Gyengélkedő alkalmazások

A különféle biztonsági szolgáltatásokat nyújtó Orthus vállalat 2004 óta kíséri figyelemmel a különféle sebezhetőségek felbukkanását, és az azok ellen kialakított védelmi intézkedéseket. A cég az elmúlt öt évben 100 átfogó biztonsági vizsgálatot végezett el az ügyfelei körében. Ezekből az derült ki, hogy míg néhány évvel ezelőtt a hálózati sérülékenységek jelentették a legfőbb gondot, addig mára az alkalmazások biztonsági réseivel van a legtöbb probléma.

Az Orthus a felmérései során összesen körülbelül 2000 sebezhetőséget fedezett fel. Minden átvizsgált infrastruktúrában legalább egy hálózati sérülékenység előfordult. Az alkalmazások esetében pedig az esetek 97 százalékában találtak olyan szoftvert, amely frissítésre szorult volna. Jó hír azonban, hogy a hálózatszintű biztonsági hibák száma 57 százalékkal csökkent, ugyanis egy-egy hálózat esetében átlagosan 6 gyenge pontot sikerült kimutatni, szemben a 2004-es eredményekkel, amikor még ugyanez a szám 14 volt. Az alkalmazásszintű biztonsági hiányosságok száma viszont számottevően nőtt. Míg 2004-ben átlagosan 8 ilyen sérülékenység volt megtalálható a vizsgált rendszerekben, addig mára ez 12-re emelkedett.

Az Orthus két másik, egyre komolyabb mértékben fenyegető veszélyforrásra is rávilágított. Az egyik az SQL injection, amelynek mennyisége 25 százalékos növekedést mutatott a vizsgált időszakban. A másik kockázati tényező a cross-site scripting, mely napjainkban 23 százalékkal gyakrabban van jelen, mint 2004-ben.

Richard Hollis, az Orthus egyik igazgatója úgy vélte, hogy a biztonsági csapatok napjainkban már hatékonyabban képesek kezelni a hálózatok és az operációs rendszerek szintjén jelentkező sebezhetőségeket. Azonban az alkalmazások esetében már nem alakul ilyen kedvezően a helyzet. A szakember a biztonságos fejlesztésekre vonatkozó útmutatások betartására hívta fel a figyelmet, és kitért a kódok szabványos elkészítésének és rendszeres átvizsgálásának fontosságára.