Rządowe strony WWW wciąż słabo zabezpieczone

26-04-2010, 08:35

W pierwszym kwartale 2010 roku zespół CERT.GOV.PL przebadał 29 stron internetowych należących do 23 instytucji państwowych. Uzyskane wyniki nie napawają optymizmem: spośród 369 znalezionych podatności aż 124 uznano za błędy o bardzo wysokim poziomie zagrożenia.

Jak wynika z ostatniego raportu CERT.GOV.PL, w rządowych witrynach WWW znaleziono ponadto 14 błędów o wysokim poziomie zagrożenia (co stanowi 4% wszystkich wykrytych), 147 błędów o niskim poziomie zagrożenia (40%) oraz 84 błędy oznaczone jako informacyjne (23%).

Wykryte podatności według poziomu zagrożenia

Statystyka wykrytych podatności w rządowych witrynach WWW według poziomu zagrożenia

Wśród podatności o wysokim lub bardzo wysokim poziomie zagrożenia przeważają błędy typu Cross Site Scripting, Blind SQL Injection oraz SQL/XPath Injection. Istotnym problemem jest również wykorzystywanie w serwerach produkcyjnych nieaktualnych wersji oprogramowania.

Procentowy rozkład najpoważniejszych błędów

Procentowy rozkład najpoważniejszych błędów

Rządowi eksperci zwracają uwagę na to, że podatności krytyczne najczęściej występują w warstwie usługowej systemu (np. serwerze http czy frontendzie do bazy danych), a nie w warstwie systemu operacyjnego. Jak widać, obecnie największe zagrożenie dla bezpieczeństwa stanowią błędy w aplikacjach, do których ma dostęp użytkownik zewnętrzny i które bardzo często nie są budowane, konfigurowane i utrzymywane przez lokalnych administratorów w instytucjach - czytamy w podsumowaniu.

Pełną wersję raportu z działalności CERT.GOV.PL za I kwartał 2010 można znaleźć na stronie internetowej zespołu.

>> Czytaj także: Co zagraża Polakom online według rządowych ekspertów


Następny artykuł » zamknij

GetJar zagrozi App Store?

Źródło: CERT.GOV.PL
Przepisy na coś słodkiego z kremem Nutella
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy