Partiendo de una discusion muy interesante en el sitio Security by default, ( les recomiendo la visita ) sobre la importancia que les dan las empresas a las vulnerabilidades reportadas, quiero traer a cuento un informe publicado ayer por White Hat Security el cual dice que 60% de los sitios web contienen serias vulnerabilidades de seguridad.
Entre los puntos que da cuenta el informe, en base a datos de sus clientes :
- 65% de los sitios tiene un problema de XSS
- 17 es el numero de vulnerabilidades promedio de un sitio durante su vida.
- 17% contienen problemas de SQLInjection
- 14% contienen problemas de permisos
- 11% contienen problemas de Cross-site request forgery
- 10% problemas de autenticación insuficiente
Posibilidades de tener un problema grave de seguridad sin resolver en su sitio web según el rubro :
- Empresas de Social Networking 82%
- Empresas de Tecnología 75%
- Empresas financieras 65%
- Seguros 64%
- Retail 61%
- Farmacéuticas 59%
- Telecomunicaciones 54%
- Medicina 47%
Por otra parte el informe da cuenta que solo son resueltas el 60% de las vulnerabilidades reportadas.
Tiempo que toman en resolverse los problemas según el tipo de incidente :
- Problemas de autenticación +60 dias
- Exposicion de información 85dias
- Cross site scripting 58dias
- SQL Injection 38dias
Mi percepción sobre dar cuenta de vulnerabilidades en sitios web ( tanto de empresas donde trabaje, como externas ) voy a ponerla en modo de imágenes, ya que dicen que una imagen vale mas que 1000 palabras :
Tenemos el caso de las empresas en las cuales se reporta el incidente por los medios indicados y este navegara en el océano de la burocracia interna hasta perderse o tiene la remota posibilidad de ser encontrado por alguien responsable :
Tenemos otros casos donde se informa el incidente a la persona que tiene la responsabilidad de repararlo, se muestra el incidente y se le da en forma detallada las consecuencias de no arreglar el problema, respuesta :
Por ultimo, los mas patéticos de todos, el que emplea el método "Matemos al mensajero" o mejor conocido como "That is SPARTA", se comunica el problema y en lugar de resolver el mismo, se lleva a un tribunal a quien da cuenta del mismo.
Fuente : DarkReading
2 comments:
"17% es el numero de vulnerabilidades promedio de un sitio durante su vida."
se te pasó un "%"
no se me ocurre nada para decir que no haya puesto en sbd, asi que:
al final probaste w3af? que te parecio? :P
Hola Seth
Gracias por el dato, ya lo corregi.
Probe w3af en la versión beta de Backtrack, tenia algunas colgadas que pienso se deben mas a Backtrack que al soft.
Me pareció muy bueno y puede complementarse con otros programas como Wikto.
Creo que antes de ejecutar este tipo de herramientas hay que hacer un footprint detallado del objetivo para reducir el ruido que provocan en los logs.
Sdls.
Post a Comment