Depuis maintenant 7 ans, l’Institut SANS publie les 20 principaux risques pour la sécurité de l’Internet. Cette année, la liste révèle un passage des vulnérabilités basées sur le serveur à des vulnérabilités sur le poste client, illustré par de nombreuses menaces de mises à jour dans des applications telles qu’Internet Explorer, Windows Media Player et Adobe. Une autre tendance pour 2007 concerne l’augmentation des vulnérabilités dans des applications Web telles que des wikis, des portails ou autres, qui permettent d’accéder aux bases de données et à des applications d’opérations bancaires. C’est en partie dû au fait que le développement des applications Web est un processus complexe. De plus la complexité et la flexibilité combinées à des instruments de développement Web, tels que Java, .Net, Perl, PHP, Ruby, et tant d’autres rendent facile les erreurs de développement et les failles de sécurité exploitables. Les attaquants ont des techniques de plus en plus utilisées telles que le « cross-site scripting » pour exploiter non seulement l’information stockée dans l’application Web elle-même, mais également les segments et les serveurs de réseau interne, et même les systèmes d’utilisateur.

Le modèle « on demand » de Qualys fournit aux clients des mises à jour immédiates des vulnérabilités, telles que celles du Top 20, sans besoin d’installer de logiciel ou de déployer la solution dans une infrastructure additionnelle. En plus du scan gratuit, le service de QualysGuard® détecte les nouvelles failles du SANS Top 20.

Le scan gratuit de Qualys pour le 2007 SANS Top 20 est disponible sur https://sans20.qualys.com.