آسیب‌پذیری در برنامه‌های وب در ۱۲ ماه گذشته ۲۵ درصد کاهش یافته است

آسیب‌پذیری در برنامه‌های وب در ۱۲ ماه گذشته ۲۵ درصد کاهش یافته استWhiteHat

آسیب‌پذیری در برنامه‌های وب در ۱۲ ماه گذشته ۲۵ درصد کاهش یافته است

گزارش سالانه‌ی برنامه‌ی امنیتی WhiteHat نشان می‌دهد که تعداد آسیب‌پذیری‌ها در برنامه‌های کاربردی وب به‌طور چشمگیری از ۴ به ۳ رسیده است. طبق گزارش ۱۲‌ام سالانه‌ی برنامه‌ی امنیتی WhiteHat که چند روز پیش منتشر شد، با وجود تعداد آسیب‌پذیری‌های یک برنامه‌ی وب‌گاه که در سال ۲۰۱۶ میلادی نسبت به سال گذشته به میزان ۲۵٪ کاهش یافته است، تعداد آسیب‌پذیری‌های قابل بهره‌برداری همچنان بالا است.

Ryan O’Leary، معاون مرکز تحقیقات تهدیدات امنیتی WhiteHat و پشتیبانی فنی می‌گوید میانگین آسیب‌پذیری‌های موجود در برنامه‌ی وب‌گاه از ۴ به ۳ کاهش یافته است. با این‌حال، در حالت مطلوب این رقم باید صفر باشد. وی همچنین افزود: «عدد ۳ آسیب پذیری کمی است، اما حتی یک آسیب‌پذیری می‌تواند به‌کار گرفته شده و مهاجمان به اطلاعات کارت اعتباری و یا سایر اطلاعات شخصی شما دسترسی پیدا کنند. تنها یک آسیب‌پذیری برای ایجاد یک مسئله‌ی بسیار مهم برای یک شرکت کافی است.»

آسیب‌پذیری در برنامه‌های وب در ۱۲ ماه گذشته ۲۵ درصد کاهش یافته استWhiteHat

WhiteHat، داده‌های ۱۵ هزار برنامه‌ی وب‌گاه و بیش از ۶۵،۶۰۰ برنامه‌ی تلفن‌همراه را نظارت و جمع‌آوری می‌کند، همچنین تعداد روزهای موردنیاز برای رفع آسیب‌پذیری‌های بحرانی و خطرناک و همچنین انواع آسیب‌پذیری‌های رایج در تلفن‌های همراه و وب‌گاه را کاهش داده است. براساس گزارش، متوسط زمان لازم برای رفع آسیب‌پذیری خطرناک پس از کشف آن ۱۹۶ روز است که ۲۵ روز بیشتر از میانگین ۱۷۱ روز در سال ۲۰۱۵ میلادی است.

O’Leary می‌گوید دلیل این‌که طول می‌کشد آسیب‌پذیری‌های خطرناک رفع شود، به‌احتمال زیاد به‌دلیل تغییر توسعه‌دهندگان نرم‌افزار از روش قدیمی‌تر waterfall به فرایند توسعه‌ی نرم‌افزار Agile است. او توضیح می‌دهد، درحالی‌که معمولا در پایان پروژه‌ی waterfall برای رفع آسیب‌پذیری‌ها زمان خاصی وجود دارد، برای رفع معایب بهره‌برداری روش Agile زمان کمتری وجود دارد.

O’Leary می‌گوید، در نتیجه، توسعه‌دهندگان نرم‌افزار تمایل دارند ابتدا ساده‌ترین آسیب‌پذیری‌های روش Agile را حل کنند و این بدان معنا است که آسیب‌پذیری‌های پیچیده‌تر باقی می‌ماند که معمولا خطرات بسیاری دارند. O’Leary می‌گوید، اما آسیب‌پذیری‌های مهم مانند مواردی که می‌توانند منجر به آلودگی کامل یک کارگزار، پایگاه داده یا اطلاعات حساس شوند، معمولا توسط CISO یا رهبر کسب‌وکار مورد بررسی قرار گرفته و برطرف می‎شود. در این گزارش دریافتند که رفع آسیب‌پذیری‌های بحرانی در سال ۲۰۱۶ میلادی، به‌طور متوسط به ۱۲۹ روز در مقایسه با ۱۴۶ روز سال گذشته، بهبود یافته است.

