Немного статистики за 2022 год от багбаути платформы HackerOne!
Поиск уязвимостей
- 92% исследователей безопасности находят уязвимости, которые не могут найти автоматизированные средства.
- 65.000 уязвимостей было найдено, что на 21% больше, чем в 2021 году.
- Основная мотивация исследователей — это саморазвитие и деньги.
На исправление уязвимостей компании тратят в среднем от 35 до 47 рабочих дней. Но по индустриям этот срок может отличаться, к примеру:
- 11.6 дней на исправление в криптоиндустрии.
- 28.9 дней на исправление в медиа компаниях.
- 42.2 дней на исправление в ритейле и электронной коммерции.
- 49.7 дней на исправление в телекоме.
- 73.9 дней на исправление в медицинской сфере.
- 148.3 дней на исправление в авиационной и космической отрасли.
По количеству встречающихся веб-уязвимостей из OWASP Top 10 статистика, следующая:
1. Cross-site Scripting (XSS) (+32%)
2. Improper Access Control (-13%)
3. Information Disclosure (-27%)
4. Insecure Direct Object Reference (IDOR) (+13%)
5. Improper Authentication (+33%)
6. Privilege Escalation (+2%)
7. Code Injection (+26%)
8. Improper Authorization (+76%)
9. SQL Injection (-15%)
10. Server-Side Request Forgery (SSRF) (-18%)
Наибольшее внимание исследователи уделяют:
- Web-приложениям.
- API.
- Мобильным приложениям на Android.
Количество небезопасных конфигураций в отчетах выросло на 151%. "Проблемы не в коде, проблемы в развертывании и обслуживании".
Меры достаточны?
- 88% исследователей отмечают рост потенциальных поверхностей атаки.
- 32% исследователей считают, что компании недостаточно уделяют внимание проверкам уровня защищенности.
Поиск уязвимостей
- 92% исследователей безопасности находят уязвимости, которые не могут найти автоматизированные средства.
- 65.000 уязвимостей было найдено, что на 21% больше, чем в 2021 году.
- Основная мотивация исследователей — это саморазвитие и деньги.
На исправление уязвимостей компании тратят в среднем от 35 до 47 рабочих дней. Но по индустриям этот срок может отличаться, к примеру:
- 11.6 дней на исправление в криптоиндустрии.
- 28.9 дней на исправление в медиа компаниях.
- 42.2 дней на исправление в ритейле и электронной коммерции.
- 49.7 дней на исправление в телекоме.
- 73.9 дней на исправление в медицинской сфере.
- 148.3 дней на исправление в авиационной и космической отрасли.
По количеству встречающихся веб-уязвимостей из OWASP Top 10 статистика, следующая:
1. Cross-site Scripting (XSS) (+32%)
2. Improper Access Control (-13%)
3. Information Disclosure (-27%)
4. Insecure Direct Object Reference (IDOR) (+13%)
5. Improper Authentication (+33%)
6. Privilege Escalation (+2%)
7. Code Injection (+26%)
8. Improper Authorization (+76%)
9. SQL Injection (-15%)
10. Server-Side Request Forgery (SSRF) (-18%)
Наибольшее внимание исследователи уделяют:
- Web-приложениям.
- API.
- Мобильным приложениям на Android.
Количество небезопасных конфигураций в отчетах выросло на 151%. "Проблемы не в коде, проблемы в развертывании и обслуживании".
Меры достаточны?
- 88% исследователей отмечают рост потенциальных поверхностей атаки.
- 32% исследователей считают, что компании недостаточно уделяют внимание проверкам уровня защищенности.