O estudo do N-Stalker Labs, laboratório de investigação da N-Stalker, especializada em segurança de aplicações web, analisou mais de mil aplicativos web, em organizações de diferentes segmentos da indústria, em 2012 e 2013, sendo:
- 50% US/Canada
- 30% Europa
- 20% de outros países.
Os resultados são preocupantes: foram encontrados, em média, 40 vulnerabilidades por aplicativo; 75% dos aplicativos possuíam falhas críticas e 50% tinham pelo menos uma falha no padrão aberto e disponível para desenvolvedores, o Open Web Application Security Project – OWASP. A maior incidência de vulnerabilidades foi encontrada no comércio eletrônico.
Em todas as aplicações existiam oportunidade de melhorias na segurança. Mesmo assim, 60% das organizações só realizaram testes depois de incidentes e, destas, 20% já sabiam dos problemas antes dos testes. Percebemos que há problemas em toda a fase de desenvolvimento dos aplicativos web.
As três principais vulnerabilidades encontradas nos apps foram:
- Cross-site scripting ou XSS (refletido e baseado na especificação DOM ou modelo de objetos de documentos, da W3C que padroniza a www).
- Exposição de informações sensíveis.
- Controle de acesso insuficiente.
As vulnerabilidades XSS ativam ataques maliciosos ao permitir a manipulação de páginas web e a injeção de instruções de script que são executadas no computador do próprio usuário.
A exploração de vulnerabilidade cross-site (XSS) permite que atacantes executem scripts no navegador de usuários para obter dados confidenciais, sequestrar sessões, redirecioná-los para sites maliciosos etc.
A segunda vulnerabilidade mais encontrada em apps expõe informações sensíveis como dados de cartões de crédito e de credenciais de autenticação, o que permite roubar a identidade de usuários, fraudar cartões de crédito, entre outros crimes. Já o controle de acesso insuficiente pode facilitar o acesso a perfis de usuários sem a necessidade de credenciais ou até mesmo a funcionalidades administrativas dos aplicativos, permitindo o roubo de dados sensíveis ou confidenciais. [Webinsider]
…………………………
Leia também:
- Os desafios da segurança de aplicativos em 2013
- Como o bom app se destaca
- Por que a segurança da informação no Brasil é frágil?
…………………………
Conheça os cursos patrocinadores do Webinsider
- TreinaWeb – Cursos de Tecnologia da Informação – treinaweb.com.br/cursos-online
Thiago Zaninotti
Thiago Zaninotti, CISSP-ISSAP, CSSLP, CISM, é mestre em engenharia da computação pelo Instituto de Pesquisas Tecnológicas de São Paulo, criador da tecnologia patenteada da N-Stalker e CTO da Rede Segura Tecnologia.
