пятница, 8 июня 2012 г.

PHP более "дырявый" чем ASP.NET?

Именно такое впечатление может сложиться при прочтении различных интерпретаций нашей статистики по уязвимостям web-приложений. На хабре даже разгорелась по этому поводу небольшая священная война.
На самом деле все не так. На самом деле вероятность найти уязвимость в приложении на PHP гораздо проще найти уязвимость при соблюдении следующих условияй:

— вы анализируете приложение российских компаний из топ 100
— в вашем поле зрения наиболее бизнес-критичные системы, доступные из Интернет (именно с ними связаны основные риски, именно их и заказывают)
— вы честно признаетесь, что не можете найти ВСЕ уязвимости. Поскольку ограничения методики, которая не дает гарантии, да и все мы люди-человеки.

К сожалению других чисел у нас нет. То, что делает WASC и Whitehat Security чуть менее адекватно, поскольку содержит либо смесь черного и белого ящика (WASC), либо только черный с ручной верификацией (Whitehat).

Из highlighs - на 10% всех сайтов мы встречали вредоносное ПО либо закладку под его установку. Т.е. кто-то там уже был.




Вот такие вот пироги. Подробнее:
Русский
English

Комментариев нет: