UK firms failing on web apps security
Безопасность веб-приложений ухудшается, согласно отчету о безопасности веб-приложений 2009 года от Security consultancy NTA Monitor.
Фирма тестировала веб-приложения, принадлежащие ее клиентам из государственного и частного секторов, и приписывала обнаруженным уязвимостям статус "высокого", "среднего", "низкого" и "информационного" риска.
Число приложений, имеющих по крайней мере одну уязвимость "высокого" риска, выросло с 17 до 27 процентов по сравнению с прошлым годом, в то время как число приложений с одной или несколькими уязвимостями "среднего" риска выросло с 78 до 90 процентов.
NTA Monitor обнаружил в общей сложности 13 уязвимостей за тест, начиная от одной до тревожных 36 проблем.
Наиболее распространенными уязвимостями "высокого" риска являются SQL-инъекции, межсайтовые сценарии и атаки на подделку перекрестных запросов.
NTA Monitor сделал несколько рекомендаций для фирм, стремящихся повысить безопасность веб-приложений, включая регулярное тестирование, обучение персонала, создание и публикацию четкой политики безопасности, а также включение соглашений об уровне безопасности в контракты с интернет-провайдерами или поставщиками управляемых услуг.
Дата публикации: Фирма тестировала веб-приложения, принадлежащие ее клиентам из государственного и частного секторов, и приписывала обнаруженным уязвимостям статус "высокого", "среднего", "низкого" и "информационного" риска.
Число приложений, имеющих по крайней мере одну уязвимость "высокого" риска, выросло с 17 до 27 процентов по сравнению с прошлым годом, в то время как число приложений с одной или несколькими уязвимостями "среднего" риска выросло с 78 до 90 процентов.
NTA Monitor обнаружил в общей сложности 13 уязвимостей за тест, начиная от одной до тревожных 36 проблем.
Наиболее распространенными уязвимостями "высокого" риска являются SQL-инъекции, межсайтовые сценарии и атаки на подделку перекрестных запросов.
NTA Monitor сделал несколько рекомендаций для фирм, стремящихся повысить безопасность веб-приложений, включая регулярное тестирование, обучение персонала, создание и публикацию четкой политики безопасности, а также включение соглашений об уровне безопасности в контракты с интернет-провайдерами или поставщиками управляемых услуг.
Автор: Keylogger.Org Команда
