Nem elég a TOP 10-es hibákra koncentrálni

Az alkalmazások sérülékenységeinek kezelése mind a fejlesztők, mind az üzemeltetők számára feladatokat ad.
 

A cégek és informatikai részlegeik feladata, hogy naprakész megoldásokat használjanak, és mindig a lehető legrövidebb idő alatt telepítsék azokat a frissítéseket, amelyekkel befoltozhatóvá válhatnak a biztonsági rések. Eközben a szoftverfejlesztőknek az a dolguk, hogy olyan szoftvereket adjanak ki a kezük közül, amelyek a lehető legjobban védettek az ismert hibákkal szemben. Továbbá a lehető leggyorsabban kell elkészíteniük a javításokat.
 
A szoftverfejlesztési folyamatnak fontos eleme az alkalmazások biztonságának tesztelése, az esetleges hibák feltérképezése és javítása. Ehhez szerencsére számos forrás áll rendelkezésre. Bizonyos esetekben már éppen az okozhatja a gondot, hogy túl sok az információ, és a fejlesztők nem tudják, mely útmutatók mentén ellenőrizzék a szoftvereiket.
 
Az OWASP csak az első lépés
 
Jó kiindulópont az OWASP (Open Web Application Security Project) független, nemzetközi non-profit szervezet toplistája, amely minden évben bemutatja a 10 leggyakoribb webes sérülékenységet. A legutóbbi felsorolásban például olyan hibák szerepeltek az élen, amelyek lehetőséget biztosítanak a megbízhatatlan adatok vagy utasítások befecskendezésére, a hitelesítési folyamatok vagy felhasználói munkamenetek eltérítésére, az érzékeny adatok megszerzésére, XXE (XML external entity) alapú károkozásokra, rosszindulatú kódok beillesztésére, valamint a hozzáférések helytelen felügyeletéből és a hibás biztonsági konfigurációkból eredő rendellenességek kihasználására.
 
Azonban maga a szervezet is arra figyelmezteti a fejlesztőket, hogy ne álljanak meg ennél a listánál, mivel több száz további probléma lehet negatív hatással a webes alkalmazások biztonságára. Ezt támasztja alá a Micro Focus saját kutatása is. A vállalat által tesztelt alkalmazások 90 százalékában ugyanis akadt olyan sérülékenység, amely nem szerepelt az OWASP toplistáján.
 
Hol a hibahatár?
 
A Micro Focus a legutóbbi biztonsági jelentésében azokat a sérülékenységi adatokat összegezte, amelyeket az alkalmazásbiztonságot tesztelő platformja, a Fortify on Demand gyűjtött össze. A legtöbb hibát a webes alkalmazások környezetében, valamint a beágyazásuk módjában és a biztonsági funkciók között találták a szakemberek. A leggyakoribb sebezhetőségek a jelszavak és a rendszerinformációk kezelése, valamint a cookie-k feldolgozása kapcsán jelentkeztek.
Vélemények
 
  1. 3

    A CoreFTP FTP és SFTP Server egy közepes veszélyességű sebezhetőséget tartalmaz.

  2. 3

    A Drupal fejlesztői egy biztonsági hibajavítást adtak ki.

  3. 1

    A Fakeslic trójai a felhasználók megtévesztésével próbál felkerülni a kiszemelt számítógépekre.

 
Partnerhírek
​Kiberbűnözés a dark weben

A kiberbűnözés 3 billió (milliószor millió) dolláros kiadást jelentett világszerte 2015-ben, és az előrejelzések szerint ez az összeg 2021-re 6 billióra emelkedik.

​Több millió autó(s) lehet veszélyben az okos riasztók miatt

Több millió autóba szerelték be olyan, mobiltelefonnal irányítható riasztókat, amelyek komoly biztonsági hibáik miatt nemhogy megvédik, de sokkal sérülékenyebbé teszik az autókat és az autósokat is.

hirdetés
Közösség
1