آسیب‌پذیری در برنامه‌های وب در 12 ماه گذشته 25 درصد کاهش یافته است

گزارش سالانه‌ی برنامه‌ی امنیتی WhiteHat نشان می‌دهد که تعداد آسیب‌پذیری‌ها در برنامه‌های کاربردی وب به‌طور چشمگیری از 4 به 3 رسیده است. طبق گزارش 12‌ام سالانه‌ی برنامه‌ی امنیتی WhiteHat که چند روز پیش منتشر شد، علی‌رغم تعداد آسیب‌پذیری‌های موجود در یک برنامه‌ی وب‌گاه که در سال 2016 میلادی نسبت به سال گذشته به میزان 25٪ کاهش یافته است، تعداد آسیب‌پذیری‌های قابل بهره‌برداری همچنان بالا است. 

 

Ryan O'Leary، معاون مرکز تحقیقات تهدیدات امنیتی WhiteHat و پشتیبانی فنی می‌گوید میانگین آسیب‌پذیری‌های موجود در برنامه‌ی وب‌گاه از 4 به 3 کاهش یافته است. با این‌حال، در حالت مطلوب این رقم باید صفر باشد. وی همچنین افزود: «مقدار 3 تعدادی کم است، اما حتی یک آسیب‌پذیری می‌تواند به‌کار گرفته شده و مهاجمان به اطلاعات کارت اعتباری و یا سایر اطلاعات شخصی شما دسترسی پیدا کنند. تنها یک آسیب‌پذیری برای ایجاد یک مسئله‌ی بسیار مهم برای یک شرکت کافی است.»

 

WhiteHat، داده‌های 15 هزار برنامه‌ی وب‌گاه و بیش از 65،600 برنامه‌ی تلفن‌همراه را نظارت و جمع‌آوری می‌کند، همچنین تعداد روزهای موردنیاز برای رفع آسیب‌پذیری‌های بحرانی و خطرناک و همچنین انواع آسیب‌پذیری‌های رایج در تلفن‌های همراه و وب‌گاه را کاهش داده است. براساس گزارش، متوسط زمان لازم برای رفع آسیب‌پذیری خطرناک پس از کشف آن 196 روز است که 25 روز بیشتر از میانگین 171 روز در سال 2015 میلادی است.

 

O'Leary می‌گوید دلیل این‌که طول می‌کشد آسیب‌پذیری‌های خطرناک رفع شود، به‌احتمال زیاد به‌دلیل تغییر توسعه‌دهندگان نرم‌افزار از روش قدیمی‌تر waterfall به فرایند توسعه‌ی نرم‌افزار Agile است. او توضیح می‌دهد، درحالی‌که معمولا در پایان پروژه‌ی waterfall برای رفع آسیب‌پذیری‌ها زمان خاصی وجود دارد، برای رفع معایب بهره‌برداری روش Agile زمان کمتری وجود دارد.

 

O'Leary می‌گوید، در نتیجه، توسعه‌دهندگان نرم‌افزار تمایل دارند ابتدا ساده‌ترین آسیب‌پذیری‌های روش Agile را حل کنند و این بدان معنا است که آسیب‌پذیری‌های پیچیده‌تر باقی می‌ماند که معمولا خطرات بسیاری دارند. O'Leary می‌گوید، اما آسیب‌پذیری‌های مهم مانند مواردی که می‌توانند منجر به آلودگی کامل یک کارگزار، پایگاه داده یا اطلاعات حساس شوند، معمولا توسط CISO یا رهبر کسب‌وکار مورد بررسی قرار گرفته و برطرف می‎شود. در این گزارش دریافتند که رفع آسیب‌پذیری‌های بحرانی در سال 2016 میلادی، به‌طور متوسط به 129 روز در مقایسه با 146 روز سال گذشته، بهبود یافته است.

