Íme a webes biztonsági hibák toplistája

Az üzleti tevékenységek egy jelentős része az interneten keresztül zajlik, így nem meglepő, hogy a webes alkalmazások a kiberbűnözők elsődleges célpontjai közé tartoznak. Lássuk a leggyakoribb támadó technikákat.
 

A webes fenyegetettségek, sebezhetőségek száma továbbra is emelkedik, ami a védelmet egyre nehezebbé és komplexebbé teszi. A legfrissebb Symantec jelentés szerint 2013-ban 6787 sérülékenységre derült fény, míg 2012-ben "csak" 5291-re. Beszédes adat az is, hogy minden nyolcadik weboldalon kritikus veszélyességű, befoltozatlan biztonsági rés tátong. 


Forrás: Symantec

Az elmúlt néhány év során a webes kártevők száma jelentősen megnőtt, ami nagy részben az automatizált eszközkészleteknek és az exploit kiteknek köszönhető. A hackerek számtalan rosszindulatú programot és sérülékenységek kiaknázására alkalmas exploitot tartalmazó szoftvert használnak, amik automatizált támadásokkal terjesztik a kártevőket, és fertőzik meg a gyanútlan felhasználók számítógépeit. 


A leggyakoribb exploit kitek - Forrás Symantec

A Symantec kutatói összegyűjtötték azokat a sebezhetőségeket, illetve támadási módszereket, amelyek a leggyakrabban járulnak hozzá károkozásokhoz. A listán szakmai berkeken belül jól ismert sérülékenységek találhatók, ami egyben azt is jelenti, hogy a webhelyek sokszor még mindig alapvető biztonsági rések miatt válnak kiszolgáltatottá.

A webes sérülékenységek toplistája:

1.  SQL Injection

A támadók SQL injection technika alkalmazásakor rosszindulatú SQL utasításokkal élnek vissza, és ilyen módon férnek hozzá szenzitív adatokhoz. Rosszabb esetben pedig adatbázis manipulációktól sem riadnak vissza. Eközben pedig leginkább a bemeneti értékek, paraméterek nem kellő szintű ellenőrzését használják ki.

2. Cross Site Scripting (XSS)

A Cross Site Scripting (XSS) az internetes alkalmazásoknak mindig is az egyik legelterjedtebb biztonsági hibája volt. Ez a sebezhetőség is a nem megfelelően ellenőrzött beviteli mezők vagy paraméterek problémájára vezethető vissza. A kihasználásával az elkövetők tetszőleges HTML, illetve JavaScript kódok révén okozhatnak károkat. 

3. CSRF (Cross-Site Request Forgery)

A CSRF támadás során a támadó a célkeresztbe állított, védett weboldalhoz olyan felhasználó "közreműködésével" próbál hozzáférni, aki feltételezhetően bejelentkezett az adott webhelyre. Ehhez különféle HTML és JavaScript kódokat használhat fel, amelyek az áldozat böngészőjében való lefutásukat követően jogosulatlan műveletek végrehajtását segíthetik elő. 

4. Ismert sérülékenységgel rendelkező komponensek használata

Az ismert biztonsági résekkel sújtott komponensek - könyvtárak, keretrendszerek és más szoftvermodulok - könnyű prédát jelentenek az internetes bűnözők számára. Ahogy nemrégiben az OpenSSL (Heartbleed) hibájánál is láthattuk, a hatékony foltozás és a biztonságos kódolás bonyolult folyamat, különösképpen az összetett webes alkalmazásoknál. Márpedig az ismert sérülékenységekkel rendelkező komponenseket integráló alkalmazások könnyen alááshatják a megfelelő védelmet.

5. Közbeékelődéses támadás

A közbeékelődéses (man-in-the-middle) támadás  a rendszerek közötti kommunikációba való beférkőzés révén valósul meg. Ilyenkor a kommunikációs csatorna "eltérítésével" a támadó mindkét fél (szerver és kliens) számára partnernek adja ki magát, így mindkét fél azt gondolja, hogy egymással beszélget, miközben valójában mindketten a támadóval vannak kapcsolatban. A Symantec szerint ezek a sérülékenységek nagyrészt a webes alkalmazások kódjában lévő biztonsági hiányosságok miatt létezhetnek, és megelőzhetők lennének. Azonban sok vállalat addig halogatja a biztonsági elemek beépítését a saját szoftvereibe, amíg már túl késő lesz. 

Az utólagos kármentés helyett megelőzésre van szükség

A biztonsági cég arra is rávilágított, hogy sok szervezet védelmi stratégiája továbbra is reaktív, vagyis az utólagos incidensreagálásra koncentrál. Ezért fontos lenne, hogy a biztonsági megoldások már a fejlesztési folyamat során beépítésre kerüljenek, különösen a webes alkalmazások esetén. Természetesen emellett a fejlesztési és üzemeltetési környezetek folyamatos felügyelete is fontos.
 
  1. 3

    A LibreOffice egy biztonsági hibajavítással gyarapodott.

  2. 3

    A Python egy közepes veszélyességű hibát tartalmaz.

  3. 3

    A GitLab fejlesztői újabb biztonsági frissítést adtak ki.

  4. 3

    Az Avast víruskeresőjében egy biztonsági hiba található.

  5. 3

    A SonicOS SSLVPN kapcsán egy biztonsági hibát kell megszüntetni.

  6. 3

    A Zyxel az USG FLEX H szériás eszközeihez biztonsági frissítéseket adott ki.

  7. 4

    A Schneider Electric a Sage sorozatú megoldásaihoz biztonsági javításokat adott ki.

  8. 3

    A XWiki legutóbb feltárt sérülékenysége adatszivárogtatást segíthet elő.

  9. 4

    16 biztonsági hibajavítás érkezett a Moodle-hoz.

  10. 3

    A Zulip Server egy biztonsági hibát tartalmaz.

Partnerhírek
​Az ESET kutatói vizsgálták a RansomHub csoportot

Az ESET kutatói átfogó elemzést tettek közzé a zsarolóvírus ökoszisztémában bekövetkezett jelentős változásokról, különös figyelmet fordítva a domináns RansomHub csoportra.

Támadást hajtott végre a Kínához köthető FamousSparrow csoport

Az ESET kutatói felfedezték, hogy a FamousSparrow hackercsoport felelős egy pénzügyi szektorban működő amerikai kereskedelmi szervezet és egy mexikói kutatóintézet ellen elkövetett kibertámadásért.

hirdetés
Közösség