Nem elég a TOP 10-es hibákra koncentrálni
Az alkalmazások sérülékenységeinek kezelése mind a fejlesztők, mind az üzemeltetők számára feladatokat ad.A cégek és informatikai részlegeik feladata, hogy naprakész megoldásokat használjanak, és mindig a lehető legrövidebb idő alatt telepítsék azokat a frissítéseket, amelyekkel befoltozhatóvá válhatnak a biztonsági rések. Eközben a szoftverfejlesztőknek az a dolguk, hogy olyan szoftvereket adjanak ki a kezük közül, amelyek a lehető legjobban védettek az ismert hibákkal szemben. Továbbá a lehető leggyorsabban kell elkészíteniük a javításokat.
A szoftverfejlesztési folyamatnak fontos eleme az alkalmazások biztonságának tesztelése, az esetleges hibák feltérképezése és javítása. Ehhez szerencsére számos forrás áll rendelkezésre. Bizonyos esetekben már éppen az okozhatja a gondot, hogy túl sok az információ, és a fejlesztők nem tudják, mely útmutatók mentén ellenőrizzék a szoftvereiket.
Az OWASP csak az első lépés
Jó kiindulópont az OWASP (Open Web Application Security Project) független, nemzetközi non-profit szervezet toplistája, amely minden évben bemutatja a 10 leggyakoribb webes sérülékenységet. A legutóbbi felsorolásban például olyan hibák szerepeltek az élen, amelyek lehetőséget biztosítanak a megbízhatatlan adatok vagy utasítások befecskendezésére, a hitelesítési folyamatok vagy felhasználói munkamenetek eltérítésére, az érzékeny adatok megszerzésére, XXE (XML external entity) alapú károkozásokra, rosszindulatú kódok beillesztésére, valamint a hozzáférések helytelen felügyeletéből és a hibás biztonsági konfigurációkból eredő rendellenességek kihasználására.
Azonban maga a szervezet is arra figyelmezteti a fejlesztőket, hogy ne álljanak meg ennél a listánál, mivel több száz további probléma lehet negatív hatással a webes alkalmazások biztonságára. Ezt támasztja alá a Micro Focus saját kutatása is. A vállalat által tesztelt alkalmazások 90 százalékában ugyanis akadt olyan sérülékenység, amely nem szerepelt az OWASP toplistáján.
Hol a hibahatár?
A Micro Focus a legutóbbi biztonsági jelentésében azokat a sérülékenységi adatokat összegezte, amelyeket az alkalmazásbiztonságot tesztelő platformja, a Fortify on Demand gyűjtött össze. A legtöbb hibát a webes alkalmazások környezetében, valamint a beágyazásuk módjában és a biztonsági funkciók között találták a szakemberek. A leggyakoribb sebezhetőségek a jelszavak és a rendszerinformációk kezelése, valamint a cookie-k feldolgozása kapcsán jelentkeztek.
-
Az Apple iTunes szoftver egy fontos biztonsági javítást kapott.
-
Az F5 BIG-IP Next Central Manager két súlyos sebezhetőséget tartalmaz.
-
A Google egy súlyos, nulladik napi biztonsági rést foltozott be a Chrome-on.
-
A MediaWiki és annak bővítményei kapcsán 10 biztonsági hiba látott napvilágot.
-
A Google két biztonsági hibáról számolt be a Chrome böngésző kapcsán.
-
A Google kiadta az Android májusi biztonsági frissítéseit.
-
A tcpdump kapcsán egy biztonsági hibára derült fény.
-
A Trend Micro Antivirus One for macOS egy sebezhetőséget tartalmaz.
-
Jelentős mennyiségű QRadar frissítést adott ki az IBM.
-
A Nessus Network Monitor kapcsán négy hibajavítás vált elérhetővé.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.