Top 10 vulnerabilidades em aplicações web

segunda-feira, 13 de abril de 2009.

(Comente)

Pessoal,

Segue uma lista das 10 principais vulerabilidades em aplicações web, que recebi por email, recentemente.

Para nós, essa é uma lista muito interessante.

1º – XSS Cros site scripting – 13% das ocorrências. Técnica de ataque que permite executar scripts maliciosos no navegador do usuário da aplicação vulnerável.

2º – Manipulação de dados ocultos – 13% das ocorrências. A aplicação vulnerável permite acesso indevido quando dados ocultos são manipulados indevidamente.

3º – Falha ao restringir acesso a URL ou funcionalidade – 11% das ocorrências. A aplicação não restringe adequadamente suas áreas restritas.

4º – Tratamento indevido de erro, revelação de informações sensíveis - 9% das ocorrências. A aplicação revela informações sensíveis através de uso não esperado.

5º – Armazenamento inseguro de criptografia – 9% das ocorrências. Dados sensíveis que precisam ser armazenados de forma criptografada estão em texto livre ou com criptografia inadequada.

6º – Comunicação insegura – 8% das ocorrências. A aplicação trafega dados sensíveis através de canis não-seguros.

7º – Falha da especificação de requisitos – 8% das ocorrências. Os controles de segurança que deveriam existir não existem devido a falha na especificação.

8º – Injeção de comandos – 8% das ocorrências. Técnica de ataque que explora injeção de comandos através de aplicação para ser processado por outros sistemas ou camadas. Por exemplo: SQL Injection, SMTP Injection, HTML Injection etc.

9º – Processo inadequado de cadastro de usuários – 5% das ocorrências. O cadastro de usuário deve seguir algumas recomendações de segurança, que se não forem seguidas, podem expor a aplicação a diversos incidentes.

10º Quebra de autenticação e gerenciamento de sessão – 5% das ocorrências. Aplicações vulneráveis permitem burlar o processo de autenticação através de gestão fraca de sessão ou procedimentos inseguros. Outros ataques respondem por 11% das ocorrências – vide gráfico neste endereço

Fonte: http://wnews.uol.com.br/site/noticias/materia.php?id_secao=4&id_conteudo=10324

Há tambem um gráfico feito por Ricardo Kiyoshi Batori, da http://www.batori.com.br/, que reflete a lista acima.

Gostou? assine o feed | Discordou? opine! ou entre em contato

Opine!

mais info.

Resumo do post: Lista das top 10 vulnerabilidades em aplicações web.

Categoria(s): Execução de Testes, Prevenção de Defeitos

Link Permanente: http://www.zezologs.org/blog/top-10-vulnerabilidades-em-aplicaes-web/

Tag(s): segurança

Este post tem 285 vizualizações

Translate this post to english

Avalie este post:

(-1)

14 Regras Básicas Para Aplicações WEB

recomendo



veja mais em market zezo

busca (digite e pressione enter)	últimos comentários	posts mais votados
	Testes Unitários: NUnit & C# por fernando Importando CT´s do Excel para o Testlink por eudescosta Importando CT´s do Excel para o Testlink por Daniele Ferramentas de Teste: Selenium por Sara Ferramentas de Teste: Selenium por Fabricio Ferramentas de Teste: Testlink por Felipe Ferramentas de Teste: Testlink por Luiz Modesti	Ferramentas de Teste: Testlink (+ 11) Engenharia de Testes, Caso: Google, Zurich (+ 14) Server GC x Workstation GC (+ 3) Testlink: Campos Customizados & priorização de CT´s (+ 3) Dicas JMeter: ‘Once Only Controller’ (+ 6) Ferramentas de Teste: Selenium (+ 2) Testes manuais obsoletos? (+ 2) Testes Unitários: NUnit & C# (+ 2) Testes Unitários com csUnit (+ 2) Mudança de Layout e Algumas Explicações (+ 7) Definindo Requisito-Não Funcional de Performance (+ 4) Dica: MSTest (/noisolation e arquivos de configuração) (+ 5) Dilbert e seu Tester, o Bob Bastard (+ 5) II EBTS (Encontro Brasileiro de Teste de Software) (+ 2)
arquivo
Se a busca não lhe ajudou, consulte o arquivo.
livros