Computerworld News Service: Antallet af sikkerhedsfejl i web-applikationer bliver stadigt større, og problemet vil blive dominerende i sikkerhedsdebatten i de kommende år, lyder det i en rapport fra virksomheden sikkerheds-selskabet Cenzig.
Næsten 80 procent af de mere end 3.000 sikkerhedsfejl i software, der er blevet indrapporteret til i år, er blevet fundet i web-teknologier som for eksempel web-servere, applikationer, plugins og browsere.
Det er 10 procent mere end samme periode sidste år - og ni ud af 10 fejl er blevet fundet i kommerciel kode.
Flere og flere angreb
Andre har fortalt om en lignende tendens. IBM's halvårlige trend og risiko-rapport viser, at web-applikationer nu udgør den største sikkerheds-hovedpine for virksomheder. Samtidig er også antal af angreb, der er målrettet den slags fejl, steget meget, og i visse tilfælde endda fordoblet på mindre end et år.
Antallet alene signalerer, at både leverandører og indehavere af web-applikationer bør beskæftige sig mere med sikkerhedsproblemerne i web-applikationer, lyder det fra teknologi-chef hos Cenzig, Lars Ewe.
"Vi sidder fast det samme sted, som vi har gjort længe," tilføjer han.
Den stærke arm, som industrien har benyttet i kampen mod sårbarheder i netværk og perimeter-baseret software, har manglet i forhold til applikations-sikkerhed, siger han.
"Det bliver en lang proces," siger Lars Ewe.
Sikkerhedsfejl i webapplikations-laget kan give angribere adgang til at stjæle data, plante ondsindet kode eller bryde ind i andre, interne systemer.
Her er de mest almindelige sårbarheder
De mest almindelige sårbarheder er SQL-injektion og cross-site script-fejl, samt autorisations- og autentifikations-fejl.
Det massive data-tyveri, som Hewlett-Packard og forskellige forhandlere for nylig blev ofre for, stammede fra en SQL-injektions-fejl, der tillod indtrængere at indsætte ondsindet kode i virksomhedernes netværk.
Trods det, at sikkerhedsrisikoen ved den slags sårbarheder har været velkendt i årevis, er der stadig flere virksomheder, der bliver udsat for dem.
En del af forklaringen skal findes i det stadigt større antal web-applikationer og hjemmesider, der popper op hvert eneste år, siger Chenxi Wang, der er researcher ved Forrester Research i Cambridge, Massachusetts.
Men fejlbehæftede net-software-produkter og sløset udviklingsarbejde fra virksomhederne selv bidrager også i høj grad til problemet.
Omkring 90 procent af de sårbarheder, Cenzig har analyseret i rapporten, som blev udgivet i går, fandtes i kommerciel software, der sælges via både store og små leverandører.
En del af problemet har tilsyneladende at gøre med det store fokus, der bliver lagt på time-to-market på bekostning af nødvendige sikkerhedsforanstaltninger, siger Lars Ewe.
"Virksomhederne bliver dømt på, hvor hurtigt de reagerer på markeds-tendenserne, og ikke på hvor sikkert et system de kan bygge," bemærker han.
Samme faktorer har desuden betydet, at sikkerheden er kommet til som en eftertanke i forhold til de fleste internt udviklede web-applikationer, siger han.
Cenzigs analyse afslører utallige sårbarheder i proprietære produkter, der er outsourcede til programmerings-virksomheder i Indien, Kina, Rusland og andre lande.
Oversat af Marie Dyekjær Eriksen
