Segurança da (sua) Informação é o Maior Ativo

75% dos aplicativos têm falhas críticas que levam risco aos dados dos usuários

Posted by maiorativo em 7 de outubro de 2013

Imagem O estudo do N-Stalker Labs, laboratório de investigação da N-Stalker, especializada em segurança de aplicações web, analisou mais de mil aplicativos web, em organizações de diferentes segmentos da indústria, sendo 50% US/Canada, 30% Europa e 20% de outros países, em 2012 e 2013.

Os resultados são preocupantes: foram encontradas, em média, 40 vulnerabilidades por aplicativo; 75% dos aplicativos possuíam falhas críticas e 50% tinham pelo menos uma falha no padrão aberto e disponível para desenvolvedores, o Open Web Application Security Project – OWASP. A maior incidência de vulnerabilidades foi encontrada no comércio eletrônico.

Segundo o pesquisador e CTO da N-Stalker, Thiago Zaninotti, que coordenou a pesquisa, em todas as aplicações existiam oportunidade de melhorias na segurança. Mesmo assim, 60% das organizações só realizaram testes depois de incidentes e, destas, 20% já sabiam dos problemas antes dos testes. “Percebemos que há problemas em toda a fase de desenvolvimento dos aplicativos web,” comenta.

As três principais vulnerabilidades encontradas nos apps foram: cross-site scripting ou XSS (refletido e baseado na especificação DOM ou modelo de objetos de documentos, da W3C que padroniza a www); exposição de informações sensíveis e controle de acesso insuficiente. Zaninotti explica que as vulnerabilidades XSS ativam ataques maliciosos ao permitir a manipulação de páginas web e a injeção de instruções de script que são executadas no computador do próprio usuário.

“A exploração de vulnerabilidade cross-site (XSS) permite que atacantes executem scripts no navegador de usuários para obter dados confidenciais, sequestrar sessões, redirecioná-los para sites maliciosos etc.”, explica e acrescenta: “a segunda vulnerabilidade mais encontrada em apps expõe informações sensíveis como dados de cartões de crédito e de credenciais de autenticação, o que permite roubar a identidade de usuários, fraudar cartões de crédito, entre outros crimes. Já o controle de acesso insuficiente pode facilitar o acesso a perfis de usuários sem a necessidade de credenciais ou até mesmo a funcionalidades administrativas dos aplicativos, permitindo o roubo de dados sensíveis ou confidenciais”, finaliza o pesquisador.

Tribuna da Bahia

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

 
%d blogueiros gostam disto: