Μια πρόσφατη μελέτη των ειδικών του Kaspersky Security Assessment εντόπισε τις πιο επικίνδυνες και διαδεδομένες ευπάθειες σε εταιρικές διαδικτυακές εφαρμογές που αναπτύσσονται in-house. Tην περίοδο μεταξύ 2021 και 2023 εντοπίστηκαν ελαττώματα που αφορούν τον έλεγχο πρόσβασης και την προστασία των δεδομένων στην πλειονότητα των εξεταζόμενων εφαρμογών, που ανέρχονται συνολικά σε αρκετές δεκάδες. Ο μεγαλύτερος αριθμός ευπαθειών υψηλού επιπέδου κινδύνου αναφερόταν σε SQL injections.
Οι διαδικτυακές εφαρμογές, όπως τα κοινωνικά δίκτυα, το email και οι διαδικτυακές υπηρεσίες, είναι στην ουσία ιστοσελίδες στις οποίες οι χρήστες επικοινωνούν με έναν web server μέσω ενός browser. Στην τελευταία της μελέτη, η Kaspersky διερεύνησε ευπάθειες σε διαδικτυακές εφαρμογές που χρησιμοποιούνται από IT, κυβερνητικούς, ασφαλιστικούς και τηλεπικοινωνιακούς οργανισμούς, αλλά και οργανισμούς κρυπτονομισμάτων, ηλεκτρονικού εμπορίου και υγειονομικής περίθαλψης για να εντοπίσει τους πιο διαδεδομένους τύπους επιθέσεων που είναι πιθανό να συμβούν στις επιχειρήσεις.
Με διψήφιο ρυθμό οι επενδύσεις για κυβερνοασφάλεια στην Ευρώπη
Οι επικρατέστεροι τύποι ευπαθειών αφορούσαν την πιθανότητα κακόβουλης χρήσης ελαττωματικών ελέγχων πρόσβασης και αδυναμίες στην προστασία ευαίσθητων δεδομένων. Μεταξύ 2021 και 2023, το 70% των διαδικτυακών εφαρμογών που εξετάστηκαν στην παρούσα μελέτη παρουσίαζαν ευπάθειες σε αυτές τις κατηγορίες.
H ευπάθεια ενός παραβιασμένου ελέγχου πρόσβασης μπορεί να χρησιμοποιηθεί όταν οι εισβολείς προσπαθούν να παρακάμψουν τις πολιτικές ιστότοπου που περιορίζουν τους χρήστες στα εξουσιοδοτημένα δικαιώματά τους. Αυτό μπορεί να οδηγήσει σε μη εξουσιοδοτημένη πρόσβαση, στην αλλοίωση ή τη διαγραφή δεδομένων και όχι μόνο. Ο δεύτερος κοινός τύπος ελαττώματος αφορά την έκθεση ευαίσθητων πληροφοριών, όπως κωδικοί πρόσβασης, στοιχεία πιστωτικών καρτών, αρχεία υγείας, προσωπικά δεδομένα και εμπιστευτικές επιχειρηματικές πληροφορίες, γεγονός που υπογραμμίζει την ανάγκη για αυξημένα μέτρα ασφαλείας.
Οι ειδικοί της Kaspersky εξέτασαν επίσης πόσο επικίνδυνες ήταν οι ευπάθειες στις παραπάνω ομάδες. Το μεγαλύτερο ποσοστό των ευπαθειών που εγκυμονούσαν υψηλό κίνδυνο σχετιζόταν με SQL injections. Συγκεκριμένα, το 88% όλων των ευπαθειών SQL Injection που εξετάστηκαν χαρακτηρίστηκαν ως υψηλού κινδύνου.
Ένα άλλο σημαντικό ποσοστό των ευπαθειών υψηλού κινδύνου βρέθηκε να συνδέεται με αδύναμους κωδικούς πρόσβασης των χρηστών. Σε αυτή την κατηγορία, το 78% όλων των ευπαθειών που αναλύθηκαν χαρακτηρίστηκαν ως υψηλού κινδύνου.
Είναι σημαντικό να σημειωθεί ότι μόνο το 22% όλων των διαδικτυακών εφαρμογών που μελέτησε η ομάδα Kaspersky Security Assessment είχαν αδύναμους κωδικούς πρόσβασης. Ένας πιθανός λόγος είναι ότι οι εφαρμογές που συμπεριλήφθηκαν στο δείγμα της μελέτης μπορεί να ήταν δοκιμαστικές εκδόσεις και όχι πραγματικά λειτουργικά συστήματα.
