Fouten bij webtoepassingen vormen gevaar voor ondernemingen

Een meerderheid van websites heeft minstens één groot beveiligingsprobleem dat door hackers zou kunnen worden gebruikt voor fraudegerelateerde doeleinden, volgens een nieuwe enquête.

Ongeveer 64 procent van 1.300 Websites van 250 bedrijven hebben minstens één ernstige kwetsbaarheid, zegt WhiteHat Security, gespecialiseerd in het vinden van kwetsbaarheden in webapplicaties. De statistieken zijn afkomstig van het klantenbestand van WhiteHat, waarmee het bedrijf regelmatig hun sites kan controleren op problemen.

Het meest voorkomende probleem is cross-site scripting. Er is 66 procent een website met een dergelijk probleem, zei WhiteHat. Een cross-site scriptingfout kan het mogelijk maken dat gegevens of kwaadaardige code worden afgeleid van een andere website, die mogelijk een datalek kan veroorzaken.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

problemen zijn onder meer lekken van informatie, spoofing van inhoud, onvoldoende autorisatie en SQL-injectie.

Het gevaar van kwetsbaarheden voor websiteapplicaties hangt samen met de traagheid waarmee bedrijven deze proberen op te lossen. Als WhiteHat een kwetsbaarheid op een website vindt, informeert het de klant, zegt Jeremiah Grossman, CTO van WhiteHat.

In het geval van een cross-site scriptingprobleem is de fix meestal slechts één regel code, zei Grossman. Het probleem om het probleem op te lossen heeft echter de neiging om de menselijke kant te zijn.

WhiteHat zal gewoonlijk de beveiligingsafdeling van een bedrijf informeren, die vervolgens de informatie moet doorgeven aan de ontwikkelaars van de webtoepassing. De aangepaste code van de webtoepassing kan niet worden gewijzigd door de beveiligingsafdeling.

Management moet ontwikkelaars dan de kans geven om te werken aan het oplossen van de code in plaats van het creëren van inkomstengenererende functies, die meestal prioriteit krijgen, zei Grossman.. Soms is het moeilijk om het risico van kwetsbaarheid van webtoepassingen te kwantificeren, wat ook de wateren vertroebelt voor de manier waarop ze worden geparafeerd.

"Het is een taak van een ontwikkelaar om code te schrijven," zei Grossman. "Beveiliging is geen prioriteit bij het uitsturen van code." Verrassend is dat veel kwetsbaarheden veel tijd vergen om te worden opgelost en sommige nooit worden gerepareerd. WhiteHat bekeek kwetsbaarheden die gedurende een jaar bij zijn klanten werden aangetroffen.

Het bedrijf vond dat het gemiddeld 67 dagen duurde voordat een probleem met cross-site scripting werd opgelost. Dat in vergelijking met 78 dagen voor een lekprobleem, 87 dagen voor problemen met spoofing van de inhoud en 62 dagen voor een kwetsbaarheid voor SQL-injecties.

"Wat we met vertrouwen kunnen zeggen, is dat IT-beveiligings- en ontwikkelingsorganisaties moeten coördineren als het gaat om het verhandelen van met kwetsbaarheden op de website om de time-to-fix-kloof te dichten, "aldus het rapport.

Gemiddeld wordt slechts 30 tot 60 procent van de kwetsbaarheden ooit gerepareerd, zei Grossman. Het besef van webapplicatieproblemen "is nog nooit zo hoog geweest, maar het moet nog veel groter zijn," zei hij.