Zespół CERT.GOV.PL w pierwszym kwartale tego roku przebadał 29 stron internetowych należących do 23 instytucji państwowych. Jaki wynik? Jest źle... bardzo źle.

Ogółem znaleziono 369 błędów! W tym 124 błędy o bardzo wysokim poziomie zagrożenia, 14 błędów o wysokim poziomie zagrożenia, 147 błędów o niskim poziomie zagrożenia oraz 84 błędy oznaczone jako informacyjne. Te dane pokazują, jak słabo dbają administratorzy instytucji państwowych o zabezpieczanie witryn. Mogłoby się wydawać, że właśnie te strony powinny być najlepiej chronione, zabezpieczone. Fakty pokazują, że jest zupełnie inaczej.

Strony te mają największą podatność na ataki typu Cross Site Scripting (XSS), Blind SQL Injection oraz SQL/XPath Injection. Dzieje się to przez nieaktualizowane oprogramowanie. Warto zwrócić uwagę, że podatności krytyczne najczęściej występują w warstwie usługowej systemu (np. serwerze http), a nie w warstwie systemu operacyjnego. "Jak widać, obecnie największe zagrożenie dla bezpieczeństwa stanowią błędy w aplikacjach, do których ma dostęp użytkownik zewnętrzny i które bardzo często nie są budowane, konfigurowane i utrzymywane przez lokalnych administratorów w instytucjach" - pisze w podsumowaniu.

Raport można pobrać ze strony CERT.GOV.PL