Οι κατηγορίες ευπάθειας που περιγράφονται στην έρευνα αντιστοιχούν στις κατηγορίες και τις υποκατηγορίες της αξιολόγησης OWASP Top Ten. Η αποκατάσταση των πιο διαδεδομένων ευπαθειών σε διαδικτυακές εφαρμογές που περιγράφονται στη μελέτη θα βοηθήσει τις εταιρείες να προστατεύσουν εμπιστευτικά δεδομένα και να αποφύγουν την παραβίαση διαδικτυακών εφαρμογών και συναφών συστημάτων. Για τη βελτίωση της ασφάλειας των διαδικτυακών εφαρμογών και τον έγκαιρο εντοπισμό πιθανών επιθέσεων σε αυτές, η ομάδα Kaspersky Security Assessment συνιστά:
- χρήση του Secure Software Development Lifecycle (SSDLC),
- τακτική αξιολόγηση της ασφάλειας των εφαρμογών,
- χρήση μηχανισμών σύνδεσης και καταγραφής για την παρακολούθηση της λειτουργίας των εφαρμογών.
Latest News
NASA: Έλαβε για πρώτη φορά μήνυμα με λέιζερ από το βαθύ Διάστημα
Έφτασε με ακραία ταχύτητα από απόσταση 1,5 φοράς μεταξύ Γης και Ήλιου – Η αποστολή στέφθηκε από επιτυχία, αποδεικνύοντας την αξιοπιστία του νέου συστήματος επικοινωνίας με λέιζερ αντί για ραδιοκύματα
Το TikTok ο νέος «βασιλιάς» των social media – Ποιος είναι ο άντρας πίσω από τη viral εφαρμογή;
Η εφαρμογή επιτρέπει στους χρήστες να δημιουργήσουν μουσική και βίντεο σύντομης διαρκείας.
Νέα επένδυση «μαμούθ» της Microsoft σε υποδομές cloud και AI
Η Microsoft επιθυμεί να επεκτείνει περαιτέρω τις δυνατότητες ανάπτυξης της τεχνητής νοημοσύνης, παγκοσμίως
Meta και Ray-Ban κυκλοφορούν περιορισμένη έκδοση «έξυπνων γυαλιών» Ferrari
Μόνο 1.000 ζεύγη των γυαλιών ηλίου περιορισμένης έκδοσης είναι διαθέσιμα
Ποια νέα μέτρα εξετάζουν οι ΗΠΑ για τις εξαγωγές τεχνολογίας στην Κίνα
Η Ουάσιγκτον προτρέπει την Ιαπωνία, τη Νότια Κορέα και την Ολλανδία να περικόψουν την προσφορά εργαλείων και τεχνολογίας
Eταιρείες ουρανίου «τρίβουν τα χέρια τους» - Τα data centers θα δώσουν ώθηση στην πυρηνική ενέργεια;
Τα chatbots όπως το ChatGPT απαιτούν περίπου 10 φορές περισσότερη ενέργεια από μηχανές αναζήτησης όπως το Google Search
Πώς εκατομμύρια Αμερικανοί κινδυνεύουν να βρεθούν... offline
Πολιτικά παιχνίδια ενδέχεται να στερήσουν από εκατομμύρια αμερικανικά νοικοκυριά την οικονομική πρόσβαση στο ευρυζωνικό διαδίκτυο
Στέλνουν στα δικαστήρια Microsoft - OpenAI 8 εκδότες εφημερίδων
Η ομάδα των οκτώ εκδοτών εφημερίδων διαφωνεί με το ChatGPT και τον ψηφιακό βοηθό Copilot της Microsoft
Η θεωρία συνωμοσίας που «προέβλεψε» το τέλος του διαδικτύου
Η «Θεωρία του Νεκρού Διαδικτύου» είναι μια θεωρία συνωμοσίας ότι το Διαδίκτυο ελέγχεται από τεχνητή νοημοσύνη και ότι το περιεχόμενο που βλέπουμε σήμερα στο διαδίκτυο παράγεται από bot
Πενταπλάσια κέρδη για την Huawei στο α' τρίμηνο - «Αναγέννηση» στον κλάδο smartphone
«Η ψηφιοποίηση, η ευφυΐα και η απαλλαγή από τις εκπομπές άνθρακα» συνέβαλαν στην αύξηση των εσόδων