Peste 90% dintre website-urile româneşti prezintă vulnerabilităţi încadrate la grad ridicat de risc, este concluzia unei campanii de audit de aplicaţii web efectuate de compania GECAD NET (//www.gecadnet.ro/securitate/) în perioada noiembrie-decembrie 2008.
Campania de auditare a relevat prezenţa a 1556 de vulnerabilităţi severe, 545 cu grad de risc mediu şi 310 cu grad scăzut de risc.
„Rezultatele arată că website-urile din România au urgent nevoie de remedii serioase pentru că fiecare vulnerabilitate critică, odată exploatată, poate determina întreruperea activităţii site-ului respectiv şi chiar, mai grav, pierderea sau facilitarea furtului datelor existente în bazele de date cu utilizatori”, spune Alexandru Molodoi, CTO la GECAD NET şi coordonator al campaniei.
Vulnerabilităţile cu grad ridicat de risc includ SQL Injection, Cross-Site Scripting, Parameter Tampering şi Cookie Poisoning. Exploatarea acestora se soldează în cele mai frecvente cazuri cu:
* Furtul, modificarea sau distrugerea informaţiilor din bazele de date
* Furtul identităţii utilizatorilor
* Efectuarea de tranzacţii online de către atacator în numele utilizatorului atacat
* Preluarea controlului total asupra aplicaţiei sau chiar a serverului
* Modificarea paginilor – dezinformare sau compromiterea imaginii
* Indisponibilitatea aplicaţiei/website-ului
Campania de audit de website-uri şi aplicaţii web a avut loc în intervalul 24 noiembrie – 15 decembrie 2008 şi a presupus scanarea şi analizarea a 53 de site-uri româneşti şi a aplicaţiilor aferente, aparţinând unor importante companii cu activitate online.
„Auditarea a fost organizată pe două etape, în prima fiind executată scanarea site-urilor cu instrumente software specifice. În a doua etapă am analizat rezultatele obţinute şi am efectuat câte un raport de audit pentru fiecare dintre website-urile analizate, documente care includ şi detalii despre vulnerabilităţile descoperite”, adaugă Alexandru Molodoi.
Auditul s-a realizat pe website-uri care acoperă segmente diferite pe piaţa online, de la furnizarea de ştiri de interes general dar şi de nişă, până la magazine online sau site-uri de joburi.
„Companiile care activează în online ar trebui să acorde un interes mai mare securităţii aplicaţiilor web pe care le dezvoltă pentru că existenţa unor breşe ce pot fi uşor exploatate poate conduce nu doar la indisponibilitatea aplicaţiei şi la pierderi de trafic dar şi la pierderea încrederii utilizatorului în website-ul respectiv, în general la pierderea reputaţiei online”, conchide oficialul GECAD NET.
GECAD NET oferă servicii de audit de website şi aplicaţii web care includ analizarea detaliată şi interpretarea rezultatelor, punând totodată la dispoziţie o echipă de consultanţi în securitate online ce vine în sprijinul companiilor în vederea remedierii vulnerabilităţilor constatate în timpul auditării.
{mosloadposition user10}
