Image
6.4.2016 0 Comments

Najčastejšie chyby vo webových aplikáciách

Obťažnosť zabezpečenia aplikácií rastie priamoúmerne so zvyšujúcou sa zložitosťou a prepojenosťou digitálnej infraštruktúry. Nebezpečenstvá v oblasti zabezpečenia aplikácií sa menia zároveň s rastúcimi schopnosťami kybernetických útočníkov, ktorí využívajú novovzniknuté technológie s novými slabinami a vstavanými obrannými mechanizmami. Existuje viacero verejne uznávaných publikácií, ktoré vyčerpávajúco opisujú najčastejšie bezpečnostné chyby, akých sa dopúšťajú vývojári pri vývoji a programovaní webových aplikácií (OWASP Top Ten Project, CWE/SANS TOP 25 Most Dangerous Programming Errors). Nanešťastie vzorky zraniteľných aplikácií použité na vytvorenie týchto štatistík sú veľakrát neverejné (CWE/SANS). Vyberme si na ilustráciu prvých päť z desiatich najfrekventovanejších kritických zraniteľností webových aplikácií podľa posledných zverejnených výsledkov OWASP – otvorenej komunity, ktorá zadarmo poskytuje vývojárom, návrhárom a architektom organizácií vzdelanie ohľadne dôsledkov najvýznamnejších slabín v zabezpečení webových aplikácií. Najčastejšie zraniteľnosti sa v posledných dvoch dokumentoch z roku 2010 a 2013 na prvých piatich priečkach opakujú. Vzhľadom na obmedzený priestor sa nemožno venovať detailnému opisu kritických zraniteľností, ale aspoň ich spomenieme¹: 1. Útoky typu injection 2. Chybná autentifikácia a správa relácie 3. Cross-site Scripting (XSS) 4. Insecure Direct Object References 5. Nezabezpečená konfigurácia Z pravidelného výskumu Cisco vyplýva, že 56 % z 1700 firiem v deviatich krajinách (USA, Brazília, Nemecko, Taliansko, Čína, Austrália a Japonsko) stále používa zastarané (viac ako 50 mesiacov staré) knižnice OpenSSL, ktoré sú tak vystavené útokom využívajúcim zraniteľnosť Heartbleed. Napriek tomu si až tri štvrtiny IT riaditeľov týchto firiem myslia, že ich bezpečnostné politiky sú nastavené efektívne. V správe Cisco Annual Security Report 2015 bola zverejnená aj informácia o  najpopulárnejšom zistenom spôsobe útoku na používateľa za predchádz ...

Článok je uzamknutý

Pokračovanie článku patrí k prémiovému obsahu PC REVUE, ktorý je dostupný pre predplatiteľov. S digitálnym predplatným za 20 € na celý rok získate neobmedzený prístup k uzamknutému obsahu na webe. Objednať si ho môžete TU. Ak už máte digitálne predplatné PC REVUE prihláste sa TU. Ak máte digitálne predplatné Piano, prihláste sa pomocou Piano.


Prihlásiť pomocou členstva PC REVUE
 
Alebo sa prihláste cez službu Piano





Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

Red Hat a Veracomp: Open source a cloudy

09.12.2016 12:05

Cieľom ďalšej z radu spoločných akcií firiem Red Hat a Veracomp Slovakia v Bratislave bola prezentácia produktov, služieb a stratégií týkajúcich sa najhorúcejších tém IT podpory biznisu s využitím naj ...

ITPro

Právne okienko

08.12.2016 12:02

1. Ako postupovať, ak obchodník nechce uznať reklamáciu tovaru objednaného z e-shopu? V takomto prípade môžu nastať v zásade dve situácie. Ak zákazník reklamuje tovar do 12 mesiacov od jeho kúpy, mož ...

ITPro

Red Hat Forum 2016: Otvorená digitálna transformácia

09.12.2016 11:51

Podujatím v Prahe pre región CENE (stredná a severná Európa) rezonovala komunitná atmosféra a snaha o spoluprácu podľa pravidla „každý s každým“. IT musí priniesť do digitálneho biznisu novú kultúru a ...

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá