A leggyakoribb biztonsági hibák

Megjelent a webes sérülékenységek legfrissebb toplistája. A rangsor jól szemlélteti, hogy napjainkban a biztonsági hibák kapcsán is teljes körű kockázatkezelésre van szükség.
 

Az OWASP (Open Web Application Security Project) először 2003-ban készítette el azt a toplistáját, amellyel a leggyakoribb sérülékenységek típusait gyűjtötte össze. A kutatók azokat a biztonsági réseket vették górcső alá, amelyek elsősorban a webes alkalmazások esetében vezethetnek károkozásokhoz. A toplista meglehetősen nagy érdeklődésre tartott számot, és abból egy-egy frissített változat 2004-ben, 2007-ben és 2010-ben is megjelent. Az OWASP az elmúlt hetekben úgy gondolta, hogy itt az ideje ismét megvizsgálni a webes sérülékenységekkel kapcsolatos trendeket.

Változatlan élboly

Az OWASP szakemberei a legújabb toplistát nyolc sérülékenységi adatbázis alapján állították össze, amelyeket hét jelentős, alkalmazásbiztonsággal foglalkozó szervezet bocsátott a rendelkezésükre. A rangsor elkészítésekor többek között figyelembe vették az egyes sérülékenységek kihasználhatóságát, felismerhetőségét és az azok által jelentett kockázatokat. Amikor pedig végeztek az elemzésekkel, akkor azt tapasztalták, hogy a 2010-es állapotokhoz képest nem történt komolyabb változás: a toplista első öt helyezettje változatlanul tartja magát.

A 2013-as ranglista első helyén a kódbefecskendezésre lehetőséget adó sérülékenységek szerepelnek. Ezekbe nemcsak a gyakran emlegetett SQL injection hibák tartoznak bele, hanem például az LDAP injection is. A második helyen az authentikációs rendellenességekre valamint a munkamenetkezelés hiányosságaira visszavezethető sebezhetőségek találhatók. Ezek jogosulatlan hozzáférésre, jelszavak és bizalmas információk megkaparintására adhatnak lehetőséget. A toplista harmadik helyezettje pedig az XSS (Cross-Site Scripting) lett, ami megfelelő ellenőrzések hiányában jogosulatlan kód (script) futtatást vagy a felhasználói munkamenetek feletti irányítás átvételét segítheti elő a támadók számára.

A toplista első felének további két helyét a jogosulatlan adatelérést biztosító objektumhivatkozások valamint a nem megfelelő konfigurációs beállítások foglalják el. Ez utóbbi esetben a szerverek, a szerveralkalmazások, a keretrendszerek és az adatbázisok biztonsági szempontból hiányos vagy rossz paraméterezésére, illetve a nem naprakészen tartott alkalmazások által jelentett kockázatokra kell gondolni.

Az idei toplista második felének 2010-es állapotokkal való összevetése már nem végezhető el olyan egyértelműen, ugyanis az OWASP új sérülékenységi kategóriákat vezetett be, illetve régieket vont össze. Ennek megfelelően a listára olyan hibatípusok kerültek fel, amelyek a bizalmas adatok nem megfelelő tárolására, illetve kezelésére, a funkciószintű hozzáférésvezérlésre, ismert sérülékenységeket tartalmazó komponensek használatára vagy hibás átirányításokra vezethetők vissza.

Az OWASP abban bízik, hogy az általa összeállított toplista felhívja a figyelmet a leggyakoribb veszélyekre, és minden szervezetnek azt javasolja, hogy a közzétett megfontolásait vegyék figyelembe a webes alkalmazásaik fejlesztése, üzemeltetése során. Ugyanakkor azt is hangsúlyozta, hogy az általa összegyűjtött sérülékenységek csak egy szeletét jelentik a veszélyforrásoknak, így a mindennapokban nemcsak az ezúttal kiemelt tíz hibatípussal kell foglalkozni.