Confira as 10 principais vulnerabilidades em aplicações Web
11 de Março de 2008 @ 11:51 - Denny RogerArquivado sob Notícias | Link desta publicação | Enviar por e-mail
Conheça as 10 principais vulnerabilidades em aplicações Web de acordo com levantamento realizado pela empresa de segurança Batori. No estudo foram utilizados dados reais baseados em projetos de análise de segurança desde 2006. Segundo a companhia, esses ataques respondem por 89% dos casos avaliados.
“Grande parte das vulnerabilidades não são detectadas por ferramentas como scanners e analisadores de códigos e, quando analisadas, não têm a devida eficácia”, afirma Ricardo Kiyoshi, diretor da Batori. “Falhas desta natureza somente são identificadas e reparadas por profissionais experientes. Então os hackers se aproveitam dessas vulnerabilidades, que geram brechas, para invadir os sistemas”, diz.
Confira a lista:
1º - XSS Cros site scripting - 13% das ocorrências. Técnica de ataque que permite executar scripts maliciosos no navegador do usuário da aplicação vulnerável.
2º - Manipulação de dados ocultos - 13% das ocorrências. A aplicação vulnerável permite acesso indevido quando dados ocultos são manipulados indevidamente.
3º - Falha ao restringir acesso a URL ou funcionalidade - 11% das ocorrências. A aplicação não restringe adequadamente suas áreas restritas.
4º - Tratamento indevido de erro, revelação de informações sensíveis - 9% das ocorrências. A aplicação revela informações sensíveis através de uso não esperado.
5º - Armazenamento inseguro de criptografia - 9% das ocorrências. Dados sensíveis que precisam ser armazenados de forma criptografada estão em texto livre ou com criptografia inadequada.
6º - Comunicação insegura - 8% das ocorrências. A aplicação trafega dados sensíveis através de canis não-seguros.
7º - Falha da especificação de requisitos - 8% das ocorrências. Os controles de segurança que deveriam existir não existem devido a falha na especificação.
8º - Injeção de comandos - 8% das ocorrências. Técnica de ataque que explora injeção de comandos através de aplicação para ser processado por outros sistemas ou camadas. Por exemplo: SQL Injection, SMTP Injection, HTML Injection etc.
9º - Processo inadequado de cadastro de usuários - 5% das ocorrências. O cadastro de usuário deve seguir algumas recomendações de segurança, que se não forem seguidas, podem expor a aplicação a diversos incidentes.
10º Quebra de autenticação e gerenciamento de sessão - 5% das ocorrências. Aplicações vulneráveis permitem burlar o processo de autenticação através de gestão fraca de sessão ou procedimentos inseguros. Outros ataques respondem por 11% das ocorrências - vide gráfico:
Fonte: http://wnews.uol.com.br/site/noticias/materia.php?id_secao=4&id_conteudo=10324
Ainda sem comentários »
RSS de comentários deste artigo. URI para link desta publicação:
Deixe um comentário
Você deve estar conectado para postar um comentário.
Hits para esta publicação: 273
blog.dennyroger.com.br | http://blog.dennyroger.com.br