62% корпоративных сайтов в 2013 году содержали уязвимости высокой степени риска. Данный показатель существенно выше прошлогоднего (45%). Больше всего приложений с уязвимостями высокой степени риска, по данным Positive Technologies, было выявлено на сайтах СМИ (80%). Что касается сайтов дистанционного банковского обслуживания, то ни одна из исследованных систем ДБО не соответствовала полностью требованиями стандарта безопасности PCI DSS.
Самая распространенная уязвимость 2013 года - межсайтовое выполнение сценариев (Cross Site Scripting) - встречается на 78% исследованных сайтов. Данный недостаток позволяет атакующему влиять на содержимое веб-страницы, отображаемой в браузере пользователя, в том числе с целью распространения вредоносного кода или получения учетных данных жертвы. Например, в случае уязвимой системы интернет-банкинга злоумышленник может сформировать ссылку, относящуюся к реальному сайту банка, при переходе по которой пользователь увидит фальшивую форму авторизации. Введенные пользователем данные будут направлены на сервер злоумышленника.
На втором месте по популярности (69%) - недостаточная защита от подбора идентификаторов или паролей пользователей (Brute Force), например, вследствие отсутствия или некорректной реализации механизма CAPTCHA. В Топ10 также вошли такие уязвимости, как "Внедрение операторов SQL" (43%) и "Внедрение внешних сущностей XML" (20%).
Самыми небезопасными оказались сайты, написанные на языке PHP: 76% из них содержат критические уязвимости. Менее уязвимы веб-ресурсы на Java (70%) и ASP.NET (55%).