El
WASC (Web Application Security Consortium) ha publicado los
resultados de las distintas vulnerabilidades que se han encontrado durante sus tests de intrusión del año 2008.
Esta iniciativa pretende ayudar y concienciar a las empresas sobre las vulnerabilidades web que existen. Para hacer este estudio utilizan distintos softwares de compañías ya conocidas como puede ser HP o WhiteHat Security.
En resumen, podemos decir que que mas del 13% de las páginas web revisadas podrían ser comprometidas. El 49% de las aplicaciones web tienen vulnerabilidades de alto riesgo detectadas mediante escaneo automático. Sin embargo, mediante el escaneo manual se podría decir que un 86-90% de las aplicaciones tienen vulnerabilidades de alto riesgo. Además, el 99% de las aplicaciones web no cumplen con el estandard
PCI DSS.
Las vulnerabilidades mas extendidas son el Cross-Site Scripting, la perdida de información y SQL Injection como podemos comprobar en el siguiente gráfico
Los resultados son demoledores, XSS es la vulnerabilidad mas extendida pero no la mas peligrosa para una empresa, seguramente la pérdida de información por mala o por falta de configuración es un activo bastante mas importante para una empresa. El informe también nos deja caer que la utilización de herramientas automatizadas para el escaneo de vulnerabilidades es necesaria pero que se deben realizar también auditorías manuales.
La verdad es que los resultados son interesantes...muy interesantes...sobre todo para los que viven del fraude :)
Un saludo
