Сапожник без сапог?!

Количество найденных уязвимостей под конкретное программное обеспечение

Как это часто бывает в жизни те, кто профессионально занимается какой-либо деятельностью и обеспечивает потребности в ней других, увы, часто забывают о самих себе. Медики, к примеру, не любят лечиться. И не факт, что у ландшафтного дизайнера на даче будет концептуальный сад, продуманный до мелочей.

А как обстоит дело с безопасностью у тех, кто эту самую безопасность качественно обеспечивает другим?

Нашими специалистами был проведён анализ защищённости веб-сайтов 50 различных компаний, работающих в сфере Информационной Безопасности.

В результате было обнаружено, что 9 из 50 сайтов уязвимы к различного рода атакам. При этом все найденные уязвимости лежат в открытом доступе, и для каждого из девяти сайтов был найден как минимум один публичный эксплойт.

Всего было обнаружено 40 различных уязвимостей, 12 из которых имеют публичные эксплойты. 14 уязвимостей с CVSS-рейтингом выше 7.5.

Большинство уязвимостей, а именно 17, принадлежат Apache, 16 уязвимостей относятся к PHP, 7 – к WordPress.

Свежих уязвимостей, опубликованных в 2017 году, было обнаружено 11.

Количество найденных уязвимостей за конкретный год

Самыми часто встречаемыми уязвимостями оказались те, которые позволяют осуществить атаку типа «отказ в обслуживании» (DoS), их нашлось 14. Далее идут RCE-уязвимости, которые позволяют удаленно исполнять код, их оказалось 11. На третьем месте XSS-уязвимости (7 штук). Так же были найдены уязвимости, рассчитанные на обход аутентификации, Directory traversal, CSRF, SSRF.

Количество различных видов уязвимостей среди найденных

В результате проведенного анализа было выявлено, что 8 сайтов подвержены DoS-атакам и удаленному исполнению команд, 4 сайта уязвимы к Directory traversal, 3 – к обходу аутентификации, 3 – к XSS, 1 – к CSRF, 1 – к SSRF.

Коливество сайтов, подверженных различным типам уязвимостей
Статистика для каждого сайта