فيديو: اÙÙضاء - عÙÙ٠اÙÙÙÙ ÙÙÙر٠اÙØاد٠ÙاÙعشرÙÙ (سبتمبر 2024)
أصدرت شركة Infosec السويسرية High-Tech Bridge الأخبار العام الماضي من خلال إهمال Yahoo في تقديم أكثر من مجرد قميص تي كمكافأة للأخطاء. هذا النوع من الأبحاث ليس ما يفعله باحثو HTB كل يوم. ينصب تركيزها الرئيسي على تحديد نقاط الضعف وإصدار إرشادات الأمان المتعلقة بنتائجها. أصدرت المجموعة 62 نصيحة في عام 2013 ، وشهدت تحسنًا عامًا في استجابة الصناعة.
إصلاحات أسرع
وفقًا لتقرير HTB الذي تم إصداره للتو ، قام البائعون بإصدار تصحيحات للمشكلات التي تم الإبلاغ عنها بسرعة أكبر بكثير من عام 2012. وأيضًا "نبهت الغالبية العظمى من البائعين مستخدميها النهائيين إلى نقاط الضعف بطريقة عادلة وسريعة" ، حيث كان الكثيرون في الماضي لقد صمت المشكلة أو قللت من شأن المخاطر. قام التقرير باستدعاء Mijosoft (وليس Microsoft) لممارسات الأمان السيئة.
انخفض متوسط الوقت لتصحيح نقاط الضعف الحرجة من 17 يومًا في عام 2012 إلى 11 يومًا في عام 2013 ، وهو انخفاض مثير للإعجاب. كانت نقاط الضعف متوسطة المخاطر أفضل ، حيث امتدت من 29 يومًا إلى 13 يومًا. هذا تقدم ، لكن هناك مجال للتحسين. يشير التقرير إلى أن "11 يومًا لتصحيح نقاط الضعف الحرجة لا يزال تأخيرًا طويلًا إلى حد ما."
زيادة التعقيد
وفقًا للتقرير ، أصبح من الصعب على الأشرار تحديد نقاط الضعف الحرجة واستغلالها. إنهم مضطرون إلى اللجوء إلى تقنيات مثل الهجمات بالسلاسل ، حيث لا يكون استغلال الثغرة الحرجة ممكنًا إلا بعد خرق ثغرة غير هامة بنجاح.
تم تخفيض تصنيف بعض نقاط الضعف من درجة عالية من المخاطرة أو شديدة إلى متوسطة خلال عام 2013. على وجه التحديد ، هذه مآثر لا يمكن تنفيذها إلا بعد مصادقة المهاجم أو تسجيل الدخول. ويلاحظ التقرير أن المطورين بحاجة إلى التفكير في الأمان حتى في المناطق فقط في متناول المستخدمين الموثوق بهم ، لأن بعض هذه الأطراف الموثوق بها "قد تكون في الواقع معادية تمامًا".
يحتاج المطورون الداخليون إلى إيلاء اهتمام إضافي للأمان. يعد SQL Injection و Scripting عبر المواقع أكثر الهجمات شيوعًا ، والتطبيقات الداخلية هي أكثر ضحايا هذه الهجمات شيوعًا ، حيث تبلغ 40 في المائة. فيما يلي المكونات الإضافية لنظام إدارة المحتوى (CMS) ، مع 30 بالمائة ، تليها CMSs الصغيرة بنسبة 25 بالمائة. تشكل الانتهاكات التي يتعرض لها نظام إدارة المحتوى الكبيرة حقًا مثل جملة ووردبأ نبأًا كبيرًا ، لكن وفقًا لـ HTB ، فإنها تشكل خمسة في المائة فقط من الإجمالي. تظل العديد من منصات التدوين وأنظمة إدارة المحتوى عرضة للمخاطر ببساطة لأن أصحابها يفشلون في الحفاظ عليها مصححة بالكامل ، أو يفشلون في تكوينها بشكل صحيح.
لذا ، كيف تتجنب تعرض موقعك الإلكتروني أو نظام إدارة المحتوى للخطر؟ يخلص التقرير إلى أنك تحتاج إلى "اختبار هجين عندما يتم الجمع بين الاختبار الآلي مع اختبار الأمان اليدوي من قبل الإنسان." لن يكون مفاجئًا أن تعلم أن High Tech Bridge تقدم هذا النوع من الاختبارات تمامًا. لكنهم على حق. للأمان الحقيقي ، تريد أن يهاجم الأشخاص الطيبون ويظهرون لك ما تحتاج إلى إصلاح.
