<span style="font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">&quot;Can be found remotely by someone </span><span style="font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">with a minimum of time and effort&quot;</span> almost certainly means compromised and already distributing malware.  so if there is any database of hacked sites as a percentage of legitimate sites... then there you have it.<br>
<br><div class="gmail_quote">On Wed, Mar 7, 2012 at 11:01 AM, Dave Aitel <span dir="ltr">&lt;<a href="mailto:dave@immunityinc.com">dave@immunityinc.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I know it&#39;s been a decade, and everyone is sick of talking about SQLi,<br>
but none-the-less, I was chatting with a bunch of people about it at RSA<br>
and I wanted to throw out a metric to see if we can get consensus.<br>
<br>
The metric is this: How many websites have remote anonymous SQLi as a<br>
percentage. Obviously you&#39;re going to find more SQLi if you have<br>
authentication, or are doing static analysis on their code. But that&#39;s<br>
almost unfair. So let&#39;s just look at: &quot;Can be found remotely by someone<br>
with a minimum of time and effort&quot;.<br>
<br>
My theory is 5%, and one of the companies who does this also thought 5%<br>
sounded reasonable.<br>
<br>
I think it&#39;s an interesting number to have, and if anyone wants to chime<br>
in, feel free!<br>
<font color="#888888"><br>
--<br>
INFILTRATE 2013 January 10th-11th in Miami - the world&#39;s best offensive information security conference.<br>
<a href="http://www.infiltratecon.com" target="_blank">www.infiltratecon.com</a><br>
<br>
<br>
</font><br>_______________________________________________<br>
Dailydave mailing list<br>
<a href="mailto:Dailydave@lists.immunityinc.com">Dailydave@lists.immunityinc.com</a><br>
<a href="http://lists.immunityinc.com/mailman/listinfo/dailydave" target="_blank">http://lists.immunityinc.com/mailman/listinfo/dailydave</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br>_________________________________<br>Note to self: Pillage BEFORE burning.<br>