Лише 16% комп’ютерних програм є безпечними

Автор/джерело -  © ТСН

Американська компанія Veracode, що розробляє засоби для проведення аудиту безпеки, представила результати дослідження коду близько 10 тисяч різних програм, перевірених протягом останніх 6 місяців.

Про це повідомила IT-TEHNOLOG.COM

Згідно із даними звіту, тільки 16% додатків пройшли тестування з першого разу, в інших випадках були виявлені проблеми з безпекою. Водночас півроку тому при аналогічному дослідженні перевірку відразу пройшли 42% додатків.

Цікавим є той факт, що програми комерційних і відкритих проектів пройшли тест з однаковим результатом. Обидві категорії програм пройшли тестування з першого разу тільки в 12% випадків.

Серед найбільш "популярних" вразливостей, до яких схильні web-додатки, дослідники відзначають атаки SQL-ін'єкції і XSS.

У ході дослідження в 68% перевірених web-додатків були виявлені проблеми, пов'язані з XSS-вразливостю, а з SQL-ін'єкцією - в 32%. При аналізі державних сайтів було виявлено, що 40% з них можуть використовуватися для ін'єкції SQL-коду, а 75% схильні до XSS-вразливостей. Для фінансового сектора дані показники становлять 29% і 67%, а для виробників ПЗ - 30% і 55% відповідно.

У 19% клієнтських додатків спостерігаються проблеми з обробкою помилок, в 15% - некоректна робота з буферами, в 14% - переповнення буфера, в 11% - можливість обходу каталогу (наприклад, відсутність перевірки на "../"), в 9% - цілочисельні переповнювання, ще в 9% - потенційна наявність бекдорів, в 8% - некоректне використання криптографічних засобів, у 4% - витік інформації, і в 2% - можливість виконання SQL-запитів.

Також виявлено, що від 30% до 70% додатків, розроблених для внутрішнього використання, повторно використовують чужий код, наприклад, виклик функцій сторонніх бібліотек. Досить часто саме сторонній код стає причиною проблем. Так, безліч XSS-вразливостей в додатках державних установ пов'язано з використанням платформи Adobe ColdFusion.