Comment pourrait-application Web (In) sécurité sur moi?

Près de 55 pour cent de toutes les divulgations de vulnérabilité des applications Web en 2008 touchés.

Les applications Web sont devenus les terrains de chasse importants pour les cyber-criminels qui, à juste titre les considèrent comme des fruits mûrs faible. Tout comme la construction de nouvelles autoroutes améliore l'accès pour les cambrioleurs et les voleurs de voitures traditionnelles, les applications Web d'Accessibilité Internet offre littéralement aux portes des hackers.

Depuis quelque temps, la cybercriminalité a été tout simplement un autre bras de la criminalité organisée. Et le crime organisé est à verser une partie substantielle de ses vastes ressources en cybercriminalité ... parce que le retour sur investissement est très élevé.

Le crime organisé ne recule devant rien pour obtenir ses mains sur toutes les informations - et le plus confidentiel, il est, mieux c'est. Une fois qu'ils ont piraté dans une application, ils peuvent soit faire usage eux-mêmes ou de le vendre à d'autres. Ils peuvent également prendre le contrôle des diverses ressources telles que les serveurs et bases de données que la maison que de l'information et faire des profits à partir de cela aussi.

Ayant pris le contrôle de votre puissance de calcul en exploitant des vulnérabilités et de l'ajout de code à votre application, ajoutent-ils votre pouvoir pour leur courrier existant et de créer des botnets - un réseau mondial de robots de rapports à leur maître de commandement et de contrôle de noeud - qui peuvent être adressées à attaquer d'autres organisations, ou vendus à d'autres criminels qui, une fois qu'ils détiennent suffisamment de pouvoir, peut orchestrer des attaques par déni de service.

Il n'est plus suffisant pour ces criminels de se vanter de leurs prouesses piratage; ces jours, il est tout au sujet de l'argent. Étant donné que le refus bien conçu d'attaque de service est assez puissant pour faire tomber peu près n'importe quel mondiale entreprise multi-nationale ou, en fait, tout petit pays et de prendre les off-line pour la durée, ce n'est pas sur les droits de vantardise, c'est l'extorsion de fonds . C'est de l'argent-motivés du début à la fin.

Parce que toutes les informations et toute la puissance de calcul est l'eau au moulin pour les criminels, aucune entreprise n'est trop petite et certainement aucune entreprise n'est trop gros pour être ciblé. Et comme la sécurité dans les grandes entreprises est souvent pas mieux que les petites entités, la taille est vraiment pas un obstacle à des criminels.

Et aucune entreprise ne peut se permettre les conséquences d'une violation de la sécurité. À tout le moins, la mauvaise gestion des informations confidentielles presque toujours conduit à des dommages à la réputation. Atteinte à la réputation conduit au départ des clients existants ainsi que la difficulté à attirer de nouvelles entreprises - une situation qui peut durer des années. Il ya des implications évidentes en ligne de fond à ces conséquences; dans les cas les plus extrêmes, les entreprises peuvent faire faillite.

Selon IBM X-Force 2009 de mi-année des tendances et Rapport sur les risques, les risques prédominants pour les applications Web sont de type cross-site scripting, injection SQL et de fichiers incluent les vulnérabilités.

Vulnérabilités cross-site scripting se produire lorsque les applications web ne valident pas correctement l'entrée d'utilisateur, permettant ainsi d'intégrer les criminels de leur propre script dans une page que l'utilisateur visite. Ce script peut voler des informations confidentielles ou d'exploiter les vulnérabilités existantes dans le navigateur web des utilisateurs. Cross-site scripting vulnérabilités sont généralement exploitées dans les attaques de phishing en envoyant aux utilisateurs un lien malveillant sur une page dans un nom de domaine légitime par e-mail. Les criminels obtiennent des rendements élevés parce que les utilisateurs font confiance le nom de domaine familier qu'ils visitent et donc la confiance des liens (créé par les criminels) qui s'y trouvent.

Vulnérabilités d'injection SQL sont également saisie de l'utilisateur sur les mal validé, mais dans ce cas que l'entrée comprend des instructions SQL qui sont exécutées par une base de données, donnant accès à des attaquants cette base de données à lire, supprimer et modifier des informations sensibles (comme les données de cartes de crédit) ainsi que intégrer le code dans la base de données permettant des attaques contre d'autres visiteurs du site Web.

Fichier-incluant les vulnérabilités se produisent lorsque l'application est forcé d'exécuter du code à partir d'une source non-validés à distance, permettant aux criminels de prendre en charge l'application web à distance. Cette catégorie comprend certaines attaques de refus de service ainsi que les techniques qui permettent aux criminels l'accès direct aux fichiers, répertoires, informations sur l'utilisateur et d'autres composants de l'application web.

Faciliter toutes ces sortes d'attaques est le fait que de nombreux sites Web contiennent du code de soutenir diverses fonctions et caractéristiques qui introduit par inadvertance la vulnérabilité.

La roulette russe, tout le monde?...