Ataki na aplikacje webowe

Według raportu Web Applications Secirity Consortium (WASC), napastnicy nadal używają znanych od dawna technik, takich jak SQL Injection, do atakowania popularnych aplikacji webowych.

Grupa nonprofit udostępniła wyniki badań w corocznym raporcie "Hacking Incidents Database". Według raportu, cyberprzestepcy nadal wykorzystują dobrze znane techniki do ataków na ośrodki e-commerce czy inne systemy transakcyjne, poszukując jednocześnie nowych celów.

Na podstawie analizy ponad 80 indywidualnych ataków przeprowadzonych w roku 2007, autorzy raportu dochodzą do wniosku, iż głównym ich celem jest kradzież danych - 42 proc. incydentów. Zaskakująco duży odsetek ataków - 23 proc. - przeprowadzanych jest w celu zakłócenia działania ośrodka, bez widocznych korzyści materialnych. Na miejscu trzecim (15 proc.) są ataki mające na celu umieszczenie kodu złośliwego w ośrodku.

Lwia część incydentów badanych przez WASC obraca się w kręgu kradzieży wrażliwych danych, które mogą być potem sprzedane na czarnym rynku lub wykorzystane do przeprowadzania fałszywych transakcji. Z kolei zagrożenie phishingiem w roku ubiegłym było znacznie mniej liczne niż ataki wykorzystujące kod złośliwy ukryty w legalnych aplikacjach webowych w celu atakowania użytkowników końcowych.

Wśród przebadanych przez WASC ataków, 67 proc. było specjalnie zaprojektowanych do uzyskiwania jakiejś formy korzyści.

Jedna z najbardziej znanych luk, umożliwiająca atak SQL Injection, jest nadal najczęściej używanym punktem ataku na aplikacje webowe, szczególnie w ośrodkach e-commerce, pomimo szeroko rozpowszechnionej informacji o tej, od lat znanej, nieszczelności.


Zobacz również