A hiba az ön készülékében van? Ellenőrizze!

forrás: Prím Online, 2018. december 12. 12:28

Az alkalmazások biztonságának ellenőrzésénél a vállalatok soha nem lehetnek elég alaposak, hiszen a sérülékenységek rendkívül változatos formákban jelentkeznek, és folyton új hibák bukkannak fel, amelyeket a kiberbűnözők igyekeznek kihasználni. A Micro Focus szakértői szerint érdemes figyelemmel kísérni a trendeket, illetve a leggyakoribb problémákat, és professzionális eszközt alkalmazni a sebezhetőségek feltérképezésére.

A sebezhető szoftverek a kiberbűnözők kiskapui az adott programokat használó vállalatok rendszereibe. A cégek és informatikai részlegeik felelőssége, hogy naprakész megoldásokat használjanak, és mindig a lehető legrövidebb idő alatt telepítsék azokat a frissítéseket, amelyek befoltozzák a már javított sérülékenységeket. A szoftverfejlesztőkre is jelentős felelősség hárul azonban, hiszen az ő feladatuk, hogy olyan szoftvereket adjanak ki a kezük közül, amelyek védettek az összes ismert hibával szemben. Továbbá a lehető legrövidebb idő alatt kell elkészíteniük a javításokat, amint napvilágra kerül egy újabb biztonsági rés. 

 

A szoftverfejlesztési folyamatnak ezért rendkívül fontos eleme az alkalmazások biztonságának tesztelése, az esetleges hibák feltérképezése és javítása. Ehhez szerencsére számos forrás áll rendelkezésre. Bizonyos esetekben már éppen az okozhatja a gondot, hogy túl sok az információ, és a fejlesztők nem tudják, mely útmutatók mentén ellenőrizzék szoftvereik sebezhetőségét.

 

 

Az OWASP csak az első lépés

Jó kiindulópont az OWASP (Open Web Application Security Project) független, nyílt, nemzetközi non-profit szervezet toplistája, amely minden évben bemutatja a 10 leggyakoribb webes sérülékenység típusait. A legutóbbi felsorolásban például olyan hibák szerepeltek az élen, amelyek lehetőséget biztosítanak a megbízhatatlan adatok vagy utasítások befecskendezésére, a hitelesítési folyamatok vagy felhasználói munkamenetek eltérítésére, az érzékeny adatok megszerzésére, XXE (XML external entity) alapú károkozásokra, a rosszindulatú kódok beillesztésére, valamint a hozzáférések helytelen felügyeletéből és a hibás biztonsági konfigurációkból eredő rendellenességek kihasználására. 

 

A sebezhetőségeket és a megelőzési módszereket részletező dokumentumban azonban maga a szervezet is arra figyelmezteti a fejlesztőket, hogy ne álljanak meg ennél a listánál, mivel több száz további probléma lehet negatív hatással a webes alkalmazások biztonságára. Ezt támasztja alá a Micro Focus saját kutatása is. A vállalat által tesztelt alkalmazások 90 százalékában ugyanis akadt olyan általános sérülékenység, közel felében pedig olyan, kritikus vagy magas kockázatú hiba, amely nem szerepelt az OWASP toplistáján.

 

Hol a hibahatár?

A Micro Focus a jelentésében azokat a sérülékenységi adatokat összegzi és elemzi, amelyeket alkalmazásbiztonságot tesztelő platformja, a Fortify on Demand gyűjtött össze. A megoldás 25 programozási nyelvet támogat, és különböző tesztelési módszereket használva vizsgálja a helyszínen futtatott, valamint mobilos és webes alkalmazások réseit, a forráskód statikus analizálásától kezdve a penetrációs teszteken át a mobilos és kézi elemzésig. A legfrissebb, 2018-as Application Security Research jelentésben több mint 7800 webes és 700 mobilos alkalmazás vizsgálatának eredménye látható, anonimizált módon.

 

A tanulmányban a legtöbb hibát a webes alkalmazások környezetében, valamint beágyazásuk és biztonsági funkcióik között találták a Micro Focus szakemberei. A leggyakoribb, általános jellegű sebezhetőségek a rendszerinformációk szivárgása, a sütik biztonsága és az adatforgalom kapcsán jelentkeztek, míg a kritikus sérülékenységek a legtöbb esetben a jelszavak kezelésénél és a rosszindulatú kódok beilleszthetőségénél merültek fel.

 

A sérülékenységek tehát rendkívül sokrétűek lehetnek, ezért a fejlesztőknek kiemelt figyelemmel kell kezelniük őket. Jóval egyszerűbbé teszik azonban ezt a feladatot az olyan alkalmazásbiztonságot tesztelő eszközök, mint például a Micro Focus Fortify termékcsaládja. Az eszközök segítségével a vállalatok a teljes szoftverfejlesztési ciklus során, automatizáltan tesztelhetik a helyszínen vagy a felhőben futtatott alkalmazások biztonságát. A megoldások hatékony módszerekkel vizsgálják a programokat, és egyszerűen és gyorsan listázzák a javításra váró hibákat. A Micro Focus szakértői rendszeresen frissítik az ellenőrzésre váró sebezhetőségek gyűjteményét, így a termékek támogatást nyújtanak a legújabb fenyegetések elhárításában is.

Biztonság ROVAT TOVÁBBI HÍREI

A közösségi oldalakon a felhasználók 81 százaléka nem érzi biztonságban személyes adatát

Leadok öt kilót, eljárok rendesen edzeni, kevesebb műanyagot használok, egészségesebben étkezem – ilyen, és ehhez hasonló fogadalmakat sokan tesznek az új évre, de vajon vannak-e olyanok, akik az adataik tudatosabb védelmét, a social média biztonságosabb használatát tűzik ki célként? 

2019. január 18. 12:57

Rekord árbevételt ért el a QUADRON Kibervédelmi Kft. az Arab-öbölben

Rekord árbevétellel zárta a 2018-as évet a QUADRON Kibervédelmi Kft. az Arab-öbölben. A magyar cég összesen közel 100 millió forint értékben nyújtott kiberbiztonsági szolgáltatásokat Kuvaitban. A QUADRON Ománban, Bahreinben és az Egyesült Arab Emírségekben is aktív, 2019-ben pedig a szaúd-arábiai piacra lépést is tervezi, valamint az egész régióban elérhetővé kívánja tenni teljes hazai szolgáltatás-portfólióját. 

2019. január 18. 10:15

Az E.ON nevével visszaélve kérnek csalók átutalást

Ismeretlen támadók az E.ON nevében küldenek az energiavállalat elektronikus értesítőihez nagyon hasonló formátumú e-maileket, és ezzel próbálják elérni, hogy különböző, általában alacsony összegeket átutaljanak számukra.

2019. január 17. 18:22

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Technológiával az örökélet felé

2019. január 14. 10:53

Az LG és a Microsoft közösen forradalmasítja az autóipart

2019. január 12. 10:47

Új technológiák az online játékgépekhez

2018. december 28. 08:02

123 magyarországi ALDI áruháznál állít üzembe elektromosautó-töltőket az E.ON

2018. december 19. 14:13
cloudappsportal.com