Vulnerabilidades del perímetro website y de la pink ligeramente inferiores a 2019


Sin embargo, incluso con una disminución del 30%, las aplicaciones net todavía están en riesgo y los nuevos objetivos de escaneo tienen más vulnerabilidades que otras, según un nuevo informe de Acunetix.

Si bien la gente podría pensar que las aplicaciones world-wide-web en typical se están volviendo cada vez más seguras, «la verdad es menos optimista», según un nuevo informe. Si bien las aplicaciones protegidas por el análisis de vulnerabilidades internet son cada vez más seguras, «los objetivos relativamente nuevos tienen más vulnerabilidades, según el Informe de vulnerabilidad web de Acunetix 2020.

Los sitios net y las aplicaciones website sin protección son la segunda fuente principal de violaciones de seguridad importantes, y esto lleva a que los delincuentes roben miles de millones de registros personales, según Acunetix.

El hecho de que haya nuevos objetivos es preocupante porque «significa que los nuevos desarrolladores no tienen el conocimiento necesario para evitar vulnerabilidades», dice el informe. «También sugiere que estos desarrolladores están trabajando dentro de una estructura de desarrollo que no promueve la seguridad world wide web».

VER:

¿Su firmware es susceptible a los ataques? Un informe dice que podría ser
(TechRepublic)

La investigación descubrió vulnerabilidades de scripting entre sitios (XSS), bibliotecas vulnerables de JavaScript y problemas relacionados con WordPress en el 25% de los objetivos muestreados, según el informe. «Esto significa que las aplicaciones web siguen siendo bastante vulnerables, pero aun así, este número es un 30% menor que el año pasado».

Específicamente, el informe enumera estas vulnerabilidades:
· Ejecución remota de código (RCE): 3% (↑ desde 2% en 2019)
· Inyección SQL (SQLi): 8% (↓ desde 14% en 2019)
· Recorrido del directorio: 4% (↑ del 2% en 2019)
· Scripting entre sitios (XSS): 25% (↓ desde 33% en 2019)
· Bibliotecas JavaScript vulnerables: 33% (↓ desde 36% en 2019)
· Falsificación de solicitudes del lado del servidor (SSRF): 1% (1% en 2019)
· Falsificación de solicitudes entre sitios (CSRF): 36% (↓ desde 51% en 2019)
· Inyección de encabezado de host: 2.5% (↓ de 4% en 2019)
· Vulnerabilidades de WordPress: 24% (↓ desde 30% en 2019)

El informe postula que los desarrolladores de sitios website y administradores de sistemas experimentados están progresando desde que Acunetix dijo que también vio números decrecientes para problemas de inyección SQL por segundo año consecutivo.

Mientras tanto, la demanda de aplicaciones internet interactivas está creciendo, según el informe. «Debido a esto, las aplicaciones net utilizan cada vez más tecnologías del lado del cliente» y, como resultado, la cantidad de bibliotecas de JavaScript sigue aumentando. «Muchas de estas bibliotecas tienen vulnerabilidades. Sus autores y usuarios conocen estas vulnerabilidades. Y, sin embargo, alrededor del 25% de las aplicaciones internet usan bibliotecas tan vulnerables».

Los investigadores compararon los lenguajes de programación del lado del servidor y concluyeron que «PHP sigue siendo tan preferred como antes», seguido de ASP.Net, «pero los desarrolladores utilizan cada vez más otros lenguajes del lado del servidor menos populares». El informe encontró que:

  • El porcentaje de vulnerabilidades de PHP ha disminuido mucho. El porcentaje de vulnerabilidades ASP o ASP.Net está creciendo.

  • El porcentaje de vulnerabilidades en Apache / nginx ha disminuido mucho. El porcentaje de vulnerabilidades de IIS está creciendo.

La mayoría de las compañías piensan que todo lo que necesitan hacer para asegurar un sitio web es instalar un certificado SSL, dijo la compañía. Muchos no se dan cuenta de la cantidad de agujeros serios que hay en sus sitios world wide web y de lo fácil que es para un intruso malicioso entrar. Sin embargo, un robo podría llevar a robar datos confidenciales, destruir la reputación de la compañía y atacar directamente a los clientes de la compañía. Por ejemplo, Acunetix citó la violación de Capital One de 2019, que fue causada por una vulnerabilidad net llamada SSRF.

El informe concluye que «avanzamos muy lentamente en la dirección correcta. El número de vulnerabilidades está disminuyendo, pero solo gradualmente. Todavía estamos lejos de estar seguros en la world-wide-web: más del 25% de las aplicaciones web tienen al menos un alto vulnerabilidad de gravedad «.

Según el informe, no es suficiente mantenerse actualizado con la versión adecuada y la administración de parches para mantener seguros los recursos net. «Mantener una aplicación world-wide-web segura es mucho más difícil. La mayoría de las vulnerabilidades no se refieren a qué sistemas usas, sino a cómo las usas. Las vulnerabilidades de las aplicaciones net, como la inyección SQL y la ejecución remota de código, aparecen debido a un diseño y una programación deficientes, incluso si eliges mejor software program y componentes de primera clase «.

Acunetix sugiere que la mejor manera de mejorar la seguridad de las aplicaciones net es introducir la automatización de las pruebas de seguridad en el ciclo de vida del desarrollo. «Esto significa integrar el escaneo de vulnerabilidades internet con rastreadores de problemas, entornos de implementación continua y herramientas similares».

El análisis del informe Acunetix se aplica principalmente a las vulnerabilidades de gravedad alta y media encontradas en las aplicaciones net, así como a los datos de vulnerabilidad de la red perimetral de 5.000 objetivos de escaneo seleccionados al azar, dijo la compañía.

Ver también

7.jpg "src =" https://tr4.cbsistatic.com/hub/i/r/2018/12/06/9c2adce1-2530-446c-83b3-3db00e79cd68/resize/770x/636b0993170f7f405447cbb1b1cfc01e/7.jpg

Imagen: iStockphoto / comzeal



Enlace a la noticia unique