Le Projet de Statistiques de la sécurité des application Web WASC est une initiative conjointe des leaders de l’industrie WEB pour protéger les applications Web ainsi qu’une meilleure compréhension de la nature des vulnérabilités de Ces application.
Les principaux objectifs du projet Sont:
- Identifier la prévalence et la probabilité de détecter les vulnérabilités de différentes classes.
- Une comparaison des différentes approches d’analyse afin d’identifier leurs forces et leurs faiblisses
Méthodologie
Les données de base ont été obtenus des résultats des travaux sur l’évaluation de la sécurité des applications Web en 2007 en utilisant des outils automatisés par les sociétés suivantes :
- HP Application Security Center et son outil WebInspect
- Positive Technologies et son outil MaxPatrol
- WhiteHat Security et son outil WhiteHat Sentinel
Ces statistiques comporte deux sortes de données:
- Les résultats de tests automatisés
- L’évaluation de la sécurité du Code en utilisant le BlackBox et le WhiteBox.
Ces Scan automatique sont réalisées avec le profil standard de scan . En analysant ces informations on doit garder à l’esprit que tous les sites n’utilisent pas des éléments interactifs. En outre, de nouvelles configuration spécifique du scanner permettent d’améliorer la détection des vulnérabilités.
Les Statistiques sur la méthode d’évaluation BlackBox et WhiteBox contient les résultats de l’analyse automatique et manuel des applications Web. En règle générale, ces travaux comprennent l’exploration avec les préréglages et l’analyse manuelle des résultats de recherche des vulnérabilités; inaccessibles aux robot automatique d’exploration et d’analyse des sources.
Les résultat comporte 3 ensemble de données:
- Statistiques globales sur tous les types de travaux
- Statistiques des scans automatique
- statistiques pour évaluer la méthode de « BLACK » et « WHITE » Boxing
Au total, les données statistiques incluent 32717 sites, et 69476 vulnérabilités découvertes de divers degrés de risque.
Retrouvez toutes les statistique sur la page : http://www.webappsec.org/projects/statistics/.