 

آسیب‎پذیری‌ها کجا هستند؟

با توجه به این گزارش، هنگامی‌که بحث در مورد آسیب‌پذیری در برنامه‌های تلفن‌همراه مطرح می‌شود، در سه گروه از نرم‌افزارهای برتر اندروید آسیب‌پذیری یافت می‌شود که شامل اخبار، بازی‌ها و برنامه‌های سبک زندگی هستند. برای بستر iOS، آسیب‌پذیری‌ها در برنامه‌های اخبار، موسیقی و مالی رایج‌تر هستند. O'Leary می‌گوید: «شایع‌ترین نوع آسیب‌پذیری برای برنامه‌های تلفن‌همراه، اندروید یا iOS، ارتباطی است که بین خود دستگاه تلفن‌همراه و کارگزار پشتیبان ایجاد می‌شود. این آسیب‌پذیری در انتقال امن داده‌ها از دستگاه به کارگزار پشت صحنه قرار دارد.»

 

این گزارش نشان می‌دهد که برای برنامه‌های وب، تقریباً 60 درصد از برنامه‌های ابزار، آموزش، تطابق، صنایع جزئی و تولیدی همیشه آسیب‌پذیر هستند. وضعیت «همیشه آسیب‌پذیر» به این معنی است که WhiteHat در هر دقیقه از روز در طی 12 ماه به منظور جمع‌آوری داده‌ها برای گزارش، قادر به پیدا کردن حداقل یک آسیب‌پذیری در برنامه است. O'Leary می گوید، برنامه‌های وب همچنان از دو آسیب‌پذیری عمده، اسکریپت‌های بین-‌وبگاهی (XSS) و افشای اطلاعات، که به‌نظر می‌رسد «همیشه» وجود دارند، رنج می‌برند. صرف‌نظر از صنعت، شایع‌ترین نوع آسیب‌پذیری وب XSS است. او می‌گوید: «مردم در مورد آن همیشه می‌دانند، اما به‌نظر می‌رسد که نمی‌توانند آن را حل کنند.»

 

به عنوان مثال، او می‌گوید، افشای اطلاعات، اغلب نتیجه‌ی آن است که توسعه‌دهندگان نرم‌افزار نظرات را در کد خود رها می‌کنند. O'Leary می‌گوید این اطلاعات زمانی‌که برنامه راه‌اندازی می‌شود، عمومی شده و درنهایت می‌تواند با اطلاعات کافی به مهاجمان برای راه‌اندازی یک حمله کمک کند. O'Leary می‌گوید یکی از آسیب‌پذیری‌های جدید که در چند سال گذشته پدید آمده است، حفاظت ناکافی از امنیت لایه‌ی انتقال (TLS) است. وی خاطر نشان کرد: Heartbleed اولین آسیب‌پذیری بود که از TLS باز استفاده می‌کرد که به‌عنوان اطلاعاتی که از مرورگر به کارگزار منتقل می‌شود، قابل مشاهده است.

 

وی افزود: «در سال 2012 میلادی، آسیب‌پذیری زیادی در لایه‌ی انتقال مشاهده نکردید، اما بعد از Heartbleed، مجموعه‌ای از این نوع آسیب‌پذیری‌ها به‌وجود آمد.» O'Leary توصیه می‌کند که توسعه‌دهندگان نرم افزار، که به‌طور فزاینده‌ای به کتابخانه‌ شخص ثالث و متن‌باز متکی هستند، باید قبل از استفاده از آن‌ها در برنامه‌های خود، بخش‌هایی از این کتابخانه‌ها را بررسی کنند. O'Leary می‌گوید: «پیش از این، توسعه در مورد ساختن کد از ابتدا تا انتها بود. اما اکنون توسعه‌دهندگان از کتابخانه‌های متن‌باز و شخص ثالث استفاده می‌کنند و این موضوع ترسناک است که آن‌ها حتی (سطح امنیتی) آنچه را که وارد می‌کنند را نمی‌دانند.»

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید