Niemal każda aplikacja internetowa podatna na atak

Wśród uczestników projektu znajdziemy między innymi takie firmy, jak BT i Hewlett-Packard, które sprawdzały bezpieczeństwo aplikacji webowych za pomocą narzędzi WebInspect (kiedyś SPI), MaxPatrol i Hailstrom, a następnie publikowały uzyskane rezultaty i statystyki.

Siedem procent spośród 32 717 przebadanych stron jest podatnych na ataki przy użyciu narzędzi automatycznie skanujących sieć. Po rozszerzeniu zakresu analizy o ręczne testy penetracyjne szanse na znalezienie krytycznej luki wzrastają według WASC do około 97 procent.

Do najczęstszych błędów w aplikacjach internetowych należą: luki umożliwiające ataki typu XSS (Cross-Site Scripting) - 41proc., podatność na SQL Injection - 9 proc., niezamierzone udostępnianie informacji - 32 proc., a także nieautoryzowany dostęp do zasobów dzięki znajomości ich lokalizacji - 8 proc.

Raport nie odpowiada jednak na pytanie, które z wymienionych luk można zaliczyć do krytycznych. Wprawdzie klasyczne luki XSS można znaleźć relatywnie szybko, ale mało prawdopodobne jest skompromitowanie za ich pośrednictwem witryny WWW.

Z kolei patrząc na przeprowadzone w przeszłości skuteczne ataki SQL Injection, odsetek luk tego typu na poziomie 9 proc. wydaje się niespodziewanie niski. Z drugiej strony przypadki wykorzystania takich błędów są często zmasowanymi atakami na usługodawców hostingowych, podczas których można włamać się do bazy z danymi użytkowników i dzięki temu dokonać manipulacji w wielu utrzymywanych na ich serwerach aplikacjach webowych.

Niestety, w raporcie nie wzięto pod uwagę metody ataku o nazwie Cross-Site Request Forgery: według WASC istnienie luki umożliwiającej atak XSRF jest trudne do wykrycia automatycznie. Ponadto zdaniem ekspertów można znaleźć je praktycznie w każdej aplikacji internetowej.