Серьёзные веб-уязвимости встречаются всё реже

Александр Панасенко 02 Июля 2012 - 15:22

...

Крупные компании, которые занимаются ИБ, периодически публикуют отчёты о состоянии дел с безопасностью в интернете. Почти всегда в этих отчётах много негатива: растёт количество вирусов, количество уязвимостей и так далее. Редкий случай, когда выходит исследование с прямо противоположными выводами: такое исследование несколько дней назад опубликовала компания WhiteHat Security, которая занимается обеспечением безопасности веб-приложений.

По данным WhiteHat Security, количество серьёзных уязвимостей в вебе значительно уменьшилось в последнее время. Они собирают статистику ежегодно, сканируя содержимое нескольких тысяч сайтов в течение всего года. Так, в 2011 году по результатам сканирования более 7000 сайтов (сотни терабайт контента) им удалось обнаружить в среднем 79 серьёзных уязвимостей на каждом сайте. Для сравнения, в 2010 году таковых было 230, в 2009 году — 480, в 2008 году — 795, в 2007 году — 1111, передает xakep.ru.

Серьёзные уязвимости стали гораздо быстрее устранять: в 2011 году среднее время закрытия уязвимости составило 38 дней, тогда как в 2010 голу было 110 дней.

Процент закрываемых уязвимостей в прошлом году тоже вырос с 53% до 63%.

Если рассматривать уязвимости по типам, то на первом месте по популярности остаётся межсайтовый скриптинг (XSS), который встречается на 55% сайтов. Далее следуют утечки информации (53% сайтов), контент-спуфинг (36%), недостаточная авторизация (21%) и межсайтовая подмена запроса (CSRF, 19%). Только на восьмом месте в списке оказались SQL-инъекции: их обнаружили всего на 11% сайтов.

Рейтинг по абсолютному количеству уязвимостей выглядит несколько иначе: здесь у XSS абсолютное преимущество. Это связано с тем, что на некоторых сайтах могут быть сотни XSS.

По отраслям самыми безопасными признаны банковские сайты: на каждом из них обнаружено всего лишь по 17 уязвимостей. Хуже всего ситуация у интернет-магазинов (121).

Следующая главная новость »

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!

Яков Шпунт 12 Мая 2026 - 12:01

GenAI (генеративный искусственный интеллект) Домашние пользователи Корпорации

Американские разработчики ИИ-моделей выявляют и банят россиян

Разработчики моделей искусственного интеллекта (ИИ) Claude, ChatGPT и Gemini активно выявляют пользователей из неподдерживаемых регионов, включая Россию, и блокируют им доступ. При этом чем крупнее проект, тем выше риск столкнуться с ограничениями.

Недавно стало известно о масштабной блокировке российских пользователей компанией Anthropic, которой принадлежит ИИ-модель Claude. По данным СМИ, она затронула сотни людей и компаний. При этом удалялись все данные и аналитика, хотя деньги за подписки возвращались.

Как отметил директор по экспериментальным продуктам MWS AI, входящей в МТС Web Services, Сергей Пономаренко в беседе с РИА Новости, зарубежные разработчики продолжат применять такую практику в отношении россиян. По его оценке, под наиболее серьёзной угрозой находятся крупные проекты, по которым есть признаки корпоративного использования. Это связано с соблюдением санкционных ограничений, введённых властями США ещё в 2024 году.

«Американские компании-разработчики ИИ Anthropic, OpenAI и Google активно применяют инструменты выявления пользователей из неподдерживаемого региона и будут дальше совершенствовать их, поэтому россиян ждут новые волны блокировок в Claude, ChatGPT и Gemini», — предупредил Сергей Пономаренко.

По его словам, ограничения вводятся постепенно. Российские IP-адреса долгое время могли помечаться в базах, которыми пользуются зарубежные компании, как европейские, однако со временем такие данные уточняются. В результате сетевые адреса начинают определяться как российские, после чего к ним применяются ограничения.

Использование прокси и VPN зарубежные компании также могут отслеживать. «Подозрение могут вызвать постоянные входы из разных стран за короткое время, использование известных VPN или прокси, слишком большое количество запросов, массовое создание аккаунтов, а также попытки обойти блокировки или фильтры безопасности», — пояснил эксперт.

Часто сомнительные учётные записи сначала отправляют на проверку и не блокируют полностью. Доступ к ним могут восстановить после обращения в техническую поддержку. Однако при удалении аккаунта уничтожаются все данные. При этом сами диалоги владельцы ИИ-моделей могут сохранять, что создаёт дополнительные риски утечки информации.

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!