Опитування спеціалістів з Web Application Security (листопад)
21:41 21.01.2007Раніше я вже писав про жовтневий Web Application Security Professionals Survey, який проводив Джеремія Гроссман. А зараз розповім вам про результати листопадового Web Application Security Professionals Survey (в якому я приймав участь).
Питання:
1) Для кого ви виконуєте аудит безпеки веб додатків?
a) Для секюріті виробників
b) Для підприємств
c) В розважальних і/або навчальних цілях
d) Ішне
A: 40% B: 48% C: 8% D: 4%
2) Яка ваша найбільш поширена методологія аудиту безпеки веб додатків?
a) Аналіз вихідних кодів (White Box)
b) Black Box
c) Комбінація A та B
A: 2% B: 54% C: 44%
3) Чи ви використовуєте комерційні сканери безпеки для проведення секюріті аудитів?
a) Ніколи
b) Іноді
c) 50/50
d) В більшості випадків
e) Завжди
A: 52% B: 21% C: 0% D: 6% E: 21%
4) Чи ви використовуєте опен сорс інструменти для проведення секюріті аудитів?
a) Ніколи
b) Іноді
c) 50/50
d) В більшості випадків
e) Завжди
A: 0% B: 13% C: 15% D: 17% E: 56%
5) Яку систему оцінки небезпечності уразливостей веб додатків ви використовуєте?
a) DREAD
b) TRIKE
c) CVSS
d) Власну
e) Інше
A: 8% B: 2% C: 6% D: 67% E: 17%
6) Яка одна найбільш небезпечна і найбільш поширена уразливість веб додатків?
a) Cross-Site Scripting (XSS)
b) Cross-Site Request Forgery (CSRF)
c) PHP Include
d) SQL Injection
e) Інше
A: 48% B: 6% C: 10% D: 31% E: 4%
7) Чи є Cross-Site Request Forgeries (CSRF) частиною вашої методологї аудиту безпеки?
a) Так
b) Ні
c) Іноді
d) Що?
A: 42% B: 10% C: 46% D: 2%
8) З вашого досвіду аудиту безпеки, скільки веб сайтів майють серйозні уразливості в веб додатках?
a) Всі чи майже всі
b) Більшість
c) 50/50
d) Декілька
e) Незнаю
A: 17% B: 38% C: 21% D: 25% E: 0%
9) Скільки часу у вас займає пошук однієї серйозної уразливості на більшості публічних веб сайтів?
a) Пару хвилин
b) Час чи два
c) День і ніч
d) Кілька днів
e) Незнаю, ніколи не пробував
A: 23% B: 35% C: 19% D: 2% E: 21%
10) Через який час, після проведення аудиту безпеки, виправляється більшість знайдених уразливостей?
a) На протязі кількох годин
b) За декілька наступних днів
c) На протязі наступного планового оновлення програм
d) Місяць з часу знайдення
e) Як раз перед наступним щорічним аудитом безпеки
A: 0% B: 40% C: 30% D: 26% E: 4%
11) Які заходи можуть найбільше покращити безпеку веб сайтів?
a) Використання сучасних фрейморків для розробки програм (.NET, J2EE, Ruby on Rails, тощо)
b) Тренінги про безпеку програм та обізнаності розробників в темі безпеки
c) Більша присутність безпеки в Циклі Розробки Програмного Забезпечення (SDLC)
d) Відповідність промисловим стандартам
e) Інше
A: 21% B: 28% C: 21% D: 2% E: 28%
12) Чи ви були причетними до злочинних атак на веб додатки, які не були розкритими?
a) Ні
b) Один раз
c) Декілька разів
d) Багато, що й усе не перерахуєш
A: 35% B: 7% C: 41% D: 17%
Результати опитування навіюють на роздуми.
Зокрема результати відповідей на питання №3, про використання комерційних сканерів безпеки. 73% опитаних секюріті спеціалістів взагалі не використовують (або дуже рідко) комерційні сканери безпеки (зокрема я не використовую подібні сканери, і в цьому наші позиції співпали).
