Nem elég a TOP 10-es hibákra koncentrálni

Az alkalmazások sérülékenységeinek kezelése mind a fejlesztők, mind az üzemeltetők számára feladatokat ad.
 

A cégek és informatikai részlegeik feladata, hogy naprakész megoldásokat használjanak, és mindig a lehető legrövidebb idő alatt telepítsék azokat a frissítéseket, amelyekkel befoltozhatóvá válhatnak a biztonsági rések. Eközben a szoftverfejlesztőknek az a dolguk, hogy olyan szoftvereket adjanak ki a kezük közül, amelyek a lehető legjobban védettek az ismert hibákkal szemben. Továbbá a lehető leggyorsabban kell elkészíteniük a javításokat.
 
A szoftverfejlesztési folyamatnak fontos eleme az alkalmazások biztonságának tesztelése, az esetleges hibák feltérképezése és javítása. Ehhez szerencsére számos forrás áll rendelkezésre. Bizonyos esetekben már éppen az okozhatja a gondot, hogy túl sok az információ, és a fejlesztők nem tudják, mely útmutatók mentén ellenőrizzék a szoftvereiket.
 
Az OWASP csak az első lépés
 
Jó kiindulópont az OWASP (Open Web Application Security Project) független, nemzetközi non-profit szervezet toplistája, amely minden évben bemutatja a 10 leggyakoribb webes sérülékenységet. A legutóbbi felsorolásban például olyan hibák szerepeltek az élen, amelyek lehetőséget biztosítanak a megbízhatatlan adatok vagy utasítások befecskendezésére, a hitelesítési folyamatok vagy felhasználói munkamenetek eltérítésére, az érzékeny adatok megszerzésére, XXE (XML external entity) alapú károkozásokra, rosszindulatú kódok beillesztésére, valamint a hozzáférések helytelen felügyeletéből és a hibás biztonsági konfigurációkból eredő rendellenességek kihasználására.
 
Azonban maga a szervezet is arra figyelmezteti a fejlesztőket, hogy ne álljanak meg ennél a listánál, mivel több száz további probléma lehet negatív hatással a webes alkalmazások biztonságára. Ezt támasztja alá a Micro Focus saját kutatása is. A vállalat által tesztelt alkalmazások 90 százalékában ugyanis akadt olyan sérülékenység, amely nem szerepelt az OWASP toplistáján.
 
Hol a hibahatár?
 
A Micro Focus a legutóbbi biztonsági jelentésében azokat a sérülékenységi adatokat összegezte, amelyeket az alkalmazásbiztonságot tesztelő platformja, a Fortify on Demand gyűjtött össze. A legtöbb hibát a webes alkalmazások környezetében, valamint a beágyazásuk módjában és a biztonsági funkciók között találták a szakemberek. A leggyakoribb sebezhetőségek a jelszavak és a rendszerinformációk kezelése, valamint a cookie-k feldolgozása kapcsán jelentkeztek.