Um estudo realizado pela Batori especializada em segurança da informação, constatou que grande parte das vulnerabilidades está concentrada hoje em aplicações web, notadamente na estrutura de banco de dados e na arquitetura dos programas.
Além disso, a análise descobriu que grande parte dessas brechas não é detectada por ferramentas como scanners e analisadores de códigos e, quando analisados, não têm a devida eficácia. Falhas desta natureza somente são identificadas e reparadas por profissionais experientes. Então os hackers se aproveitam dessas vulnerabilidades, que geram brechas, para invadir os sistemas, diz o estudo
Para alertar o mercado sobre o problema, a Batori realizou um levantamento e listou um ranking com os dez principais tipos de ataques baseados em vulnerabilidades nas aplicações web, que respondem por 89% dos casos:
1) Cross-site scripting (XSS) – Técnica de ataque que representa 13% das ocorrências. Ela permite executar scripts maliciosos no navegador do usuário da aplicação vulnerável.
2) Manipulação de dados ocultos – Ela responde, também, por 13% das ocorrências. A aplicação vulnerável permite acesso indevido quando dados ocultos são manipulados indevidamente.
3) Falha ao restringir acesso a URL ou funcionalidade – Essa vulnerabilidade, que ocorre porque a aplicação não restringe adequadamente suas áreas restritas, representa 11% das ocorrências.
4) Tratamento indevido de erro, revelação de informações sensíveis – A aplicação revela informações sensíveis através de uso não esperado. Responde por 9% das ocorrências.
5) Armazenamento inseguro de criptografia – Esse tipo de brecha, que representa 9% das ocorrências, expõe dados sensíveis, que deveriam ser armazenados de forma criptografada e estão em texto livre ou com criptografia inadequada.
6) Comunicação insegura – Vulnerabilidade responsável por 8% das ocorrências. A aplicação trafega dados sensíveis através de canais não-seguros.
7) Falha da especificação de requisitos – Deficiência que representa 8% das ocorrências. Os controles de segurança, que deveriam existir, não existem devido à falha na especificação.
Injeção de comandos – Técnica de ataque responsável por 8% das ocorrências e que explora injeção de comandos através de aplicação para serem processados por outros sistemas ou camadas. Por exemplo: SQL Injection, SMTP Injection, HTML Injection etc.9) Processo inadequado de cadastro de usuários – Procedimento que causa 5% das ocorrências. O cadastro de usuário deve respeitar algumas recomendações de segurança, que se não forem seguidas podem expor a aplicação a diversos incidentes.
10) Quebra de autenticação e gerenciamento de sessão – Responsável por 5% das ocorrências, as aplicações vulneráveis permitem burlar o processo de autenticação através de gestão fraca de sessão ou procedimentos inseguros.
Outras vulnerabilidades respondem por 11% das ocorrências.
Postagens
0 comentários:
Postar um comentário