Home - Internet - Erros de script entre sites continuam a ser a falha mais comum do aplicativo Web
err-script-centerdicas

Erros de script entre sites continuam a ser a falha mais comum do aplicativo Web

Os erros de cross-site scripting (XSS) que permitem que invasores injetem códigos maliciosos em sites de outra forma benignos continuam a ser a vulnerabilidade mais comum de aplicativos da web entre organizações.

A HackerOne analisou recentemente dados sobre mais de 120.000 vulnerabilidades de segurança reportadas às organizações até o final de 2018 pela comunidade de hackers por meio de programas públicos e privados de recompensas de bugs. Os clientes da HackerOne classificaram as vulnerabilidades e classificaram as 10 principais por impacto, severidade e tipo de fraqueza.

A análise mostrou que o XSS é o problema mais comum para a maioria das organizações, embora a ameaça seja frequentemente minimizada, porque nem sempre leva a violações de informações em grande escala “, diz Miju Han, diretor de gerenciamento de programas da HackerOne.

“Nossos dados contam uma história diferente, porque as empresas pagam muito mais pelo XSS do que por qualquer outra classe de vulnerabilidade”, diz Han. Na verdade, dos US $ 55 milhões que os caçadores de bugs do programa HackerOne já ganharam até o momento, cerca de US $ 8 milhões foram de relatórios de vulnerabilidades XSS sozinho, diz ela. “O XSS é importante para as empresas se protegerem. O XSS está aqui para ficar”

A análise de vulnerabilidade do HackerOne também revelou outras tendências. A crescente adoção de ambientes híbridos e multicloud, por exemplo, está colocando as organizações em maior risco de vulnerabilidades, como a falsificação de solicitações do lado do servidor (SSRF). Essas são falhas que permitem que invasores leiam, atualizem e modifiquem recursos internos e se conectem a serviços como bancos de dados habilitados para HTTP.

Grande parte da exposição é o resultado de organizações que anteriormente não armazenavam dados on-line agora, indo all-in em tecnologias de nuvem sem saber como proteger seus dados primeiro.

As deficiências de divulgação de informações em um aplicativo, como um controle interrompido ou ausente, são outra categoria de vulnerabilidades de segurança a que as organizações estão cada vez mais expostas à medida que adotam ambientes de nuvem.

A análise da HackerOne mostrou que as vulnerabilidades de segurança pelas quais as organizações estão dispostas a pagar – em uma base de divulgação de vulnerabilidades – incluem SSRF, falhas de escalonamento de privilégios e problemas inseguros de referência a objetos diretos (IDOR) que permitem que invasores ignorem medidas de controle de acesso e autorização .

Tais falhas não são tão comumente relatadas como falhas XSS. No entanto, muitas empresas ativamente incentivam hackers a pesquisá-las por causa do risco que representam, de acordo com o relatório da HackerOne, resumindo suas descobertas. Outras falhas de segurança de aplicativos Web de baixo volume, mas de alto impacto, para as quais as organizações estão dispostas a pagar mais incluem erros de lógica de negócios e erros de injeção de código.

Curiosamente, apenas quatro das vulnerabilidades da lista do Top 10 do HackerOne estão também na lista dos 10 melhores do OWASP – um recurso que muitas organizações usam para identificar os principais riscos. As falhas de sobreposição, incluindo XSS, divulgação de informações e erros de injeção de código. Mas algumas vulnerabilidades de segurança, como as falhas de entidades externas XML (XXE), que ocupam o quarto lugar no Top 10 do OWASP, não podem ser encontradas na lista do HackerOne.

A razão para a diferença é que a lista do HackerOne representa riscos de segurança reais e não apenas vulnerabilidades classificadas por volume, diz Han.

“As empresas estão concedendo recompensas por essas vulnerabilidades porque elas podem ter um impacto substancial em seus negócios”, observa ela. “Nossos dados contam a história de quais vetores de ataque os hackers estão mais propensos a empregar e, em seguida, quais vetores de ataque são mais valiosos para as empresas”.


Sobre Suporte Center

Suporte Center é um autor do site centerdicas.com especializado em publicações sobre tecnologia, dicas e reviews
  • 6 motivos que podem levar seus projetos de Inteligência Artificial ao erro
  • Como um robô que se autocura pode beneficiar a sua empresa
  • O que é Inteligência Aumentada e como ela vai trazer valor para o seu negócio
  • O que é um hackathon e como ele pode transformar sua empresa?
  • Cybersecurity: 5 dicas de boas práticas para evitar ataques e vazamentos de dados
  • Entenda como a Inteligência Artificial pode identificar alimentos contaminados
  • 5 mitos sobre a impressão 3D que você precisa saber
  • O que os setores financeiro e de telecom podem te ensinar sobre transformação digital
  • 6 dicas para sua empresa ter sucesso na estratégia omnichannel
  • 3 erros que podem comprometer seus projetos de Machine Learning
  • Assista ao vivo eventos e partidas