Nem elég a TOP 10-es hibákra koncentrálni

Az alkalmazások sérülékenységeinek kezelése mind a fejlesztők, mind az üzemeltetők számára feladatokat ad.
 
hirdetés

A cégek és informatikai részlegeik feladata, hogy naprakész megoldásokat használjanak, és mindig a lehető legrövidebb idő alatt telepítsék azokat a frissítéseket, amelyekkel befoltozhatóvá válhatnak a biztonsági rések. Eközben a szoftverfejlesztőknek az a dolguk, hogy olyan szoftvereket adjanak ki a kezük közül, amelyek a lehető legjobban védettek az ismert hibákkal szemben. Továbbá a lehető leggyorsabban kell elkészíteniük a javításokat.
 
A szoftverfejlesztési folyamatnak fontos eleme az alkalmazások biztonságának tesztelése, az esetleges hibák feltérképezése és javítása. Ehhez szerencsére számos forrás áll rendelkezésre. Bizonyos esetekben már éppen az okozhatja a gondot, hogy túl sok az információ, és a fejlesztők nem tudják, mely útmutatók mentén ellenőrizzék a szoftvereiket.
 
Az OWASP csak az első lépés
 
Jó kiindulópont az OWASP (Open Web Application Security Project) független, nemzetközi non-profit szervezet toplistája, amely minden évben bemutatja a 10 leggyakoribb webes sérülékenységet. A legutóbbi felsorolásban például olyan hibák szerepeltek az élen, amelyek lehetőséget biztosítanak a megbízhatatlan adatok vagy utasítások befecskendezésére, a hitelesítési folyamatok vagy felhasználói munkamenetek eltérítésére, az érzékeny adatok megszerzésére, XXE (XML external entity) alapú károkozásokra, rosszindulatú kódok beillesztésére, valamint a hozzáférések helytelen felügyeletéből és a hibás biztonsági konfigurációkból eredő rendellenességek kihasználására.
 
Azonban maga a szervezet is arra figyelmezteti a fejlesztőket, hogy ne álljanak meg ennél a listánál, mivel több száz további probléma lehet negatív hatással a webes alkalmazások biztonságára. Ezt támasztja alá a Micro Focus saját kutatása is. A vállalat által tesztelt alkalmazások 90 százalékában ugyanis akadt olyan sérülékenység, amely nem szerepelt az OWASP toplistáján.
 
Hol a hibahatár?
 
A Micro Focus a legutóbbi biztonsági jelentésében azokat a sérülékenységi adatokat összegezte, amelyeket az alkalmazásbiztonságot tesztelő platformja, a Fortify on Demand gyűjtött össze. A legtöbb hibát a webes alkalmazások környezetében, valamint a beágyazásuk módjában és a biztonsági funkciók között találták a szakemberek. A leggyakoribb sebezhetőségek a jelszavak és a rendszerinformációk kezelése, valamint a cookie-k feldolgozása kapcsán jelentkeztek.
Vélemények
 
  1. 3

    A Linux Kernel esetében egy közepes veszélysességű sebzhetőséget kell kezelni.

  2. 3

    Az IBM Notes 9 és a Domino 9 is kapott egy-egy hibajavítást.

  3. 1

    A Whisperer trójai titkosítottan kommunikál a támadókkal, miközben teljesen kiszolgáltatottá teszi az általa megfertőzött PC-ket.

 
Partnerhírek
Meghackelték a Radioheadet

​A rockzenekar énekesének számítógépére betörő hacker 150 ezer fontot követelt

​Rúgjuk ki az adathalász teszten elbukó alkalmazottat?

Az amerikai pénzügyi vállalatoknál egyre gyakoribb, hogy az adathalász teszteken megbukó alkalmazottakat kirúgják a cégtől. Szerintünk ehelyett valamivel több türelemre és oktatásra lenne szükség.

hirdetés
Közösség
1