За прошедшие полтора года тщательному анализу были подвергнуты около десяти тысяч существующих приложений. Эксперты использовали специальный инструмент для автоматического сканирования программ на наличие ошибок, позволяющих злоумышленникам скомпрометировать пользовательский сайт или компьютер. В конечном итоге Висопал и его коллеги установили, что около 80% всех приложений из частного и государственного сектора не отвечают всем критериям безопасности. Однако, продукция государственных разработчиков в целом признана более уязвимой.

Согласно результатам исследований, проверку на соответствие стандартам Open Web Application Security Project (OWASP) прошли лишь 16% государственных веб-приложений. Для программ, используемых в финансовой сфере и на коммерческих предприятиях, этот показатель составляет 24% и 28% соответственно. Для оценки уязвимости «оффлайновых» программных продуктов использовались критерии, предложенные некоммерческой организацией SANS. Результаты тестирования также оказались неутешительными для приложений, созданных государственными разработчиками, из которых проверку прошли не более 18%, в то время как 28% финансовых и 34% коммерческих программ с честью выдержали испытание.

Отдельная глава в отчете, составленном сотрудниками Veracode, посвящена специфическим уязвимостям в веб-приложениях. Эксперты подготовили и провели серию атак типа «SQL-инъекция» и убедились, что 40% продуктов, созданных государственными служащими (а также 29% финансовых и 30% коммерческих программ) уязвимы к этому типу угроз. А атаки «cross-site scripting», предполагающие внедрение вредоносного кода в код веб-страницы, успешно срабатывают примерно в 75% случаев.

«Руководство государственных предприятий глубоко ошибается, считая низкий уровень безопасности проблемой, характерной лишь для коммерческого сектора», — утверждает Крис Висопал. По мнению эксперта, госслужащие, задействованные в разработке приложений, стремятся обеспечить соблюдение стандартов, однако, зачастую упускают из виду множество потенциальных рисков, не прописанных в инструкциях. Решение этой насущной проблемы, скорее всего, потребует внесения корректив в требования к государственным приложениям, сформулированные Национальным институтом стандартов и технологий.

По материалам сайта Neowin.

Последние новости и обзоры программ:

Новая версия Revisor VMS 1.9.2

Вышла обновленная версия Grizzly Антивирус (1.0.40.344)

Сооснователь Apple не видит условий для начала "войны машин"

Samsung Grand Duos взорвался в кармане у жителя Индонезии

Бывший разработчик Telegram раскрыл новые подробности конфликта с Дуровым

В США спрогнозировали будущее российской космонавтики

Россияне оказались готовы к разговору с умным холодильником

Разработан метод создания живой сетчатки глаза при помощи 3D-печати

Siri признана самым тупым искусственным интеллектом

Поддержка Firefox для Windows XP и Vista прекратится в 2018 году

Комментарии на нашем сайте: