Ошибки веб-приложений представляют опасность для предприятий

Большинство веб-сайтов имеют по крайней мере одну серьезную проблему безопасности, которая может быть использована хакерами для целей, связанных с мошенничеством, согласно новому опросу.

Около 64 процентов из 1300 Веб-сайты, на которых работают 250 предприятий, имеют по крайней мере одну серьезную уязвимость, говорит WhiteHat Security, которая специализируется на поиске уязвимостей в веб-приложениях. Статистика поступает из клиентской базы WhiteHat, которая позволяет компании регулярно пересматривать свои сайты на наличие проблем.

Наиболее распространенной проблемой является межсайтовый скриптинг. На 66 процентов веб-сайт будет иметь такую ​​проблему, сказал WhiteHat. Недостаток межсайтового скриптинга позволяет отображать данные или вредоносный код с другого веб-сайта, что может потенциально вызвать нарушение данных.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Другие общие проблемы включают проблемы утечки информации, спуфинг содержимого, недостаточную авторизацию и SQL-инъекцию.

Опасность уязвимостей приложений веб-сайта связана с медлительностью, с которой компании пытаются их исправить. Если WhiteHat обнаруживает уязвимость на веб-сайте, он информирует клиента, сказал Джеремия Гроссман, технический директор WhiteHat.

В случае проблемы с межсайтовым скриптингом исправление обычно представляет собой только одну строку кода, сказал Гроссман. Однако проблема в его исправлении имеет тенденцию быть на стороне человека.

WhiteHat обычно информирует отдел безопасности компании, который затем должен передать информацию разработчикам веб-приложения. Пользовательский код веб-приложения не может быть изменен отделом безопасности.

Затем управление должно дать ОК, чтобы разработчики работали над исправлением кода, а не создавали приносящие доход функции, которые обычно получают приоритет, сказал Гроссман, Иногда трудно оценить риск уязвимостей веб-приложений, что также мешает водам, как исправлять их в приоритетном порядке.

«Задача разработчика - писать код», - сказал Гроссман. «Безопасность не является приоритетом при нажатии кода».

Удивительно, но многие уязвимости требуют много времени для исправления, а некоторые никогда не исправляются. Компания WhiteHat рассмотрела уязвимости, которые были обнаружены в течение одного года со своими клиентами.

Компания обнаружила, что для устранения проблемы межсайтового скриптинга потребовалось в среднем 67 дней. Это по сравнению с 78 днями для проблемы утечки информации, 87 дней для проблем с подделкой содержимого и 62 дня для уязвимости SQL-инъекции.

«Мы можем с уверенностью сказать, что организации по безопасности и развитию ИТ должны координировать свои действия, когда дело касается с уязвимостями веб-сайта, чтобы закрыть промежуток времени для исправления », - говорится в отчете.

В среднем только 30-60% уязвимостей когда-либо фиксируются, сказал Гроссман. Осознание проблем веб-приложений «никогда не было выше, но должно быть намного больше», - сказал он.