PT Research Lab компании Positive Technologies выпустила ежегодный отчет по статистике уязвимостей веб-приложений за 2009 г.

Positive Technologies проанализировала уязвимости веб-приложений

Александр Панасенко 26 Мая 2010 - 23:24

...

Исследование PT Research Lab, подразделения компании Positive Technologies показывают, что ошибки в защите веб-приложений по-прежнему остаются одним из наиболее распространенных недостатков обеспечения защиты информации. Подтверждением этого тезиса является многолетняя статистика уязвимостей безопасности веб-приложений, публикуемая компанией.

В этом году были проанализированы данные о 5560 веб-приложениях, протестированных специалистами компании Positive Technologies в ходе предоставления консалтинговых и сервисных услуг по информационной безопасности, таких как: тесты на проникновение, анализ защищенности в рамках стандарта PCI DSS и мониторинг защищенности внешнего периметра с использованием системы MaxPatrol.

Практически половина проанализированных систем содержали уязвимости. Суммарно во всех приложениях было обнаружено 13434 ошибок различной степени риска, зафиксировано 1412 образцов вредоносного кода, содержащихся на страницах уязвимых систем. Доля скомпрометированных сайтов, распространявших вредоносное программное обеспечение, составила 1,7%. Каждый из таких сайтов содержал уязвимости, позволяющие выполнять команды на сервере, что подтверждает возможность использование этих уязвимостей для компрометации системы.

Основной результат исследования неутешителен. Вероятность обнаружения критичной ошибки в веб-приложении автоматическим сканером составляет около 35% и достигает 80% при детальном экспертном анализе. Этот факт демонстрирует невысокую защищенность современных веб-приложений не только от атак со стороны квалифицированных злоумышленников, но и от действий атакующих, вооруженных готовыми утилитами для «автоматического взлома».

Как и ранее, наиболее распространенными ошибками, допускаемыми разработчиками приложений, являются уязвимости «межсайтовое выполнение сценариев» и «внедрение операторов SQL», на которые пришлось более 19% и 17% всех обнаруженных уязвимостей соответственно.

С точки зрения соответствия требованиям регуляторов (compliance management), ситуация улучшилась незначительно. До 84% веб-приложений не удовлетворяет требованиям стандарта по защите информации в индустрии платежных карт PCI DSS, и 81% не соответствует критериям ASV-сканирования, определенного в стандарте.

Сравнение результатов с отчетами предыдущих четырех лет показал, что ситуация со степенью защищенности веб-приложений в 2009 г. в целом улучшилась. Так, анализ устранения уязвимостей на 768 сайтах, проверявшихся в 2008 и 2009 г., показал, что более 60 процентов владельцев устранили все критичные уязвимости в течение года и существенно повысили защищенность своих ресурсов. В целом, регулярный анализ защищенности веб-приложений и налаженный процесс устранения выявленных недостатков позволяют за год уменьшить число уязвимых сайтов в среднем втрое.

По словам эксперта по информационной безопасности Positive Technologies Дмитрия Евтеева, в этом году, несмотря на развитие методов атак, «щит пересилил меч». Развитие систем контроля защищённости, безопасных платформ и средств разработки, проактивных средств защиты и межсетевых экранов уровня приложения (Web Application Firewall) начинает приносить свои плоды. Однако, как и раньше, большая часть уязвимостей приходится на ошибки администрирования и могла быть устранена использованием безопасных конфигураций систем и приложений и использованием базовых функций защиты.

Следующая главная новость »

Защита данных от утечек: что сегодня реально работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 11 Марта 2026 - 15:18

StormWall Атаки на сайты DDoS-атаки Общее

Россия вошла в топ-5 стран по объёму вредоносного бот-трафика

Вредоносный бот-трафик в мире продолжает набирать обороты, и Россия снова оказалась среди стран, где его особенно много. Как отметили в StormWall, по итогам 2025 года в мировую пятёрку по объёму такого трафика вошли США (32,4%), Китай (16,3%), Германия (9,2%), Индия (7,4%) и Россия (4,2%).

Компания отдельно подчёркивает, что использовала для анализа данные своих клиентов по всему миру.

В целом по миру объём бот-трафика, по оценке StormWall, вырос в 1,6 раза по сравнению с 2024 годом. В России рост оказался ещё заметнее — на 83% год к году.

В компании связывают эту динамику сразу с несколькими факторами: массовой автоматизацией атак, развитием ИИ-инструментов, ростом числа уязвимых IoT-устройств и общей турбулентностью в мире, которая традиционно подогревает киберактивность. На фоне других публикаций StormWall по 2025 году такой рост выглядит частью более широкого тренда на усиление ботнетов и DDoS-активности.

Если смотреть по отраслям, то глобально сильнее всего от бот-трафика в 2025 году, по версии StormWall, пострадали финансовый сектор (22%), ретейл (18%), телеком (14%), развлекательная индустрия (9%) и производство (7%).

Речь идёт не только о классических DDoS-атаках: ботов также используют для скрейпинга, бот-фрода, атак на API и попыток вмешательства в работу цифровых сервисов. Это согласуется и с другими материалами StormWall и отраслевыми обзорами, где телеком, API и финсервисы в 2025 году регулярно назывались главными мишенями.

В России картина немного другая. Здесь, по данным компании, больше всего досталось телекому (26%), ретейлу (21%), финансовой отрасли (16%), образованию (12%) и логистике (8%). По описанию StormWall, злоумышленники чаще всего использовали ботов для DDoS-атак с вымогательством, а также для ударов по инфраструктуре провайдеров и торговых площадок.

В случае с ретейлом это, как утверждается, приводило в том числе к сбоям в работе онлайн-касс. Сама телеком-отрасль действительно фигурировала у StormWall как одна из самых атакуемых и в отдельных квартальных отчётах 2025 года.

Отдельный тревожный момент — размер ботнетов. По оценке StormWall, общий объём глобальных DDoS-атак с использованием ботнетов в 2025 году вырос на 74%, а среднее число устройств в ботнете увеличилось сразу в четыре раза — с 18 тыс. до 72 тыс. устройств. При этом, если раньше мощность самых заметных атак обычно держалась в районе 1 Тбит/с, то в 2025 году она стала доходить до 3 Тбит/с и выше. В опубликованном StormWall глобальном обзоре по DDoS компания также сообщала о рекордной активности ботнетов и очень мощных атаках в течение года.

Ещё одна история, без которой в 2025-м уже почти никуда, — ИИ-боты. По данным StormWall, число глобальных DDoS-атак с их участием выросло на 148%, а в России — на 63%. Логика здесь довольно понятная: такие боты лучше имитируют поведение живых пользователей, а значит, отлавливать их становится сложнее.

В прошлом месяце мы приводил интересную статистику по DDoS за 2025 год: +25% атак, рекорд 569 Гбит/с и 7 172 атаки в месяц.

Защита данных от утечек: что сегодня реально работает?
Регистрируйтесь на эфир!