we are developers

iMaster Developers

iMaster DevelopersPowered by:

DevSecOps

24 set, 2013

Pesquisa revela que 75% dos aplicativos web possuem falhas críticas

Redação iMasters

Redação iMasters
Publicidade

Um estudo do N-Stalker Labs, que avaliou mais de mil aplicativos web, revelou que foram encontrados, em média, 40 vulnerabilidades por aplicativo. Além disso, 75% deles possuíam falhas críticas e 50% tinham pelo menos uma falha no padrão aberto e disponível para desenvolvedores, o Open Web Application Security Project – OWASP. A maior incidência de vulnerabilidades foi encontrada no comércio eletrônico. Os aplicativos analisados eram de organizações de diferentes segmentos da indústria, sendo 50% EUA/Canada, 30% Europa e 20% de outros países, em 2012 e 2013.

app-segurança

De acordo com Thiago Zaninotti, CTO da N-Stalker e coordenador da pesquisa, em todas as aplicações existiam oportunidade de melhorias na segurança. Mesmo assim, 60% das organizações só realizaram testes depois de incidentes e, destas, 20% já sabiam dos problemas antes dos testes. “Percebemos que há problemas em toda a fase de desenvolvimento dos aplicativos web,” comenta.

As três principais vulnerabilidades encontradas nos apps foram: cross-site scripting ou XSS (refletido e baseado na especificação DOM ou modelo de objetos de documentos da W3C, que padroniza a www); exposição de informações sensíveis e controle de acesso insuficiente. Zaninotti explica que as vulnerabilidades XSS ativam ataques maliciosos ao permitir a manipulação de páginas web e a injeção de instruções de script que são executadas no computador do próprio usuário.

“A exploração de vulnerabilidade cross-site (XSS) permite que atacantes executem scripts no navegador de usuários para obter dados confidenciais, sequestrar sessões, redirecioná-los para sites maliciosos etc.”, explicou Zaninotti. Ele acrescentou: “a segunda vulnerabilidade mais encontrada em apps expõe informações sensíveis, como dados de cartões de crédito e de credenciais de autenticação, o que permite roubar a identidade de usuários, fraudar cartões de crédito, entre outros crimes. Já o controle de acesso insuficiente pode facilitar o acesso a perfis de usuários sem a necessidade de credenciais ou até mesmo a funcionalidades administrativas dos aplicativos, permitindo o roubo de dados sensíveis ou confidenciais”, finaliza o pesquisador.

Redação iMasters
Saiba mais

Redação iMasters

Matérias especiais e reportagens conduzidas internamente pela Redação iMasters. Acompanhe no Twitter @imasters e no Instagram/Threads @portalimasters