@stake 45 e-business yazılımı üzerinde çalışma yapmış. Bu uygulamalar site sahiplerine toplamda 3,5 Milyar $’lık ciro yaratmış yazılımlar. Araştırmanın temelindeki fikir, network altyapısı yanısıra web yazılımlarının kendilerinde de açık olup olmadığını belirlemekti.
@stake; Bu 45 yazılımda, 500 kadar “ÖNEMLİ” güvenlik açığı buldu. % 10 gibi düşünülebilir. Açıkların % 70’i yazılımlardaki tasarım hatalarından kaynaklanıyor. En önemli hataların neredeyse yarısı tasarım aşamasında bulunup düzeltilebilecek arızalar.
@stake yazılımlarda bir kaç tane genel güvenlik sorunu tanımlıyor. Bir tanesi, çoğu şirketin “kullanıcı tanımlama ve erişim kontrol” özelliğinin güvenli olmayışı. Sitelerin çoğu, encryped edilmemiş network üzerinde gezinilmesine müsade ediyor. % 27’sinde şifre kontrolü yapılmıyor ya da login saldırılarına karşı yeterli önlem yok.
Bunun dışında @stake; yazılımların % 62’sinin erişim kontrolünün atlatılabildiğini ifade ediyor. Uygulamaların neredeyse 1/3’ü oturum zaptedilmesi “session hijacking” olarak tanımlanan tür saldırılara açık. Bunu şöyle tanımlayabiliriz; “Oturum tanımlayıcı” kavramı bir kullanıcı sitede dolaşırken onu takip etmek için kullanılır. Bu tanımlayıcı encrypt edilmemiş ise, -ki @stake bunun çok yaygın olduğunu belirtiyor- hacker’lar bu oturumu zaptedip, kendileri o kullanıcıymış gibi davranabiliyorlar. Kullanıcı zaten sistemde olduğu için şifre de gerekmiyor.
En çok rastlanan üçüncü tür açık; site scripting. Analiz edilen yazılımların % 71’inde bu açığa rastlanmış. Sorun, web-bazlı formlar gibi, kullanıcı tarafından eklenen verilerin kontrol edilmeden işlenmesi sırasında olabiliyor.
Saldırganları içine HTML, Java Scripting ya da bir takım program parçacıkları saklanmış web formlar eklemelerini engeller. Bu formlarla saldırganlar, web sunucunun işlemesini durdurabilir ya da network’teki 1 ya da birden fazla sunucunun kontrolünü alabilirler.
@stake araştırmasından en iyi not alan şirketler, uygulamalarının tasarımı aşamasında kullanıcı tanımlama ve yetkilendirme safhasına önem verenler olmuş. Bu şirketler, kullanıcının eklediği tüm bilgileri dikkatle işliyorlar. Oturumları uçtan uca encypt ediyorlar. Üstelik güvenlik konusunda kalite kontrol uyguluyorlar.
Adı “Uygulamaların Güvenliği: Hepsi Eşit Değil – The Security of Applications: Not All Are Created Equal,” olan @stake raporunun ingilizce olan aslını görmek için burayı tıklayınız.