Видео: unboxing turtles slime surprise toys learn colors (Септември 2024)
Швейцарската инфосек компания High-Tech Bridge направи новината миналата година, като засенчи Yahoo да предложи повече от тениска като бонус за бъгове. Този вид изследвания обаче не е това, което изследователите на HTB правят всеки ден. Основният им фокус е идентифицирането на уязвимите места и пускането на консултации по сигурността, свързани с техните открития. Групата пусна 62 консултации през 2013 г. и видя цялостно подобрение в отзивчивостта на индустрията.
По-бързи ремонти
Според току-що пуснатия доклад на HTB, продавачите пуснаха пачове за докладвани проблеми много по-бързо, отколкото през 2012 г. Също така „по-голямата част от доставчиците алармираха своите крайни потребители за уязвимости по справедлив и бърз начин“, където в миналото много мълчаливо са закърпили проблема или са намалили риска. Докладът извика Mijosoft (не Microsoft) за лоши практики на сигурност.
Средното време за определяне на критичните уязвимости намаля от 17 дни през 2012 г. до 11 дни през 2013 г., впечатляващо намаление. Уязвимостите със среден риск се получиха още по-добре, като преминаха от 29 до 13 дни. Това е напредък, но има място за подобрение. В доклада се отбелязва, че „11 дни за отстраняване на критичните уязвимости все още е доста голямо закъснение“.
Повишена сложност
Според доклада на лошите е все по-трудно да идентифицират и използват критични уязвимости. Те трябва да прибягват до техники като верижни атаки, при които използването на критична уязвимост е възможно само след успешно нарушаване на некритична.
Доста малко уязвимости бяха понижени от висок риск или критичен до среден риск през 2013 г. По-конкретно, това са експлоатации, които могат да се извършват само след като нападателят бъде удостоверен или влезе в системата. Докладът отбелязва, че разработчиците трябва да мислят за сигурността дори в райони достъпен за надеждни потребители, тъй като някои от тези доверени страни „в действителност могат да бъдат доста враждебни“.
Собствените разработчици трябва да обърнат допълнително внимание на сигурността. SQL Injection и Cross-Site Scripting са най-честите атаки, а вътрешните приложения са най-честите жертви на такива атаки - 40 процента. Следващите плъгини на системата за управление на съдържанието (CMS) са с 30 процента, следвани от малки CMS на 25 процента. Нарушенията в наистина големи CMS като Joomla и WordPress правят големи новини, но според HTB те съставляват само пет процента от общата сума. Много блог платформи и CMS остават уязвими, просто защото собствениците им не успяват да ги запазят напълно или не успяват да ги конфигурират правилно.
И така, как да избегнете компрометиране на вашия уебсайт или CMS? Докладът заключава, че се нуждаете от „хибридно тестване, когато автоматизираното тестване се комбинира с ръчно тестване за сигурност от човек“. Няма да е изненада да научите, че High Tech Bridge предлага точно този вид тестване. Но те са прави. За истинска сигурност искате добрите момчета да атакуват и да ви покажат какво трябва да поправите.
