Quale frazione di siti Web è vulnerabile?

Naviga le tue risposte
5

È noto che le vulnerabilità della sicurezza sono comuni sul Web: molti siti Web sono vulnerabili. Esistono dati su quale frazione di siti Web sono vulnerabili e quale frazione è sicura?

    
posta D.W. 14.03.2012 - 03:19
fonte

3 risposte

3

Il rapporto annuale 2011 di WhiteHat Security ha alcune statistiche dettagliate sui siti Web che monitora e che frazione di loro sono vulnerabili.

Ecco alcuni punti salienti:

  • L'84% dei siti Web era vulnerabile per almeno 30 giorni dal 2010. (In altre parole, conta il numero di giorni nel 2010 in cui il sito Web presenta almeno una seria vulnerabilità. , questo numero era di 30 giorni o più.) Il 44% era vulnerabile per ogni giorno del 2010.

  • Circa la metà dei siti bancari erano vulnerabili per almeno 30 giorni del 2010. Il 16% era vulnerabile per ogni giorno del 2010.

  • La maggior parte degli altri settori era comparabile alla tariffa complessiva di tutti i siti web. In altre parole, i siti bancari sono l'eccezione; tutti gli altri sono abbastanza simili.

  • Il sito web medio ha avuto un totale di 230 gravi vulnerabilità in un punto o in un altro nel 2010. Nel 2010 il sito web medio bancario aveva un totale di 30 vulnerabilità gravi.

  • Delle vulnerabilità che sono state corrette, il tempo mediano per risolverle è di circa 116 giorni (rilevati su tutti i siti Web). (Il numero corrispondente per i siti bancari è di 13 giorni.) Tuttavia, molte delle vulnerabilità non sono state corrette, quindi questi numeri probabilmente sottostimano il vero time-to-fix.

Il rapporto definisce una vulnerabilità grave come quella che verrebbe classificata come grave, grave o urgente dallo standard PCI-DSS.

Quindi sembra che qualcosa nel campo dell'80% dei siti Web sia vulnerabile a vari attacchi.

    
risposta data 14.03.2012 - 05:40
fonte
7

Lo studio più recente che ho visto è stato nel 2008 dalla Web Application Security Consorzio [webappsec.org]. Lo studio è stato compilato dai risultati di otto diversi progetti di valutazione della sicurezza e ha avuto una dimensione totale del campione di 12186 applicazioni web composte da vari settori. Lo studio offre una lettura molto interessante, ma riassumerò alcuni dei punti chiave per te qui:

  • Sono state rilevate 97554 vulnerabilità di diversi livelli di rischio.
  • Oltre il 13% di tutti i siti recensiti può essere completamente compromesso automaticamente.
  • Circa il 49% delle applicazioni Web contiene vulnerabilità ad alto rischio (urgenti e critiche) rilevate durante la scansione automatica.
  • Almeno l'88% dei siti Web presenta una vulnerabilità grave (classificato urgente, critico o alto secondo lo standard PCI-DSS).
  • Il 99% delle applicazioni Web non è conforme allo standard PCI DSS.

Ricorda che queste cifre hanno circa quattro anni e quattro negli anni di internet sono una vita (in altre parole: prendili con un pizzico di sale). Detto ciò, dubito strongmente che siano state apportate modifiche significative alla percentuale di siti vulnerabili.

Su una nota leggermente correlata, se sei interessato ad altre statistiche relative alla sicurezza, ci sono due buoni siti che rilasciano rapporti su base leggermente più frequente.

risposta data 14.03.2012 - 04:42
fonte
2

Veracode ha rilasciato alcuni dati sulle applicazioni web che hanno analizzato . Ecco alcuni punti salienti.

Conformità agli standard OWASP, secondo cui la tua applicazione non dovrebbe presentare alcuna vulnerabilità in OWASP top 10 (vedi Figura 24):

  • Il 16% delle applicazioni web governative non ha rilevato alcuna vulnerabilità nella top 10 di OWASP
  • Il 24% delle applicazioni Web del settore finanziario non ha rilevato alcuna vulnerabilità nella top 10 di OWASP
  • Il 28% delle applicazioni Web commerciali non ha rilevato alcuna vulnerabilità nella top 10 di OWASP

(Nota a piè di pagina: questo è il primo invio dell'applicazione al loro servizio.)

Conformità con gli standard SANS, che richiedono di non avere alcuna vulnerabilità nell'elenco SANS top 25 (vedi Figura 25):

  • Il 18% delle applicazioni web governative non ha rilevato alcuna vulnerabilità nella top 25 SANS
  • Il 28% delle applicazioni web del settore finanziario non ha rilevato alcuna vulnerabilità nella top 25 SANS
  • Il 34% delle applicazioni web commerciali non ha rilevato alcuna vulnerabilità nella top 25 SANS

La metodologia non è chiara dal sito web. Non è chiaro quante applicazioni Web non conformi siano vulnerabili (o, peraltro, quante delle app Web compatibili sono vulnerabili).

Segnalano anche le statistiche sulla prevalenza di varie vulnerabilità, nelle applicazioni web che hanno analizzato (vedi Tabella 7):

  • Il 75% delle applicazioni web del governo era vulnerabile a XSS
  • Il 67% delle applicazioni web Web del settore finanziario erano vulnerabili a XSS
  • Il 55% delle applicazioni web commerciali erano vulnerabili a XSS

e

  • Il 40% delle applicazioni Web governative era vulnerabile all'iniezione SQL
  • Il 29% delle applicazioni web Web del settore finanziario erano vulnerabili all'iniezione SQL
  • Il 30% delle applicazioni web commerciali erano vulnerabili all'iniezione SQL

In breve, sembra che almeno qualcosa come l'80% delle applicazioni web sia vulnerabile, secondo le loro statistiche.

    
risposta data 14.03.2012 - 05:08
fonte

Leggi altre domande sui tag

come è possibile visualizzare una richiesta HTTP in transito? Dovrebbe esserci un anti-virus utilizzato sui file forniti dal cliente?