דו"ח: במרבית אתרי האינטרנט יש לפחות פרצה חמורה אחת

המלחמה בפרצות לאתרי אינטרנט מניבה תוצאות, אולם המצב עדיין לא טוב: מדו"ח שפרסמה חברת WhiteHat Security עולה, כי חלה ירידה במספר פרצות האבטחה החמורות שמתגלות באתרים, אולם ברובם מכריע יש לפחות פרצה חמורה אחת.

על פי הדו"ח, ב-86% מהאתרים אפשר למצוא לפחות באג חמור אחד שיכול לשמש לביצוע של מתקפות, אך המספר הכולל של הבאגים החמורים באתרי האינטרנט ירד מ-79 ב-2011 ל-56 ב-2012.

הדו"ח מבוסס על נתונים שנאספו מעשרות אלפי אתרי אינטרנט של כ-650 ארגונים שנמנים על לקוחות WhiteHat Security. עולה ממנו, כי פרצות אבטחה מסוג SQL injection, שהיו פעם הנפוצות ביותר באתרים, אינן נכללות עוד בין עשר הפרצות המובילות – לאחר שהידרדרו למקום ה-14 ברשימה.

הפרצה המובילה כיום היא מסוג זליגת מידע עם 55%, ואחריה cross-site scripting עם 53%. במקום השלישי ברשימה – ציתות (33%) ולאחר מכן cross-site request forgery ו-brute force (לכל אחת 26%), וכן טביעות אצבע (23%), הגנה לא מספקת על שכבת התעבורה (22%), session fixation (לה 14%), ניצול לרעה של הפניה מחדש של כתובות URL (עם 13%) והרשאות לא מספיקות (11%).

"אתרי אינטרנט אינם בלתי חדירים כיום יותר מאשר בעבר", ציין גבריאל גמבס, מנהל ארכיטקטורה של פתרונות ב-WhiteHat Security. "אולם, ארגונים משקיעים כיום יותר בהגנה על אתרי אינטרנט – הם מבצעים הדרכות ובדיקות סטטיות של קוד".

לדברי כריס וויזופל, מנהל טכנולוגיה ראשי בחברת Veracode, הממצאים העולים מהדו"ח משקפים היטב את הדרך הארוכה והאיטית המובילה לאבטחה טובה יותר של יישומי האינטרנט. "השגנו התקדמות מסוימת, אולם, אם ניקח דוגמה ממיקרוסופט (Microsoft), מאז שביל גייטס כתב את המזכר שבו הורה לשפר את האבטחה של מוצרי החברה ועד שהושג השיפור בפועל חלפו לפחות חמש שנים, ויש גם מי שיטענו שיותר", ציין. "אם אנחנו עדים למגמה של שיפור בשנים האחרונות, הרי שזה נובע מכך שבוחנים יותר בשלב הפיתוח ומבצעים תיקונים רבים יותר".