Alkalmazásbiztonság

2019.11.07. 10:08

A szakértő szerint több a hiba, de kevésbé súlyos

Akár egyetlen sérülékenység egy alkalmazásban elég lehet ahhoz, hogy a kiberbűnözők támadást indítsanak, és értékes adatokat lopjanak el.

A Micro Focus legfrissebb kutatása szerint az elmúlt évben nőtt a sebezhetőségek száma, különösen a webes és mobilos alkalmazásoknál, az automatizált teszteszközök segítségével azonban jelentősen csökkenthetők a kockázatok.

Tavaly jelentősen nőtt a feltérképezett és bejelentett sebezhetőségek száma, a súlyosságuk azonban összességében csökkent az utóbbi években. 2014 óta az elmúlt évben volt a legalacsonyabb (26 százalék) a nagyon súlyos kategóriába sorolható hibák aránya.

A szakértők szerint a felfedezett sebezhetőségek számának növekedése nem arra utal, hogy rosszabb szoftvereket készítenének a gyártók. Inkább azt mutatja, hogy egyre több helyen alkalmaznak olyan automatizált és hatékonyan működő, pontos találatokat adó eszközöket a sérülékenységek felderítésére, mint például a Fortify, ezért több hiba kerül napvilágra.

Veszély, webes alkalmazás a neved!

A Fortify on Demand által összegyűjtött adatok elemzése során a Micro Focus azt tapasztalta, hogy a több mint 11 000 vizsgált webes alkalmazás 94 százalékánál előfordult valamilyen sérülékenység a biztonsági funkciókban. Az adatokból ráadásul az is kiderül, hogy a hibák ismétlődnek, vagyis ugyanazok maradtak a leggyakoribb sebezhetőségek az elmúlt évek során.

Mobil alkalmazások: belépési pont a felhőszolgáltatásba

A kutatás során 700 mobilalkalmazás adatait is megvizsgálták, és arra a megállapításra jutottak, hogy a fejlesztők előrelépést mutattak néhány hibával kapcsolatban, például a találgatásos támadást (brute force) lehetővé tévő sebezhetőségek száma csökkent. Összességében azonban itt is nőtt a sérülékenységek száma. A biztonsági funkciókkal szinte az összes alkalmazás esetében (96%) akadt probléma, beágyazási problémák 79 százalékukat érintették, míg 68 százalékuknál bemeneti validálási hibák fordultak elő.

A szakértők megfigyelései szerint a kiberbűnözők egyre komolyabb figyelmet és energiát fordítanak arra, hogy mobilalkalmazásokat törjenek fel a közvetlen haszonszerzésért vagy azért, hogy bemeneti pontként használják azokat a felhőszolgáltatások megtámadására. Ezért különösen fontos, hogy a fejlesztők is nagyobb hangsúlyt helyezzenek a mobilalkalmazások sérülékenységeinek feltérképezésére és javítására.

Nem elég a bug bounty program

Egyre nagyobb népszerűségnek örvendenek a közösségi bug bounty programok. Vállalatok százai indítanak ilyen kezdeményezéseket azzal a várakozással, hogy ha szakértők tömegei vizsgálják a termékeket a jutalom reményében, akkor még több sebezhetőséget fedeznek fel, és így még biztonságosabbá tehetik megoldásaikat. A valóság azonban az, hogy a tavaly felfedezett sebezhetőségeknek mindössze 4,3 százaléka származott ilyen programokból.

Szakértők szerint az ilyen módszerek is értékes eszközök lehetnek, ha helyesen használják őket. Nem helyettesítik azonban az átfogó alkalmazásbiztonsági programot, illetve a gyakori tesztelést, amelyek egyszerűen kivitelezhetők olyan automatizált eszközök segítségével, mint például a Fortify.

Borítókép: Shutterstock

Hírlevél feliratkozás
Ne maradjon le a duol.hu legfontosabb híreiről! Adja meg a nevét és az e-mail-címét, és mi naponta elküldjük Önnek a legfontosabb híreinket!

Ezek is érdekelhetik

Hírlevél feliratkozás
Ne maradjon le a duol.hu legfontosabb híreiről! Adja meg a nevét és az e-mail-címét, és mi naponta elküldjük Önnek a legfontosabb híreinket!

Rovatunkból ajánljuk

További hírek a témában