וִידֵאוֹ: Dehesas viejas 2013 2 ª Parte (אוֹקְטוֹבֶּר 2024)
חברת אינפקס השוויצרית היי-טק ברידג 'עשתה את החדשות בשנה שעברה כשהיא מביישת את יאהו בכך שהיא מציעה יותר מסתם חולצת טריקו כמגבלת באגים. מחקר מסוג זה אינו מה שחוקרי HTB עושים בכל יום. המוקד העיקרי שלהם הוא זיהוי פגיעויות ושחרור יועצי אבטחה הנוגעים לממצאים שלהם. הקבוצה הוציאה 62 ייעוץ בשנת 2013, וראתה שיפור כולל בתגובה בתעשייה.
תיקונים מהירים יותר
על פי דיווח שפורסם לאחרונה ב- HTB, ספקים שיחררו טלאים לבעיות שדווחו במהירות רבה בהרבה משנת 2012. כמו כן, "הרוב המכריע של הספקים התריע בפני משתמשי הקצה שלהם על פגיעויות בצורה הוגנת ומהירה", שם בעבר רבים טפלו בשקט את הבעיה או צמצמו את הסיכון. הדו"ח אכן קרא למיוסופט (לא מיקרוסופט) בגין נוהלי אבטחה לקויים.
הזמן הממוצע לתיקון פגיעויות קריטיות פחת מ -17 יום ב -2012 ל -11 יום בשנת 2013, קיצור מרשים. פגיעות בסיכון בינוני השתפרו אפילו יותר, ועברו בין 29 יום ל 13 יום. זו התקדמות, אבל יש מקום לשיפור. הדו"ח מציין כי "11 יום לתיקון פגיעויות קריטיות הוא עדיין עיכוב ארוך למדי."
מורכבות מוגברת
על פי הדיווח, קשה יותר לחבר'ה הרעים לזהות ולנצל פגיעויות קריטיות. הם נאלצים לפנות לטכניקות כמו התקפות כבולות, בהן ניצול של פגיעות קריטית אפשרי רק לאחר הפרה מוצלחת של לא קריטית.
לא מעט נקודות תורפה שודרגו מסיכון גבוה או סיכון קריטי עד בינוני במהלך 2013. באופן ספציפי, מדובר במנצלות שניתן לבצע רק לאחר אימות התוקף או הכניסה אליו. הדו"ח מציין כי מפתחים צריכים לחשוב על אבטחה אפילו באזורים בלבד נגיש למשתמשים מהימנים, מכיוון שחלק מאותם צדדים מהימנים "עשויים להיות למעשה עוינים למדי."
מפתחי פנים צריכים לשים לב במיוחד לאבטחה. הזרקת SQL וסקריפטים בין אתרים הם ההתקפות הנפוצות ביותר, ויישומים פנימיים הם הקורבנות הנפוצים ביותר להתקפות כאלה, 40 אחוז. התוספים למערכת ניהול תוכן (CMS) הם הבאים אחריהם, עם 30 אחוז, ואחריהם CMS קטנים על 25 אחוזים. הפרות ב- CMSs ממש גדולות כמו ג'ומלה וורדפרס גורמות לחדשות גדולות, אך לפי HTB הן מהוות רק חמישה אחוזים מהסך הכל. פלטפורמות רבות ובלוגים של בלוגים נשארות פגיעות פשוט מכיוון שבעליהן אינם מצליחים לשמור על טלאים מלאים, או אינם מצליחים להגדיר אותם כראוי.
אז איך אתה נמנע מפגיעה באתר האינטרנט שלך או ב- CMS? הדו"ח מסכם כי אתה זקוק ל"בדיקות היברידיות כאשר בדיקות אוטומטיות משולבות בבדיקת אבטחה ידנית על ידי אדם. " אין זה מפתיע ללמוד שגשר ההייטק מציע בדיוק בדיקות מסוג זה. אבל הם צודקים. לביטחון אמיתי אתה רוצה שהחבר'ה הטובים יתקפו ויראו לך מה אתה צריך לתקן.
