Ataki na aplikacje webowe
- Józef Muszyński,
- 14.02.2008, godz. 14:10
Według raportu Web Applications Secirity Consortium (WASC), napastnicy nadal używają znanych od dawna technik, takich jak SQL Injection, do atakowania popularnych aplikacji webowych.
Grupa nonprofit udostępniła wyniki badań w corocznym raporcie "Hacking Incidents Database". Według raportu, cyberprzestepcy nadal wykorzystują dobrze znane techniki do ataków na ośrodki e-commerce czy inne systemy transakcyjne, poszukując jednocześnie nowych celów.
Na podstawie analizy ponad 80 indywidualnych ataków przeprowadzonych w roku 2007, autorzy raportu dochodzą do wniosku, iż głównym ich celem jest kradzież danych - 42 proc. incydentów. Zaskakująco duży odsetek ataków - 23 proc. - przeprowadzanych jest w celu zakłócenia działania ośrodka, bez widocznych korzyści materialnych. Na miejscu trzecim (15 proc.) są ataki mające na celu umieszczenie kodu złośliwego w ośrodku.
Lwia część incydentów badanych przez WASC obraca się w kręgu kradzieży wrażliwych danych, które mogą być potem sprzedane na czarnym rynku lub wykorzystane do przeprowadzania fałszywych transakcji. Z kolei zagrożenie phishingiem w roku ubiegłym było znacznie mniej liczne niż ataki wykorzystujące kod złośliwy ukryty w legalnych aplikacjach webowych w celu atakowania użytkowników końcowych.
Wśród przebadanych przez WASC ataków, 67 proc. było specjalnie zaprojektowanych do uzyskiwania jakiejś formy korzyści.
Jedna z najbardziej znanych luk, umożliwiająca atak SQL Injection, jest nadal najczęściej używanym punktem ataku na aplikacje webowe, szczególnie w ośrodkach e-commerce, pomimo szeroko rozpowszechnionej informacji o tej, od lat znanej, nieszczelności.