El 94% de las aplicaciones web sufren vulnerabilidades muy graves
- Vulnerabilidades
De todas las vulnerabilidades identificadas, los fallos de cross-site scripting (XSS) fueron los más frecuentes, presentes en el 82% de las aplicaciones, seguidas por la división de respuestas HTTP y la lectura de archivos arbitrarios, en un 58% y en un 52%, respectivamente.
|
También puedes leer... Privacidad y protección de datos en aplicaciones móviles |
Según el informe "Automated Code Analysis: Web Application Vulnerabilities in 2017”, todas las aplicaciones web chequeadas por Positive Technologies contenían vulnerabilidades de diversa gravedad. Además del 94% de las aplicaciones contenían una vulnerabilidad muy grave, y el 85% tenían una vulnerabilidad explotable.
Para el informe, Positive Technologies evaluó 33 aplicaciones. Algunas de las aplicaciones probadas estaban disponibles públicamente en el momento del análisis, mientras que otras funcionaban solo para funciones comerciales internas. Todas eran susceptibles a errores de código y / o debilidades de configuración, mientras que otros defectos, como las actualizaciones de software sin parchear, no se consideraron en el informe.
De todas las vulnerabilidades identificadas, los fallos de cross-site scripting (XSS) fueron los más frecuentes, presentes en el 82% de las aplicaciones, seguidas por la división de respuestas HTTP y la lectura de archivos arbitrarios, en un 58% y en un 52%, respectivamente.
Además de permitir ataques contra usuarios, las vulnerabilidades descubiertas en el 70% de las aplicaciones sentaban las bases para lanzar ataques de denegación de servicio (DoS). Esta amenaza de nivel medio era la más común, seguida de otras cuatro de alta gravedad, incluida la lectura arbitraria de archivos (61%), el control del sistema operativo (55%), el acceso no autorizado a la base de datos (45%) y la eliminación o modificación de archivos del servidor (42%).
Las aplicaciones web de algunas industrias eran más vulnerables a las debilidades que otras. Por ejemplo, Positive Technologies encontró vulnerabilidades críticas en el 100% de las aplicaciones web de las instituciones financieras, mientras que el 83% de las aplicaciones gubernamentales y el 75% del software de comercio electrónico sufrían fallos de alta gravedad.
Leigh-Anne Galloway, responsables de resiliencia de ciberseguridad en Positive Technologies, señala que "una gran cantidad de vulnerabilidades explotables no parcheadas representa una ganancia inesperada para los hackers, que pueden usar estos fallos para robar información sensible o acceder a una red interna. Afortunadamente, la mayoría de las vulnerabilidades pueden descubrirse mucho antes de que ocurra un ataque. La clave es analizar el código fuente de la aplicación".
