Esse projeto é bem interessante e demonstra os maiores erros e problemas encontrado no ano de 2008. Com certeza se tivermos mais empresas apoiando o projeto teremos cada vez números mais reais. Aqui na N-Stalker baseado no nosso Serviço de Scanner em modo SaaS ( http://www.redesegura.com.br ) pretendemos até o final do ano fazer o release de uma estatística das falhas encontradas no mercado nacional em clientes atuais bem como PoC realizados.

Resumidamente foram publicado:

Foram analisadas aproximadament 12186 aplicações  e detectadas 97554 vulnerabilidades em diferentes niveis de serveridade. O que chama atenção é que 13%** dos sites podem ser comprometidos completamente de forma automática o que mostra o total descaso com a segurança . Quase metade , ou seja, 49% das aplicações analisadas possuem falhas de alta criticidade detectadas durante scan automático .

** Web applications with Brute Force Attack, Buffer Overflow, OS Commanding, Path Traversal, Remote File Inclusion, SSI Injection, Session Fixation, SQL Injection, Insufficient Authentication, Insufficient Authorization vulnerabilities detected by automatic scannings.

– Falhas mais comuns são: Cross-site Scripting (XSS) , diferentes formas de vazamento de informação , SQL Injection e HTTP Response Splitting
– 99% das aplicações não estão em compliance com os padrões do PCI DSS
– Comparado com 2007 vulnerabilidades de SQL Injection e Cross-Site Scripting diminuiram em contra partida o vazamento de informação cresceu significativamente (24%) e alvo que podem ser comprometidos automaticamente cresceram de 7% para 13% .

Abaixo alguns gráficos de falhas encontradas:

Estatisticas completas em: http://projects.webappsec.org/Web-Application-Security-Statistics

E fiquem de olho nas estatísticas web nacional em breve .

N-Stalker Team