A hiba az ön készülékében van? Ellenőrizze!

forrás: Prím Online, 2018. december 12. 12:28

Az alkalmazások biztonságának ellenőrzésénél a vállalatok soha nem lehetnek elég alaposak, hiszen a sérülékenységek rendkívül változatos formákban jelentkeznek, és folyton új hibák bukkannak fel, amelyeket a kiberbűnözők igyekeznek kihasználni. A Micro Focus szakértői szerint érdemes figyelemmel kísérni a trendeket, illetve a leggyakoribb problémákat, és professzionális eszközt alkalmazni a sebezhetőségek feltérképezésére.

A sebezhető szoftverek a kiberbűnözők kiskapui az adott programokat használó vállalatok rendszereibe. A cégek és informatikai részlegeik felelőssége, hogy naprakész megoldásokat használjanak, és mindig a lehető legrövidebb idő alatt telepítsék azokat a frissítéseket, amelyek befoltozzák a már javított sérülékenységeket. A szoftverfejlesztőkre is jelentős felelősség hárul azonban, hiszen az ő feladatuk, hogy olyan szoftvereket adjanak ki a kezük közül, amelyek védettek az összes ismert hibával szemben. Továbbá a lehető legrövidebb idő alatt kell elkészíteniük a javításokat, amint napvilágra kerül egy újabb biztonsági rés. 

 

A szoftverfejlesztési folyamatnak ezért rendkívül fontos eleme az alkalmazások biztonságának tesztelése, az esetleges hibák feltérképezése és javítása. Ehhez szerencsére számos forrás áll rendelkezésre. Bizonyos esetekben már éppen az okozhatja a gondot, hogy túl sok az információ, és a fejlesztők nem tudják, mely útmutatók mentén ellenőrizzék szoftvereik sebezhetőségét.

 

 

Az OWASP csak az első lépés

Jó kiindulópont az OWASP (Open Web Application Security Project) független, nyílt, nemzetközi non-profit szervezet toplistája, amely minden évben bemutatja a 10 leggyakoribb webes sérülékenység típusait. A legutóbbi felsorolásban például olyan hibák szerepeltek az élen, amelyek lehetőséget biztosítanak a megbízhatatlan adatok vagy utasítások befecskendezésére, a hitelesítési folyamatok vagy felhasználói munkamenetek eltérítésére, az érzékeny adatok megszerzésére, XXE (XML external entity) alapú károkozásokra, a rosszindulatú kódok beillesztésére, valamint a hozzáférések helytelen felügyeletéből és a hibás biztonsági konfigurációkból eredő rendellenességek kihasználására. 

 

A sebezhetőségeket és a megelőzési módszereket részletező dokumentumban azonban maga a szervezet is arra figyelmezteti a fejlesztőket, hogy ne álljanak meg ennél a listánál, mivel több száz további probléma lehet negatív hatással a webes alkalmazások biztonságára. Ezt támasztja alá a Micro Focus saját kutatása is. A vállalat által tesztelt alkalmazások 90 százalékában ugyanis akadt olyan általános sérülékenység, közel felében pedig olyan, kritikus vagy magas kockázatú hiba, amely nem szerepelt az OWASP toplistáján.

 

Hol a hibahatár?

A Micro Focus a jelentésében azokat a sérülékenységi adatokat összegzi és elemzi, amelyeket alkalmazásbiztonságot tesztelő platformja, a Fortify on Demand gyűjtött össze. A megoldás 25 programozási nyelvet támogat, és különböző tesztelési módszereket használva vizsgálja a helyszínen futtatott, valamint mobilos és webes alkalmazások réseit, a forráskód statikus analizálásától kezdve a penetrációs teszteken át a mobilos és kézi elemzésig. A legfrissebb, 2018-as Application Security Research jelentésben több mint 7800 webes és 700 mobilos alkalmazás vizsgálatának eredménye látható, anonimizált módon.

 

A tanulmányban a legtöbb hibát a webes alkalmazások környezetében, valamint beágyazásuk és biztonsági funkcióik között találták a Micro Focus szakemberei. A leggyakoribb, általános jellegű sebezhetőségek a rendszerinformációk szivárgása, a sütik biztonsága és az adatforgalom kapcsán jelentkeztek, míg a kritikus sérülékenységek a legtöbb esetben a jelszavak kezelésénél és a rosszindulatú kódok beilleszthetőségénél merültek fel.

 

A sérülékenységek tehát rendkívül sokrétűek lehetnek, ezért a fejlesztőknek kiemelt figyelemmel kell kezelniük őket. Jóval egyszerűbbé teszik azonban ezt a feladatot az olyan alkalmazásbiztonságot tesztelő eszközök, mint például a Micro Focus Fortify termékcsaládja. Az eszközök segítségével a vállalatok a teljes szoftverfejlesztési ciklus során, automatizáltan tesztelhetik a helyszínen vagy a felhőben futtatott alkalmazások biztonságát. A megoldások hatékony módszerekkel vizsgálják a programokat, és egyszerűen és gyorsan listázzák a javításra váró hibákat. A Micro Focus szakértői rendszeresen frissítik az ellenőrzésre váró sebezhetőségek gyűjteményét, így a termékek támogatást nyújtanak a legújabb fenyegetések elhárításában is.

Biztonság ROVAT TOVÁBBI HÍREI

Már elérhető a végleges adattörlő alkalmazás

Az ingyenes állami adattörlő alkalmazásról szóló kormányrendeletnek megfelelően december 1-től a tartós adathordozó eszközök vásárlásakor a vevő egy adattörlő címkét is kap a kereskedőktől. A címkén szereplő kóddal az arra létrehozott webes felületen elektronikus adathordozókra – így például mobiltelefonokra és laptopokra – vonatkozó adattörlési szolgáltatást lehet igénybe venni, mellyel lehetővé válik az eszközön tárolt adatok biztonságos és visszavonhatatlan törlése.

2021. december 3. 20:33

Együttműködés a vasúti kiberbiztonság erősítése érdekében

A Siemens Mobility és a RazorSecure együttműködési megállapodást írt alá annak érdekében, hogy a gördülőállomány üzemeltetőket világszerte megnövelt vasúti kiberbiztonság felügyeleti megoldásokkal lássák el. A növekvő digitalizáció előnyökkel jár, de felveti a kibertámadások elleni megfelelő védelem szükségességét is. 

2021. december 3. 09:53

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

December elején nyit az első magyar kriptotőzsde

2021. november 30. 21:13

Dr. Charaf Hassan a Vodafone Magyarország Alapítvány kuratóriumának új elnöke

2021. november 18. 16:49

A Magyar Telekom 2021. harmadik negyedévi eredményei

2021. november 9. 21:45

Magyar innováció nyert ezüstérmet az év egyik legfontosabb egészségügyi startup versenyén

2021. október 30. 14:59