Bezpieczeństwo stron WWW i aplikacji internetowych

Współczesne aplikacje i strony internetowe są najczęsztym kanałem wymiany oraz przekazywania informacji, również w warstwie biznesowej.

Popularność aplikacji webowych oraz szeroko stosowana technologia w sposób bezpośredni wpływają na możliwość powstawania luk bezpieczeństwa, jak również potencjalnych wektorów ataku.

Konsekwencje wykonanego ataku są wprost proporcjonalne oraz zależne od krytyczności usługi świadczonej poprzez systemy webowe, wykonany atak w bezpośredni sposób zakłóca lub uniemożliwia realizowanie elementu biznesowego, który jest świadczony za pomocą web aplikacji..


Według niezależnych źródeł 86 % stron internetowych zawiera co najmniej jedną poważną lukę bezpieczeństwa

źródło: scmagazine.com 2015

Prawdopodobieństwo ataku na aplikacje internetowe znacząco wzrosło w ciągu ostatnich kilku lat.
W 2012 roku aplikacje internetowe były najbardziej podatne na ataki Information Leakage-wyciek informacji (58% prawdopodobieństwa ataku ), lub ataki Cross-Site Scripting, XSS ( 55% prawdopodobieństwa).

Jednak już w 2014 roku, aplikacje były najbardziej narażone na niedostateczną ochronę warstwy transportowej (70% prawdopodobieństwa ataku) oraz Information Leakage - wyciek informacji ( 56% prawdopodobieństwa).

W 2015 roku niedostateczna ochrona warstwy transportowej - Insufficient Transport Layer Protection stanowiła największe zagrożenie dla aplikacji Internetowych ( 70% prawdopodobieństwa ataku ), kolejnym wektorem ataku było ryzyko wycieku informacji - Information Leakage ( 56% prawdopodobieństwa ataku) oraz ataki typu Cross-Site Scripting (47 % prawdopodobieństwa ataku ).

źródło: WhiteHat Security Statistics Report 2015 - whitehatsec.com

Prawdopobieństwo ataku dla aplikacji Internetowych w 2015 roku


























Ilość rokrocznie wykrywanych luk bezpieczeństwa wciąż utrzymuje się na bardzo wysokim poziomie, w konsekwencji oprogramowanie oraz usługi, które stanowią podstawę do działania infrastruktury internetowej również bardzo często są bezpośrednio podatne na różne formy ataków.

Każdego miesiąca publikowane są łatki bezpieczeństwa dla serwerów webowych - Apache, IIS, systemów CMS - Joomla, WorldPress. Praktycznie każdy dostawca oprogramowania stanowiącego podstawę dla funkcjonowania infrastruktury internetowej jest dotknięty problemem podatności oraz zmuszony jest do publikowania łatek bezpieczeństwa. W konsekwencji nieaktualne oprogramowanie lub błędnie skonfigurowane stanowi bardzo częsty wektor udanych ataków na aplikacje internetowe.

Opublikowany raport pokazujący statystyki luk bezpieczeństwa na przestrzeni 25 lat, pokazuje jednoznacznie, że poziom wykrywanych luk bezpieczeństwa utrzymuje się na bardzo wysokim poziomie, co wpływa bezpośrednio na wysokie prawdopodobieństwo ataku na infrastrukturę internetową.


















źródło : snort.org - Sourcefire Vulnerability Research Team - Sourcefire 25 Years of Vulnerabilities Research Report
Kluczowym aspektem zachowania ciągłości procesów biznesowych oraz uniknięcia włamania na infrastrukturę internetową jest świadomość zagrożeń, oraz szybki czas reakcji na pojawiające się luki bezpieczeństwa.

Ignorancja jest największym Cyber Zagrożeniem

Zagrożenia

  • InjectionAtaki związane z przekazywaniem przez atakującego szkodliwych danych do różnych elementów aplikacji, tak by dane te zmieniły założone przez twórców oprogramowania zachowanie aplikacji. Przykładem takich ataków jest SQL lub HMTL injection .
  • Broken Authentication and Session Management Defekty oprogramowania w tym zakresie oznaczają najczęściej bardzo poważne zagrożenie dla systemu informatycznego, ponieważ dotyczą tak kluczowych aspektów, jak uwierzytelnianie i autoryzacja.
  • Cross-Site Scripting (XSS) Zmodyfikowane tą metodą ataku strony mogą umożliwiać przechwytywanie sesji użytkownika, przekierowanie na inny adres (np. na fałszywą wersję danego serwisu), podmianę czy też wstawienie dowolnej treści (np. odnośników do złośliwego oprogramowania.
  • Insecure Direct Object ReferencesW aplikacjach, w których występują różne poziomy uprawnień lub podział na strefy dostępu (np. publiczna i systemowa) zdarzają się luki bezpieczeństwa wynikające z możliwości nieautoryzowanego dostępu do różnych obiektów systemu.
  • Security Misconfiguration W tej grupie zagrożeń mieści się bardzo wiele potencjalnych problemów związanych z niewłaściwą konfiguracją systemu oraz wszystkich jego komponentów. Należą do niej ryzyka związane z błędami występującymi w konfiguracji oprogramowania.
  • Sensitive Data ExposurePodatność ma miejsce przypadku gdy istnieje jakakolwiek możliwość jawnienia jakichkolwiek danych kluczowych dla działania aplikacji oraz użytkowników, którzy z aplikacji korzystają.
  • Missing Function Level Access ControlW przypadku błędnego zdefiniowana poziomu uprawnień do aplikacji oraz interfejsu atakujący będzie miał możliwość wykonywania działań bez właściwej autoryzacji.
  • Cross-Site Request Forgery (CSRF)Atak ma na celu skłonić użytkownika zalogowanego do serwisu internetowego, aby uruchomił (spreparowany) odnośnik, którego otwarcie wykona w owym serwisie akcję, do której atakujący nie miałby uprawnień oraz dostępu.
  • Using Components with Known VulnerabilitiesJeśli zainstalowana biblioteka lub moduł oprogramowania posiada jakiekolwiek znane podatności, to wykonanie ataku daje szanse na uzyskanie pełnych uprawnień do serwera lub uprawnień systemowych.
  • Unvalidated Redirects and ForwardsBrak walidacji przekierowań - Bez odpowiedniej walidacji przekierowań w aplikacji, użytkownik może zostać skierowany w zupełnie inne miejsce, np. na stronę phishingową lub zawierającą szkodliwe oprogramowanie.

<
NetAudit - Testy Penetracyjne, Audyt bezpieczeństwa stron/aplikacji internetowych, Bezpieczeństwo stron WWW, Bezpieczeństwo aplikacji internetowych