Íme a webes biztonsági hibák toplistája

Az üzleti tevékenységek egy jelentős része az interneten keresztül zajlik, így nem meglepő, hogy a webes alkalmazások a kiberbűnözők elsődleges célpontjai közé tartoznak. Lássuk a leggyakoribb támadó technikákat.
 

A webes fenyegetettségek, sebezhetőségek száma továbbra is emelkedik, ami a védelmet egyre nehezebbé és komplexebbé teszi. A legfrissebb Symantec jelentés szerint 2013-ban 6787 sérülékenységre derült fény, míg 2012-ben "csak" 5291-re. Beszédes adat az is, hogy minden nyolcadik weboldalon kritikus veszélyességű, befoltozatlan biztonsági rés tátong. 


Forrás: Symantec

Az elmúlt néhány év során a webes kártevők száma jelentősen megnőtt, ami nagy részben az automatizált eszközkészleteknek és az exploit kiteknek köszönhető. A hackerek számtalan rosszindulatú programot és sérülékenységek kiaknázására alkalmas exploitot tartalmazó szoftvert használnak, amik automatizált támadásokkal terjesztik a kártevőket, és fertőzik meg a gyanútlan felhasználók számítógépeit. 


A leggyakoribb exploit kitek - Forrás Symantec

A Symantec kutatói összegyűjtötték azokat a sebezhetőségeket, illetve támadási módszereket, amelyek a leggyakrabban járulnak hozzá károkozásokhoz. A listán szakmai berkeken belül jól ismert sérülékenységek találhatók, ami egyben azt is jelenti, hogy a webhelyek sokszor még mindig alapvető biztonsági rések miatt válnak kiszolgáltatottá.

A webes sérülékenységek toplistája:

1.  SQL Injection

A támadók SQL injection technika alkalmazásakor rosszindulatú SQL utasításokkal élnek vissza, és ilyen módon férnek hozzá szenzitív adatokhoz. Rosszabb esetben pedig adatbázis manipulációktól sem riadnak vissza. Eközben pedig leginkább a bemeneti értékek, paraméterek nem kellő szintű ellenőrzését használják ki.

2. Cross Site Scripting (XSS)

A Cross Site Scripting (XSS) az internetes alkalmazásoknak mindig is az egyik legelterjedtebb biztonsági hibája volt. Ez a sebezhetőség is a nem megfelelően ellenőrzött beviteli mezők vagy paraméterek problémájára vezethető vissza. A kihasználásával az elkövetők tetszőleges HTML, illetve JavaScript kódok révén okozhatnak károkat. 

3. CSRF (Cross-Site Request Forgery)

A CSRF támadás során a támadó a célkeresztbe állított, védett weboldalhoz olyan felhasználó "közreműködésével" próbál hozzáférni, aki feltételezhetően bejelentkezett az adott webhelyre. Ehhez különféle HTML és JavaScript kódokat használhat fel, amelyek az áldozat böngészőjében való lefutásukat követően jogosulatlan műveletek végrehajtását segíthetik elő. 

4. Ismert sérülékenységgel rendelkező komponensek használata

Az ismert biztonsági résekkel sújtott komponensek - könyvtárak, keretrendszerek és más szoftvermodulok - könnyű prédát jelentenek az internetes bűnözők számára. Ahogy nemrégiben az OpenSSL (Heartbleed) hibájánál is láthattuk, a hatékony foltozás és a biztonságos kódolás bonyolult folyamat, különösképpen az összetett webes alkalmazásoknál. Márpedig az ismert sérülékenységekkel rendelkező komponenseket integráló alkalmazások könnyen alááshatják a megfelelő védelmet.

5. Közbeékelődéses támadás

A közbeékelődéses (man-in-the-middle) támadás  a rendszerek közötti kommunikációba való beférkőzés révén valósul meg. Ilyenkor a kommunikációs csatorna "eltérítésével" a támadó mindkét fél (szerver és kliens) számára partnernek adja ki magát, így mindkét fél azt gondolja, hogy egymással beszélget, miközben valójában mindketten a támadóval vannak kapcsolatban. A Symantec szerint ezek a sérülékenységek nagyrészt a webes alkalmazások kódjában lévő biztonsági hiányosságok miatt létezhetnek, és megelőzhetők lennének. Azonban sok vállalat addig halogatja a biztonsági elemek beépítését a saját szoftvereibe, amíg már túl késő lesz. 

Az utólagos kármentés helyett megelőzésre van szükség

A biztonsági cég arra is rávilágított, hogy sok szervezet védelmi stratégiája továbbra is reaktív, vagyis az utólagos incidensreagálásra koncentrál. Ezért fontos lenne, hogy a biztonsági megoldások már a fejlesztési folyamat során beépítésre kerüljenek, különösen a webes alkalmazások esetén. Természetesen emellett a fejlesztési és üzemeltetési környezetek folyamatos felügyelete is fontos.
 
  1. 4

    A Microsoft Edge webböngésző 11 hibajavítással gyarapodott.

  2. 3

    A GnuPG kapcsán egy biztonsági hiba megszüntetésére van szükség.

  3. 4

    A OpenVPN Server sérülékenysége szolgáltatásmegtagadási támadásokat idézhet elő.

  4. 3

    A Next.js kapcsán egy biztonsági hibára derült fény.

  5. 4

    A Trend Micro Deep Security biztonsági hibajavításokat kapott.

  6. 3

    A VMware Aria Operations sebezhetősége jogosultsági szint emelést tesz lehetővé.

  7. 4

    A Google Chrome ismét jelentős biztonsági frissítést kapott.

  8. 3

    A Canon egyes nyomtatódriverei kapcsán három biztonsági hibára derült fény.

  9. 4

    A Draytek két biztonsági hibáról számolt be egyes routerei kapcsán.

  10. 3

    A Zulip Server két biztonsági hibát tartalmaz.

Partnerhírek
Pályázati Felhívás - „Az év információbiztonsági tartalom előállítója 2025”

A 2004-ben alakult Hétpecsét Információbiztonsági Egyesület céljai között szerepel az információvédelem kultúrájának és ismereteinek magyarországi terjesztése. Ezzel a célunkkal összhangban 2025-ben ismét meghirdetjük a „Az év információbiztonsági tartalom előállítója - 2025” pályázatot.

8 tipp a félelemkeltő csalások elleni védelemhez

A félelem hatékony fegyver, és a hackerek tudják, hogyan győzzék meg az embereket, hogy azonnali és meggondolatlan lépéseket tegyenek.

hirdetés
Közösség