Elképesztő mennyiségű sebezhetőséget találtak a webes alkalmazásokban

Számottevően nőtt az alkalmazásokban a feltárt és bejelentett sebezhetőségek száma a múlt évben, azonban a sérülékenységek súlyossága csökkent, 2014 óta tavaly volt a legalacsonyabb (26 százalék) a nagyon súlyos kategóriába sorolható hibák aránya – derül ki a Micro Focus legfrissebb Application Security Risk Report jelentéséből. Az informatikai biztonsági cég minden évben átfogó elemzést készít azokról a sebezhetőségekről, amelyeket ügyfelei a Fortify alkalmazásbiztonsági teszteszközök segítségével derítettek fel. A legújabb jelentés szerint a szervezetek egyes területeken már hatékonyabban kezelik az alkalmazások biztonságát, de az éberségből továbbra sem engedhetnek.

Az applikációkban lévő sérülékenységek feltárása azért kulcsfontosságú, mert egyetlen ilyen hiba elegendő ahhoz, hogy a kiberbűnözők támadást indítsanak a résen keresztül egy vállalat informatikai rendszere ellen, és értékes adatokat lopjanak el, súlyos károkat okozva. A Micro Focus szakértői szerint a felfedezett sebezhetőségek számának növekedése nem arra utal, hogy rosszabb szoftvereket készítenének a gyártók. Inkább azt mutatja, hogy egyre több helyen alkalmaznak automatizált és hatékonyan működő, pontos találatokat adó eszközöket a sérülékenységek felderítésére, ezért több hiba kerül napvilágra.

A Fortify on Demand által összegyűjtött adatok elemzése során a Micro Focus azt tapasztalta, hogy a több mint 11 ezer vizsgált webes alkalmazás 94 százalékánál fordult elő valamilyen sérülékenység a biztonsági funkciókban. Az adatokból ráadásul az is kiderült, hogy a hibák ismétlődnek, vagyis ugyanazok maradtak a leggyakoribb sebezhetőségek az elmúlt évek során. Az előző évek eredményeihez hasonlóan az alkalmazások 70 százalékánál fordult elő beágyazási, 60 százalékánál pedig bemeneti validációs hiba, míg 35 százaléknál az API-val való visszaélésre is lehetőséget nyitott egy-egy sebezhetőség. A kutatás során 700 mobilalkalmazás adatait is megvizsgálták a Micro Focus szakértői, és arra a megállapításra jutottak, hogy a fejlesztők előrelépést értek el néhány hibával kapcsolatban, például a találgatásos támadást (brute force) lehetővé tévő sebezhetőségek száma csökkent. Összességében azonban itt is nőtt a sérülékenységek száma. A biztonsági funkciókkal szinte az összes alkalmazás esetében akadt probléma, 79 százalékukat érintették beágyazási problémák, míg 68 százalékuknál bemeneti validálási hibák fordultak elő.

A szakértők megfigyelései szerint a kiber-bűnözők egyre nagyobb figyelmet és energiát fordítanak arra, hogy mobilalkalmazásokat törjenek fel a közvetlen haszonszerzésért vagy azért, hogy bemeneti pontként használják őket a felhőszolgáltatások megtámadására. Ezért különösen fontos, hogy a fejlesztők is nagyobb hangsúlyt helyezzenek a mobilalkalmazások sérülékenységeinek feltérképezésére és javítására.

A vizsgált

netes applikációk

94

százalékánál fordult elő

valamilyen sérülékenység