVD, OSVDB, Symantec), объясняли той же причиной.
В первом полугодии 2006 г. более трёх четвертей всех уязвимостей ПО были найдены в приложениях, работающих с интернетом, утверждают в Symantec. В октябрьском докладе Common Vulnerabilities and Exposures Project (CVE) первые три наиболее опасные категории, к которым относится 45% уязвимостей, найденных с января по сентябрь включительно, приходились на веб-программы.
Под лёгкостью поиска уязвимостей специалисты подразумевают возможность поиска в исходном коде – как в интернете, так и на локальном компьютере. "Многие люди проводят исследования grep и gripe", - говорит Стивен Кристи (Steven Christey), редактор проекта CVE, управляемого некоммерческой корпорацией MITRE по заказу правительства. "Grep" - команда (утилита) поиска по файлам в Unix-системах, в том числе по шаблонам.
С 2001 г. количество уязвимостей, найденных в веб-приложениях, выросло, по разным данным, в 4-8 раз (4,8-8,5 тыс против 1,4-2,4 тыс).
Из всех уязвимостей в веб-приложениях, 43% были найдены в коде, написанном на PHP. Этот популярный язык используется для написания малых и средних веб-сайтов, однако его применяют и Yahoo, и Google, и другие крупные компании.
Операционные системы на этом фоне выглядят надёжнее, но и здесь обнаружение уязвимостей нулевого дня сыграло большую роль в атаках. Уязвимости нулевого дня, то есть те, которые хакеры обнаруживают и используют раньше, чем специалисты по безопасности и компании-разработчики, стали растущей тенденцией в прошлом году, - указывает Оливер Фридрихс (Oliver Friedrichs), директор Symantec по реагированию на проблемы безопасности. "Реальная угроза уязвимостей нулевого дня в том, что они часто используются для кражи информации в ходе очень узконаправленных атак против отдельных компаний. В то же время, простые уязвимости в веб-приложениях не наносят материального ущерба такого масштаба".

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 1088
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Архивы новостей за: 2018, 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003