Содержимое
Немного статистики за 2022 год от багбаути платформы HackerOne! Поиск уязвимостей - 92% исследователей безопасности находят уязвимости, которые не могут найти автоматизированные средства. - 65.000 уязвимостей было найдено, что на 21% больше, чем в 2021 году. - Основная мотивация исследователей — это саморазвитие и деньги. На исправление уязвимостей компании тратят в среднем от 35 до 47 рабочих дней. Но по индустриям этот срок может отличаться, к примеру: - 11.6 дней на исправление в криптоиндустрии. - 28.9 дней на исправление в медиа компаниях. - 42.2 дней на исправление в ритейле и электронной коммерции. - 49.7 дней на исправление в телекоме. - 73.9 дней на исправление в медицинской сфере. - 148.3 дней на исправление в авиационной и космической отрасли. По количеству встречающихся веб-уязвимостей из OWASP Top 10 статистика, следующая: 1. Cross-site Scripting (XSS) (+32%) 2. Improper Access Control (-13%) 3. Information Disclosure (-27%) 4. Insecure Direct Object Reference (IDOR) (+13%) 5. Improper Authentication (+33%) 6. Privilege Escalation (+2%) 7. Code Injection (+26%) 8. Improper Authorization (+76%) 9. SQL Injection (-15%) 10. Server-Side Request Forgery (SSRF) (-18%) Наибольшее внимание исследователи уделяют: - Web-приложениям. - API. - Мобильным приложениям на Android. Количество небезопасных конфигураций в отчетах выросло на 151%. "Проблемы не в коде, проблемы в развертывании и обслуживании". Меры достаточны? - 88% исследователей отмечают рост потенциальных поверхностей атаки. - 32% исследователей считают, что компании недостаточно уделяют внимание проверкам уровня защищенности.