Η Whitehat Security μόλις δημοσίευσε το 2013 Website Security Statistics Report. Η μελέτη βασίζεται σε δεδομένα από ευπάθειες που συλλέγονται από δεκάδες χιλιάδες ιστοσελίδες που ανήκουν σε πάνω από 650 εταιρείες ή οργανώσεις.
Αποδεικνύεται ότι, το περασμένο έτος, ο μέσος αριθμός των των ευπαθειών που υπήρχαν στις ιστοσελίδες που βλέπουμε γύρω μας μειώθηκε στις 56. Κατά το προηγούμενο έτος, είχαν βρεθεί ότι κάθε σελίδα περιέχει τουλάχιστον 79 τρωτά σημεία.
Από όλες τις ιστοσελίδες που ελέγχτηκαν από την εταιρεία ασφαλείας, το 86% περιείχε τουλάχιστον ένα σοβαρό θέμα ευπάθειας. Το 61% από τις ευπάθειες είχαν αντιμετωπιστεί, αλλά μόνο το 18% των ιστοσελίδων ήταν ευάλωτες για λιγότερο από 30 ημέρες.
Όσον αφορά τον χρόνο που απαιτείται για να αντιμετωπιστούν οι ευπάθειες, η whitehat διαπίστωσε ότι, κατά μέσο όρο,μια εταιρεία χρειάζεται γύρω στις 193 ημέρες μετά την πρώτη κοινοποίηση.
Παρά το γεγονός ότι ο συνολικός αριθμός των τρωτών σημείων έχει μειωθεί, οι ιστοσελίδες των εταιρειών IT και των τομέων ενέργειας βρέθηκαν να είναι πιο ευάλωτες σε σύγκριση με τα προηγούμενα έτη. Στην πραγματικότητα, το περασμένο έτος, στις βιομηχανικές ιστοσελίδες παρατηρήθηκε ο μεγαλύτερος αριθμός των κενών ασφαλείας ανά ιστοσελίδα , αφού τα σφάλματα έφταναν τα 114.
Το ενδιαφέρον είναι ότι τα λιγότερα σφάλματα βρέθηκαν σε ιστοσελίδες της κυβέρνησης αλλά και στις ιστοσελίδες τραπεζών.
Η WhiteHat δίνει έναν ορισμό της έννοιας “σοβαρές ευπάθειες “
[quote]“those in which an attacker could take control over all, or some part, of the website, compromise user accounts on the system, access sensitive data, violate compliance requirements, and possibly make headline news.”[/quote]
Η έκθεση δείχνει ότι τα τρωτά σημεία διαρροής πληροφοριών που βρέθηκαν στο 55% των ιστοσελίδων ήταν κοινά. Η “κλασική” μέθοδος cross-site scripting (XSS), η μαστίζει 53% των ιστοσελίδων που ελέγχτηκαν. Ο πίνακας συμπληρώνεται με το spoofing (33%), cross-site request forgery (26%), brute force (26%) και fingerprinting (23%).
“Αυτά τα δεδομένα δείχνουν ότι πολλές οργανώσεις δεν έχουν πάρει σοβαρά την ασφάλεια του λογισμικού τους. Είναι προφανές ότι οι οργανώσεις είναι σε φάση «αναμονής έως ότου-κάτι-πάει-στραβά», δήλωσε ο Jeremiah Grossman, συνιδρυτής και CTO της Whitehat Security.
Η πλήρης έκθεση είναι διαθέσιμη για download από εδώ (απαιτείται εγγραφή).
