Kaspersky Security Assessment uzmanları tarafından yapılan yeni bir araştırma, şirket içinde geliştirilen kurumsal web uygulamalarındaki en tehlikeli ve yaygın güvenlik açıklarını belirledi.
Şirketten yapılan açıklamaya göre Kaspersky, son çalışmasında BT, devlet, sigorta, telekomünikasyon, kripto para, e-ticaret ve sağlık kuruluşları tarafından kullanılan web uygulamalarındaki güvenlik açıklarını araştırarak kurumların başına gelebilecek en yaygın saldırı türlerini belirledi.
Ağırlıklı güvenlik açığı türleri, erişim kontrolü kusurlarının kötü niyetli kullanım potansiyelini ve hassas verilerin korunmasındaki başarısızlıkları içeriyor. 2021 ve 2023 yılları arasında, bu çalışmada incelenen web uygulamalarının yüzde 70'i bu kategorilerde güvenlik açıkları sergiledi.
Bozuk erişim kontrolü güvenlik açığı, saldırganlar kullanıcıları yetkili izinleriyle sınırlayan web sitesi politikalarını atlamaya çalıştığında kullanılabiliyor. Bu durum yetkisiz erişime, verilerin değiştirilmesine veya silinmesine ve daha fazlasına yol açabiliyor. İkinci yaygın hata türü ise şifreler, kredi kartı bilgileri, sağlık kayıtları, kişisel veriler ve gizli iş bilgileri gibi hassas bilgilerin açığa çıkmasını içeriyor ve bu durum güvenlik önlemlerinin artırılması ihtiyacını vurguluyor.
Açıklamada görüşlerine yer verilen Kaspersky Security Assessment ekibi güvenlik uzmanı Oxana Andreeva, yaptıkları derecelendirmenin, çeşitli şirketlerde kurum içinde geliştirilen web uygulamalarındaki yaygın güvenlik açıkları ve bunların risk düzeyleri dikkate alınarak yapıldığını belirterek, "Örneğin, bir güvenlik açığı saldırganların kullanıcı kimlik doğrulama verilerini çalmasını sağlayabilirken, bir diğeri sunucuda kötü amaçlı kod çalıştırılmasına yardımcı olabilir ve her biri iş sürekliliği ve esnekliği için farklı derecelerde sonuçlar doğurabilir. Sıralamalarımız, güvenlik analizi projeleri yürütme konusundaki pratik deneyimlerimizden yola çıkarak bu değerlendirmeyi yansıtıyor" ifadelerini kullandı.
Kaspersky uzmanları, yukarıda listelenen gruplardaki güvenlik açıklarının ne kadar tehlikeli olduğunu da inceledi. Yüksek risk teşkil eden güvenlik açıklarının en büyük oranı SQL enjeksiyonları ile ilişkilendirildi. Özellikle, analiz edilen tüm SQL Injection güvenlik açıklarının yüzde 88'i yüksek riskli olarak kabul edildi. Yüksek riskli güvenlik açıklarının bir diğer önemli payının zayıf kullanıcı şifreleriyle bağlantılı olduğu tespit edildi. Bu kategoride, analiz edilen tüm güvenlik açıklarının yüzde 78'i yüksek riskli olarak sınıflandırıldı.
Web uygulamalarının güvenliğini artırmak ve bunlara yönelik olası saldırıları zamanında tespit etmek için Kaspersky Security Assessment ekibi Güvenli Yazılım Geliştirme Yaşam Döngüsü kullanmayı, Düzenli uygulama güvenlik değerlendirmesi yapmayı ve Uygulamaların çalışmasını izlemek için günlük kaydı ve izleme mekanizmalarının kullanılmasını öneriyor.