Conheça as 9 principais vulnerabilidades em aplicações Web de acordo
com levantamento realizado pela empresa de segurança Batori. No estudo
foram utilizados dados reais baseados em projetos de análise de
segurança desde 2006. Segundo a companhia, esses ataques respondem por
89% dos casos avaliados.
“Grande parte das vulnerabilidades não são detectadas por ferramentas
como scanners e analisadores de códigos e, quando analisadas, não têm a
devida eficácia”, afirma Ricardo Kiyoshi, diretor da Batori. “Falhas
desta natureza somente são identificadas e reparadas por profissionais
experientes. Então os hackers se aproveitam dessas vulnerabilidades,
que geram brechas, para invadir os sistemas”, diz.
Confira a lista:
com levantamento realizado pela empresa de segurança Batori. No estudo
foram utilizados dados reais baseados em projetos de análise de
segurança desde 2006. Segundo a companhia, esses ataques respondem por
89% dos casos avaliados.
“Grande parte das vulnerabilidades não são detectadas por ferramentas
como scanners e analisadores de códigos e, quando analisadas, não têm a
devida eficácia”, afirma Ricardo Kiyoshi, diretor da Batori. “Falhas
desta natureza somente são identificadas e reparadas por profissionais
experientes. Então os hackers se aproveitam dessas vulnerabilidades,
que geram brechas, para invadir os sistemas”, diz.
Confira a lista:
- XSS Cros site scripting - 13% das ocorrências. Técnica de
ataque que permite executar scripts maliciosos no navegador do usuário
da aplicação vulnerável; - Manipulação de dados ocultos - 13% das ocorrências. A aplicação
vulnerável permite acesso indevido quando dados ocultos são manipulados
indevidamente; - Falha ao restringir acesso a URL ou funcionalidade - 11% das
ocorrências. A aplicação não restringe adequadamente suas áreas
restritas; - Tratamento indevido de erro, revelação de informações sensíveis -
9% das ocorrências. A aplicação revela informações sensíveis através de
uso não esperado; - Armazenamento inseguro de criptografia - 9% das ocorrências.
Dados sensíveis que precisam ser armazenados de forma criptografada
estão em texto livre ou com criptografia inadequada; - Comunicação insegura - 8% das ocorrências. A aplicação trafega dados sensíveis através de canis não-seguros;
- Falha da especificação de requisitos - 8% das ocorrências. Os
controles de segurança que deveriam existir não existem devido a falha
na especificação; - Injeção de comandos - 8% das ocorrências. Técnica de ataque que
explora injeção de comandos através de aplicação para ser processado
por outros sistemas ou camadas. Por exemplo: SQL Injection, SMTP
Injection, HTML Injection etc; - Processo inadequado de cadastro de usuários - 5% das ocorrências. O
cadastro de usuário deve seguir algumas recomendações de segurança, que
se não forem seguidas, podem expor a aplicação a diversos incidentes.
Postagens
Postar um comentário