Videó: Hogyan lett 3X gyorsabb netem? (November 2024)
A svájci infosec cég, a High-Tech Bridge tavaly tette közzé a híreket, azzal, hogy megrázta a Yahoo-t, hogy nem csak pólót kínál, hanem botrányként. Ugyanakkor ezt a fajta kutatást nem a HTB kutatói végzik minden nap. Fő hangsúlyuk a sérülékenységek azonosítása és az eredményekre vonatkozó biztonsági tanácsok kiadása. A csoport 62 tanácsot adott ki 2013-ban, és az ipar reagálásának általános javulását tapasztalta.
Gyorsabb javítás
A nemrégiben kiadott HTB jelentés szerint a gyártók sokkal gyorsabban adtak ki javításokat a jelentett problémákhoz, mint 2012-ben. "Az eladók túlnyomó többsége méltányos és gyors értesítést adott a végfelhasználókról a sebezhetőségekről", ahol a múltban sok csendben megjavította a problémát, vagy alábecsülte a kockázatot. A jelentés a Mijosoftot (nem a Microsoftot) hívta fel a rossz biztonsági gyakorlatok miatt.
A kritikus sebezhetőség javításának átlagos ideje a 2012. évi 17 napról 2013-ra 11 napra csökkent, lenyűgözően csökkent. A közepes kockázatú sebezhetőség még jobb volt, 29 napról 13 napra. Ez az előrehaladás, de van még fejlődés. A jelentés megjegyzi, hogy "a kritikus sebezhetőség kijavításához 11 nap még mindig meglehetősen hosszú késés".
Megnövelt komplexitás
A jelentés szerint egyre nehezebb a rossz fiúk számára a kritikus sebezhetőségek azonosítása és kiaknázása. Olyan technikákat kell alkalmazniuk, mint a láncolt támadások, ahol a kritikus sebezhetőség kihasználása csak akkor lehetséges, ha a nem kritikus támadást sikeresen megsértik.
2013-ban néhány sérülékenységet lecsökkent a magas kockázatúról vagy a kritikusról közepes kockázatra. Konkrétan ezek olyan kizsákmányolások, amelyek csak a támadó hitelesítése vagy bejelentkezése után végezhetők el. A jelentés megjegyzi, hogy a fejlesztőknek még a területeken is gondolniuk kell a biztonságra. megbízható felhasználók számára hozzáférhető, mivel ezek közül a megbízható felek közül néhány valójában nagyon ellenséges lehet.
A házon belüli fejlesztőknek különös figyelmet kell fordítaniuk a biztonságra. Az SQL befecskendezés és a webhelyek közötti szkriptek a leggyakoribb támadások, és a házon belüli alkalmazások az ilyen támadások leggyakoribb áldozatai, 40% -kal. A tartalomkezelő rendszer (CMS) beépülő moduljai a következők, 30 százalékkal, majd a kis CMS-ekkel, 25 százalékkal. Az olyan nagy CMS-ekkel kapcsolatos jogsértések, mint a Joomla és a WordPress, nagy híreket jelentenek, ám a HTB szerint ezek csak a teljes öt százalékát teszik ki. Számos blogplatform és CMS továbbra is sebezhető marad, egyszerűen azért, mert a tulajdonosok nem tartják meg őket teljesen javítva, vagy nem konfigurálják őket megfelelően.
Szóval, hogyan kerülheti el a webhely vagy a CMS veszélyeztetését? A jelentés arra a következtetésre jut, hogy "hibrid tesztelésre van szüksége, ha az automatizált tesztet az ember kézi biztonsági tesztelésével kombinálják". Nem meglepő, ha megtudja, hogy a High Tech Bridge pontosan ilyen tesztelést kínál. De igazuk van. Az igazi biztonság érdekében azt akarja, hogy a jó fiúk támadjanak és megmutassák, mit kell megjavítani.
