Безопасность и Мониторинг

Дорогие друзья сайта find-xss.net, как принято в начале нового года мы публикуем статистику найденных уязвимостей нашим сканером.

Статистика предоставлена за все время существования проекта.

Дорогие друзья сайта find-xss.net, как принято в начале нового года мы публикуем статистику найденных уязвимостей нашим сканером. На графике слева на право обозначены:
Количество проверок - 29 417
Количество найденных уязвимостей - 242 021
количество проверенного кода - 9 313 мб

Уважаемые пользователи Find-XSS.net, в данном разделе мы предлагаем Вам подробно ознакомиться со статистикой, полученной в результате сканирования проектов наших клиентов.
Обратите внимание - ниже мы приводим данные за последние два года.

Уважаемые пользователи, для многих из Вас не будет секретом тот факт, что в последнее время в глобальной сети интернет значительно участились случаи плагиата. Имеющиеся в нашем распоряжении статистические данные позволяют сделать неутешительный прогноз - количество подобных случаев продолжает увеличиваться с каждым днем. Обращаем Ваше внимание на то, что мы сами являемся разработчиками, поэтому прекрасно понимаем Ваши опасения насчет сохранности Вашей интеллектуальной собственности, а именно - загружаемых для проверки исходников. Во избежание возможных недоразумений, мы разработали особую клиентскую часть сканера Find-Compromise, позволяющую Вам не беспокоиться лишний раз за сохранность Вашего проекта, а нам за эксклюзивность нашего продукта.

Дорогие друзья, у нас есть для Вас очень хорошая новость - XSS-сканер удачно прошел стадию бета-тестирования и перешел в рабочий режим. Теперь мы можем с полной на то уверенностью заявить, что 9 из 10 обнаруженных нашим сканером уязвимостей не только действительно существуют, но также и представляют собой реальную угрозу для Ваших проектов. К слову, данный показатель значительно выше, чем у любого другого сканера уязвимостей PHP-кода. Более того, количество обнаруженных при его помощи уязвимостей существенно выше, чем у любого другого инструмента с подобной функциональностью.

Уважаемые пользователи, представляем Вашему вниманию обновленную версию (0.6.0) XSS-сканера. Напомним, что разработанный нами сканер проверяет исходники, полученные от пользователя. Во время сканирования происходит анализ всех функций для определения степени их опасности, или безопасности. Полученные данные используются в дальнейшем анализе кода. В связи со всем вышесказанным в очередной раз обратим Ваше внимание на тот важный факт, что для проверки требуется загружать весь сайт (проект) целиком, а не его отдельные модули, поскольку в них используются функции, описанные в другом месте. В случае загрузки отдельных модулей отчет сканирования будет содержать ошибки.

Дорогие друзья, предлагаем Вам ознакомиться с изменениями, сделанными нами в обновленной версии (0.5.0) XSS-сканера. Как мы и обещали ранее, статусы Warning и Error подверглись упразднению. Отчет сканирования в новой версии также претерпел существенные изменения -  теперь в нем указываются три основные вида уязвимостей XSS, SQL injection и  Active script (прочие уязвимости). К сожалению, в предыдущих версиях сканера отчет проверки ставил некоторых пользователей в тупик (особенно уязвимость со статусом Warning). В версии 0.5.0 мы сделали все возможное, чтобы максимально упростить понимание логики, которую использовал сканер для обнаружения той или иной уязвимости. 

Дорогие друзья, предлагаем Вашему вниманию статистику уязвимостей за 2011 год, полученную в результате сканирования проектов наших клиентов. Для тех, кто еще не очень хорошо знаком со всеми особенностями XSS-сканера, сообщим, что он оснащен счетчиком выполненных проверок и логирует как размер проверяемого файла, так и общее количество найденных уязвимостей.
 
Итак, в 2011 году количество проведенных сканирований составило 13,143, объем проверенного кода - 7,122,421,827 байт, количество обнаруженных уязвимостей - 35,545. Посредством несложных математических вычислений получаем примерно 2,7 уязвимости для каждого отдельного сканирования, или одну уязвимость на каждые 200,377 байт кода. Собранные за прошлый год логи позволяют определить процент сканированных архивов с уязвимостями. Данный процент крайне высок - получается, что примерно 75% всех загруженных в сканер проектов имели какие-нибудь уязвимости.