آسیب‌پذیری در برنامه‌های وب در ۱۲ ماه گذشته ۲۵ درصد کاهش یافته استWhiteHat

نقاط آسیب‎پذیر

با توجه به این گزارش، هنگامی‌که آسیب‌پذیری در برنامه‌های تلفن‌همراه مطرح می‌شود، در سه گروه از نرم‌افزارهای برتر اندروید آسیب‌پذیری را می توان یافت که شامل اخبار، بازی‌ها و برنامه‌های سبک زندگی هستند. برای بستر iOS، آسیب‌پذیری‌ها در برنامه‌های اخبار، موسیقی و مالی رایج‌تر هستند. O’Leary می‌گوید: «شایع‌ترین نوع آسیب‌پذیری برای برنامه‌های تلفن‌همراه، اندروید یا iOS، ارتباطی است که بین خود دستگاه تلفن‌همراه و کارگزار پشتیبان ایجاد می‌شود. این آسیب‌پذیری در انتقال امن داده‌ها از دستگاه به کارگزار پشت صحنه قرار دارد.»

همیشه آسیب‌پذیر

این گزارش نشان می‌دهد که برای برنامه‌های وب، تقریباً ۶۰ درصد از برنامه‌های ابزار، آموزش، تطابق، صنایع جزئی و تولیدی همیشه آسیب‌پذیر هستند. وضعیت «همیشه آسیب‌پذیر» به این معنی است که WhiteHat در هر دقیقه از روز در طی ۱۲ ماه به منظور جمع‌آوری داده‌ها برای گزارش، قادر به پیدا کردن حداقل یک آسیب‌پذیری در برنامه است. O’Leary می گوید، برنامه‌های وب همچنان از دو آسیب‌پذیری عمده، اسکریپت‌های بین-‌وبگاهی (XSS) و افشای اطلاعات، که به‌نظر می‌رسد «همیشه» وجود دارند، رنج می‌برند. صرف‌نظر از صنعت، شایع‌ترین نوع آسیب‌پذیری وب XSS است. او می‌گوید: «مردم در مورد آن همیشه می‌دانند، اما به‌نظر می‌رسد که نمی‌توانند آن را حل کنند.»

به عنوان مثال، او می‌گوید، افشای اطلاعات، اغلب نتیجه‌ی آن است که توسعه‌دهندگان نرم‌افزار نظرات را در کد خود رها می‌کنند. O’Leary می‌گوید این اطلاعات زمانی‌که برنامه راه‌اندازی می‌شود، عمومی شده و درنهایت می‌تواند با اطلاعات کافی به مهاجمان برای راه‌اندازی یک حمله کمک کند. O’Leary می‌گوید یکی از آسیب‌پذیری‌های جدید که در چند سال گذشته پدید آمده است، حفاظت ناکافی از امنیت لایه‌ی انتقال (TLS) است. وی خاطر نشان کرد: Heartbleed اولین آسیب‌پذیری بود که از TLS باز استفاده می‌کرد که به‌عنوان اطلاعاتی که از مرورگر به کارگزار منتقل می‌شود، قابل مشاهده است.

وی افزود: «در سال ۲۰۱۲ میلادی، آسیب‌پذیری زیادی در لایه‌ی انتقال مشاهده نگردید، اما بعد از Heartbleed، مجموعه‌ای از این نوع آسیب‌پذیری‌ها به‌وجود آمد.» O’Leary توصیه می‌کند که توسعه‌دهندگان نرم افزار، که به‌طور فزاینده‌ای به کتابخانه‌ شخص ثالث و متن‌باز متکی هستند، باید قبل از استفاده از آن‌ها در برنامه‌های خود، بخش‌هایی از این کتابخانه‌ها را بررسی کنند. O’Leary می‌گوید: «پیش از این، توسعه در مورد ساختن کد از ابتدا تا انتها بود. اما اکنون توسعه‌دهندگان از کتابخانه‌های متن‌باز و شخص ثالث استفاده می‌کنند و این موضوع ترسناک است که آن‌ها حتی (سطح امنیتی) آنچه را که وارد می‌کنند را نمی‌دانند.»

منبع :

www.new.asis.io

مطالب مرتبط

نظر خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *