Mutatjuk a legveszélyesebb szoftverhibákat

​Megjelent az a toplista, amely napjaink legveszélyesebb sebezhetőségeire hívja fel a figyelmet. Az is kiderül belőle, hogy az elmúlt években sajnos sok területen vallott kudarcot a biztonság megerősítése.
 
hirdetés
Az OWASP Top 10 a létezése óta lényeges szerepet tölt be a sérülékenységek értékelésében. Ez egy gondosan összeállított lista a legtöbb problémát okozó szoftveres sebezhetőségekről. Az előző verziója még 2013-ban készült, így már ideje volt, hogy megjelenjen egy új lista. Az OWASP tavasszal elérhetővé tette a 2017-es változat előzetesét, míg a napokban a végleges kiadás is napvilágot látott. 

A toplista egy olyan átfogó, számos partner bevonásával elvégzett, széles körű vizsgálaton nyugszik, amelynek során 114 ezer alkalmazás elemzésére került sor. Ha összevetjük a régi és az új listát, akkor első ránézésre sok hasonlóságot fedezhetünk fel. Ez sajnos azt is jelenti, hogy az évek során számos kockázati tényező maradt fent, azaz a kockázatcsökkentő lépések nem minden téren vezettek eredményre. 


Forrás: OWASP

A 2013-as éllovasok, vagyis a kódbefecskendezésre visszavezethető sebezhetőségek megőrizték vezető helyüket. Ide tartoznak az SQL injection és az egyéb kódinjektálásra lehetőséget adó hibák. Kivételt képez ez alól az XSS (Cross-Site Scripting). Az OWASP szakemberei sokat tanakodtak, hogy ezt a hibatípust meghagyják-e különálló kategóriaként, de végül úgy határoztak, hogy az XSS-t sem a kockázatok, sem a támadási technikák szempontjából nem célszérű egybevonni a különféle kódbefecskendezési hibákkal.

A régi listáról lekerült a CSRF (Cross-Site Request Forgery), ami a szakértők szerint elsősorban annak köszönhető, hogy a fejlett fejlesztői környezetek e tekintetben biztonságosabb alkalmazások fejlesztését teszik lehetővé. Az összes sérülékenység 5 százalékát tették ki a CSRF-rendellenességek, így nem kerültek be az "élmezőnybe". Hasonlóan a nem megfelelően ellenőrzött átirányítási és forgalomtovábbítási funkciókhoz. 

A kieső sebezhetőségek helyét viszont újabbak vették át. Így például előtérbe kerültek az XXE (XML external entity) alapú károkozások, a nem biztonságosan végzett deszerializáció, valamint a nem megfelelő naplózás és monitorozás. Ez utóbbinak elsősorban közvetett hatása van: sokszor nem maguk a fejlesztők veszik észre a hibákat vagy az incidenseket, hanem azokat külső személyek, szervezetek jelzik. 

Az OWASP igyekezett megtartani a 2013-ban is alkalmazott kategórizálási rendszerét, és az ehhez kapcsoló elnevezéseket. Ugyanakkor jelezte, hogy az azonos vagy hasonló elnevezések nem feltétlenül ugyanazokat a kockázati tényezőket fedik le. Például a hibás konfigurálás a 2017-es toplistában már magában foglalja a felhős rendszerekben elkövetett bakikat is. Ezek közül viszonylag gyakori, amikor az üzemeltetők figyelmetlenségből az Amazon S3 révén tárolt adatokat nyilvánosan megosztják.

A tervek szerint az OWASP a toplista tekintetében némi szünetet tart, és a következő sebezhetőségi ranglistát 2020-ban fogja publikálni.
Vélemények
 
  1. 3

    Az OpenSSL kapcsán két sérülékenységről hullt le a lepel.

  2. 3

    Az IBM Security Guardium biztonsági hibája a titkosítási szintek manipulálását teszi lehetővé.

  3. 4

    A Microsoft a Malware Protection Engine esetében egy veszélyes sérülékenységet orvosolt.

 
Partnerhírek
Egy repülőgépet is fel lehet törni?

Nem laboratóriumi körülmények között, távolról be lehet törni egy repülőgép hálózatába.

​A Google mindig tudja, hol vagy?

Akkor is gyűjti az androidos készülékek tulajdonosainak lokációs adatait a Google, amikor kikapcsolták a helyfüggő szolgáltatásokat – ezt az adatvédelmi szabályzatban nem jelezték.

hirdetés
Közösség
1