Webアプリケーションのすべての利点にもかかわらず、それらの脆弱性は企業情報システムに侵入する最も一般的な方法の1つです。 これは、Positive Technologiesの専門家が毎年実施する統計調査で確認されています 。
研究の主題は、ロシアの州および産業部門の最大規模の組織、テレコミュニケーション、およびITの67のリソースでした(銀行システムに専用の作業が費やされています)。
注:この調査では、2012年のWebアプリケーションのセキュリティレベルの評価中に取得したデータを分析しました。
最も一般的な脆弱性
最も一般的な10の脆弱性には、調査対象のWebリソースの33%と18%にそれぞれ影響する2つの重大な脆弱性「SQLステートメントの実装」と「ディレクトリトラバーサル」が含まれていました。
2012年に、ソフトウェアの識別と攻撃の踏み台の準備を可能にする指紋情報漏えいの脆弱性が最も広まりました。調査対象のリソースの4分の3がこの欠点の影響を受けています(73%)。 63%の2番目はクロスサイトスクリプティングです。 システムのほぼ半数(46%)には、資格情報とユーザーパスワードを自動的に選択するエラーがあります(ブルートフォース)。
Web開発ツールの脆弱性
調査の結果によると、PHPで開発されたWebアプリケーションの83%に重大な脆弱性があり、そのようなシステムの残りの17%に中程度および低リスクの脆弱性が含まれています。 Perlは2番目です。システムのほぼ3分の1に高リスクの脆弱性が含まれています。
さまざまなWebサーバーに固有の脆弱性
2012年、Apache Webサーバーを使用するWebアプリケーションは、高リスクの脆弱性に対して最も脆弱でした。それらの88%に重大なセキュリティ欠陥が含まれています。 2番目はTomcatです-高リスクエラーの75%。 Nginxは脆弱なリソースの43%で3位になり、IIS Webサーバー(14%)が最も安全になりました。
前の調査の結果によると、最も脆弱なのはNginxおよびApache Webサーバーだったことを思い出してください。
ほとんどのWebサーバーの脆弱性は管理エラーによって引き起こされますが、最も一般的なものは情報漏えいです。
業界の脆弱性
高リスクの脆弱性を含むWebアプリケーションの最大集中は、電気通信業界で78%でした。 産業部門では、リソースのちょうど半分(50%)に重大なセキュリティ欠陥が含まれており、それに続いてITおよび情報セキュリティ企業のサイトにわずかなマージン(45%)が含まれています。 政府機関に関しては、この分野の約3分の1(27%)のWebアプリケーションに高リスクの脆弱性が含まれています。
結論
一般に、2011年と比較して、Webアプリケーションの平均的なセキュリティレベルはわずかに高くなりました。特に、重大な脆弱性を含むサイトの割合は15%減少し、ほぼ45%に達しました。 Positive Technologiesの専門家は、感染したWebアプリケーションを1つだけ発見しましたが、以前はサイトの10%に悪意のあるコードが含まれていました。 一方、停滞の兆候があります。産業部門でリスクの高い脆弱性を持つWebアプリケーションの割合は変化せず、通信部門のサイトは非常にゆっくりとセキュリティレベルを上げます。
この調査の完全版は、 Positive Technologiesの Webサイトにあります。