Nel 2018 sono triplicate le vulnerabilità nelle web app rispetto al 2017: lo rivela il report dell’azienda di cyber security Positive Technologies, che trae la sua analisi dai dati delle valutazioni sulla sicurezza delle applicazioni svolte nel corso dell’anno scorso. Le applicazioni Buggy Web si classificano ancora come uno dei principali punti deboli.
Indice degli argomenti
I numeri del report Positive Technologies
Secondo le statistiche di Positive Technologies, ogni app valutata contiene circa 33 vulnerabilità, di cui 6 erano molto gravi, mentre nel 2017 erano solo 2 sul totale. E non è tutto.
Il 67% delle applicazioni contengono vulnerabilità critiche come insufficienti errori di autorizzazione, di tipo SQL injection, caricamento arbitrario di file. Nel 2017, le app in queste condizioni erano il 52%, mentre nel 2016 erano il 58%. L’83% delle vulnerabilità, tra cui quelle più pericolose, fanno riferimento al codice.
Le diverse vulnerabilità
Positive Technologies ha individuato settanta diverse vulnerabilità. Il 79% delle app avevano vulnerabilità che consentivano l’accesso alle informazioni di debug e configurazione e ad altri dati. Settantadue app tra quelle analizzate avevano vulnerabilità che consentivano accessi non autorizzati, mentre il 19% avrebbero potuto permettere a un esponente del cyber crime di prendere controllo completo dell’applicazione e del server.
Le vulnerabilità più comuni riscontrate sono:
- errori di configurazione della sicurezza come impostazioni predefinite, password comuni, divulgazione dell’intero percorso, rilevati in quattro applicazioni su cinque
- errori di scripting cross-site, presenti nel 77% delle applicazioni
- problemi di autenticazione (nel 74% delle app)
- difetti di controllo degli accessi (nel 53% delle app).
Le cause
Non è immediato comprendere l’origine di tali vulnerabilità. In una nota della società, Leigh-Anne Galloway di Positive Technologies spiega: “La maggior parte delle applicazioni web ha un basso livello di sicurezza. L’83% delle vulnerabilità sono vulnerabilità del codice, anche quelle criticamente pericolose. Questo suggerisce che durante lo sviluppo non si presta sufficiente attenzione alla sicurezza”.
Inoltre, “molte applicazioni non proteggono dall’accesso non autorizzato, il che permette a un aggressore di ottenere privilegi e di agire più liberamente all’interno del sistema”.
Il rapporto WhiteHat Security
Positive Technologies non è l’unica azienda ad aver notato questo trend. WhiteHat Security nell’autunno scorso ha individuato come le vulnerabilità nelle web app fosse in aumento, con particolari disagi per i microservice.
Una delle cause di questo fenomeno secondo WiteHat è la diffusione di componenti di terze parti insicure, ma anche l’utilizzo di processi DevOps e la velocità di realizzazione e consegna.