Compartilhe!

Home � � Mais de 96% dos sites de negócios têm vulnerabilidades críticas

Mais de 96% dos sites de negócios têm vulnerabilidades críticas

Especialistas dizem que principais falhas estão em acesso e na inserção de dados, como valores digitados no internet banking.

Falhas no desenvolvimento de aplicativos web são responsáveis por mais de 96% das falhas críticas em sites de negócios, informa uma pesquisa do Web Application Security Consortium (WASC), um consórcio internacional que reúne especialistas na área de segurança de aplicações.

Os testes realizados pelo WASC mostraram que as falhas que mais se repetem podem ser divididas em duas categorias: os problemas derivados de Cross-site Scripting (XSS) e SQL Injection (o primeiro é uma vulnerabilidade geralmente explorada pelos criminosos que enganam os usuários ao inserir links maliciosos no código de um site e o segundo ocorre quando o cracker insere um comando indesejado para ser executado quando o usuário acessar determinado site) . Essas ocorrem por erros do sistema.

Já as falhas denominadas como Information Leakage e Predictable Resource Location ocorrem em função de administração imprópria do sistema, como nos casos de um fraco controle de acesso.

Em um site de comércio eletrônico, por exemplo, uma vulnerabilidade no SQL Injection pode ser explorada por criminosos para o roubo de informações, como dados pessoais ou de cartão de crédito.

A empresa de segurança Cipher alerta que a maioria das falhas dos sites está na validação de entrada de dados, ou seja, nos campos onde o usuário pode preencher login e senha ou preencher o valor que será transferido da conta bancária em um internet banking. Os sites precisariam prever a inserção de dados incorretos ou inesperados – o que pode representar um golpe online.

Para corrigir tais problemas, os responsáveis seriam os desenvolvedores, que precisariam usar firewalls para bloquear ataques nos aplicativos e manter os programas sempre atualizados com as correções oferecidas pelos fabricantes, além de realizar testes de vulnerabilidades e de invasão regularmente.

Tags: