Image
6.4.2016 0 Comments

Najčastejšie chyby vo webových aplikáciách

Obťažnosť zabezpečenia aplikácií rastie priamoúmerne so zvyšujúcou sa zložitosťou a prepojenosťou digitálnej infraštruktúry. Nebezpečenstvá v oblasti zabezpečenia aplikácií sa menia zároveň s rastúcimi schopnosťami kybernetických útočníkov, ktorí využívajú novovzniknuté technológie s novými slabinami a vstavanými obrannými mechanizmami. Existuje viacero verejne uznávaných publikácií, ktoré vyčerpávajúco opisujú najčastejšie bezpečnostné chyby, akých sa dopúšťajú vývojári pri vývoji a programovaní webových aplikácií (OWASP Top Ten Project, CWE/SANS TOP 25 Most Dangerous Programming Errors). Nanešťastie vzorky zraniteľných aplikácií použité na vytvorenie týchto štatistík sú veľakrát neverejné (CWE/SANS). Vyberme si na ilustráciu prvých päť z desiatich najfrekventovanejších kritických zraniteľností webových aplikácií podľa posledných zverejnených výsledkov OWASP – otvorenej komunity, ktorá zadarmo poskytuje vývojárom, návrhárom a architektom organizácií vzdelanie ohľadne dôsledkov najvýznamnejších slabín v zabezpečení webových aplikácií. Najčastejšie zraniteľnosti sa v posledných dvoch dokumentoch z roku 2010 a 2013 na prvých piatich priečkach opakujú. Vzhľadom na obmedzený priestor sa nemožno venovať detailnému opisu kritických zraniteľností, ale aspoň ich spomenieme¹: 1. Útoky typu injection 2. Chybná autentifikácia a správa relácie 3. Cross-site Scripting (XSS) 4. Insecure Direct Object References 5. Nezabezpečená konfigurácia Z pravidelného výskumu Cisco vyplýva, že 56 % z 1700 firiem v deviatich krajinách (USA, Brazília, Nemecko, Taliansko, Čína, Austrália a Japonsko) stále používa zastarané (viac ako 50 mesiacov staré) knižnice OpenSSL, ktoré sú tak vystavené útokom využívajúcim zraniteľnosť Heartbleed. Napriek tomu si až tri štvrtiny IT riaditeľov týchto firiem myslia, že ich bezpečnostné politiky sú nastavené efektívne. V správe Cisco Annual Security Report 2015 bola zverejnená aj informácia o  najpopulárnejšom zistenom spôsobe útoku na používateľa za predchádz ...

Článok je uzamknutý

Pokračovanie článku patrí k prémiovému obsahu PC REVUE, ktorý je dostupný pre predplatiteľov. S digitálnym predplatným za 20 € na celý rok získate neobmedzený prístup k uzamknutému obsahu na webe. Objednať si ho môžete TU. Ak už máte digitálne predplatné PC REVUE prihláste sa TU. Ak máte digitálne predplatné Piano, prihláste sa pomocou Piano.


Prihlásiť pomocou členstva PC REVUE
 
Alebo sa prihláste cez službu Piano





Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro 1

Rozšírená realita pomôže školám

17.12.2016 00:05

Raz vidieť je lepšie ako stokrát počuť a v školstve to platí ešte mnohonásobne viac. Čo však v prípade, ak si študenti majú pozrieť, ako v reálnom čase pracuje jadrový reaktor? Alebo by chceli vidieť, ...

ITPro

Linux súkromne i pracovne v2.0 (15. časť): SIP (Session Initiation Protocol)

13.12.2016 11:58

Je priam neuveriteľné, aké množstvo užitočných informácií a faktov súvisiacich s IP telefóniou (VoIP) sa skrýva za takou jednoduchou skratkou, ako je SIP. Nejde pritom iba o protokol, ale o mnoho ďalš ...

ITPro

Výzvy a perspektívy mobilných sietí

13.12.2016 11:52

Dostupnosť kvalitného mobilného pripojenia vrátane dostatočnej kapacity na prenos dát považujeme v súčasnosti za samozrejmosť.  O niektorých špecifikách a  perspektívach služieb mobilných operátorov v ...

Vyhľadávanie

qubitconference

Najnovšie videá