Image default
Security

SQL Injection não está mais no topo das principais vulnerabilidades

Vulnerabilidade de SQL Injection sempre esteve no topo dos principais problemas de segurança da informação, mas conforme a recém-atualizada lista conhecida como CWE (Common Weakness Enumeration ou algo como Enumeração de fraquezas comuns), parece que o SQL Injection não é tão considerado um grave problema, já que ocupa a 6ª posição no Top 25 do CWE.

Quem ocupa o primeiro lugar no rank agora é o Improper Restriction of Operations within the Bounds of a Memory Buffer (Restrição Imprópria de Operações Dentro dos Limites de um Buffer de Memória). Ataques de Cross-site Scripting (XSS) ocupam o segundo lugar, seguidos por Improper Input Validation (Validação Incorreta de Entrada), Information Exposure (Exposição de Informações), Out-of-bounds Read (Erros de Leitura Fora dos Limites), e no 6º do rank temos as vulnerabilidades de SQL Injection.

Como o rank da lista foi criado?

Esta atualização é a primeira em oito anos e classifica as vulnerabilidades com base na prevalência e criticidade.

A equipe do CWE analisou um conjunto de dados de cerca de 25.000 vulnerabilidades catalogadas no CVE (Common Vulnerabilities and Exposures / Vulnerabilidades e Exposições Comuns) nos últimos dois anos e concentrou-se nas vulnerabilidades comuns e com potencial para causar danos significativos. Vulnerabilidades raras ou com baixo impacto foram deixadas de fora da lista.

No passado, os criadores da lista do CWE utilizavam uma abordagem mais subjetiva, se baseando em entrevistas pessoais e pesquisas de especialistas do setor.

Mudamos para uma abordagem orientada a dados, pois permite uma análise mais consistente e repetível, que reflete os problemas que estamos vendo no mundo real”, afirmou Chris Levendis, lider do projeto do CWE, em um comunicado publicado nesta quarta-feira. “Continuaremos amadurecendo a metodologia à medida que avançarmos”.

Para que servem estas listas de segurança?

Listas como o CWE e as principais vulnerabilidades de segurança de software do Open Web Application Security Project (OWASP), são projetadas para aumentar o conhecimento entre os desenvolvedores sobre as vulnerabilidades mais comuns. O objetivo é ajudar os desenvolvedores a melhorar a segurança e a qualidade do software e os pentesters na verificação de problemas de segurança em seus códigos.

A segurança recebe a devida importância?

Ao longo dos anos as entradas nestas listas mudaram pouco, o que nos leva a crer que os desenvolvedores cometerem repetidamente os mesmos erros.

Isso destaca a triste realidade de que, apesar de muitos esforços, a segurança não está sendo levada muito à serio na comunidade de desenvolvedores ou nos frameworks corporativos (Enterprise Assurance Framework), diz Javvad Malik, defensor de conscientização de segurança na KnowBe4.

Não é que não temos consciência de como identificar e solucionar os problemas ou impedir que eles ocorram, mas parece haver uma cultura de que o lançamento de um software é mais importante do que os requisitos de segurança”, observa ele.

Polêmica no rank do Top 25

Segundo Ilia Kolochenko, fundadora e CEO da empresa de segurança na web ImmuniWeb, a nova lista e as abordagens na classificação de risco fazem muito sentido, mas que algumas posições provavelmente causarão polêmica, diz Kolochenko.

Vulnerabilidades de Cross-site Script (XSS), por exemplo, embora comuns, não são particularmente fáceis de explorar. “A exploração bem-sucedida de um XSS, a menos que seja do tipo armazenada, sempre exige pelo menos um pouco de engenharia social e interação com a vítima”, diz ela.

Poderíamos fazer comentários semelhantes sobre todas as outras posições do rank, discutindo sobre a existência das vulnerabilidades em sistemas que são críticos para os negócios, a facilidade de detecção e exploração, custos de prevenção e tempo para correção.

“É improvável que tenhamos a mesma opinião sobre todos eles”, diz Kolochenko. É por isso bom termos classificações diferentes e avaliações que, uma vez consolidadas, fornecerão uma visão abrangente do cenário de vulnerabilidades da atualidade”.

Fonte:

https://www.darkreading.com/vulnerabilities—threats/sql-injection-errors-no-longer-the-top-software-security-issue/d/d-id/1336481

Fonte da imagem utilizada na capa do host

https://medium.com/better-programming/how-to-prevent-sql-injection-without-prepared-statements-341dce17bcd2

Posts similares

Nova onda de ataques do ransomware Petya é freada

O Analista

“Ainda não acabou”, diz jovem de 22 anos que freou a propagação do #WannaCry

O Analista

Instale a versão 7.60 do Nmap no Ubuntu e família

O Analista