Έρευνα της Kaspersky εντοπίζει τις πιο επικίνδυνες και διαδεδομένες ευπάθειες σε εταιρικές διαδικτυακές εφαρμογές

Related

Φέτος τα Χριστούγεννα επιλέξτε δώρα που φροντίζουν την υγεία και το στιλ σας με τα Smartwatch της HUAWEI

Superman: Το πρώτο τρέιλερ κυκλοφόρησε και εντυπωσιάζει – Ξεπέρασε τις 250 εκατομμύρια προβολές, λέει ο Τζέιμς Γκαν Γάζα: Πέντε νεκροί, ανάμεσά τους δύο παιδιά, από ισραηλινό βομβαρδισμό σε σπίτι στον προσφυγικό καταυλισμό Νουσεϊράτ Secret Song: Συγκινήθηκε ο Θανάσης Βισκαδουράκης με το «Αγριολούλουδο» και τους φίλους του στη σκηνή Σαν σήμερα 22 Δεκεμβρίου: Το πείραμα του

Χριστούγεννα γεμάτα δώρα και φέτοςαπό την COSMOTE

Απεριόριστα data στο κινητό Απεριόριστη ομιλία προς όλους από το σταθερό Δωρεάν το COSMOTE TV Entertainment Pack BOX :Έκπτωση 4€ για παραγγελία φαγητού ή καφέ Μοναδικά δώραγια το κινητό, το σταθερό, την τηλεόραση και τις παραγγελίες φαγητού και καφέ, επιφυλάσσει και φέτος τα Χριστούγεννα η COSMOTE σε όλους τους συνδρομητές της. Δωρεάναπεριόριστα data στο κινητό

Ολυμπιακός – Λαμία (21/12, 19:00, Cosmote Sport 1): Η νέα χρονιά να τον βρει… στο ρετιρέ

INTIME STOIXIMAN SUPERLEAGUE Ο Ολυμπιακός υποδέχεται τη Λαμία (21/12, 19:00, Cosmote Sport 1) στο «Γ.Καραϊσκάκης» για την 16η αγωνιστική της Stoiximan Super League. Στόχος των «ερυθρόλευκων» είναι να κλείσει ιδανικά το 2024 απέναντι στην ουραγό της βαθμολογίας, ώστε η νέα χρονιά να τον βρει μόνο στο ρετιρέ της βαθμολογίας. Η ομάδα της Φθιώτιδας, από την

Cosmote: Υπερυψηλές ταχύτητες σε ακόμα πιο προσιτές τιμές στη Ρόδο – Προγράμματα Fiber To The Home με επιδότηση €200 για 24 μήνες

Τοπικές Ειδήσεις   21 Δεκεμβρίου 2024 09:02 Σε εγγυημένες ταχύτητες έως και 1Gbps με 100% οπτική ίνα μέχρι το χώρο του τελικού χρήστη έχουν πρόσβαση κάτοικοι κι επιχειρήσεις στη Ρόδο, μέσω COSMOTE Fiber, του μεγαλύτερου δικτύου οπτικών ινών της χώρας. Χάρη στο γρήγορο internet, καλύπτονται οι σύγχρονες ανάγκες για επικοινωνία, ψυχαγωγία και συνδεσιμότητα, ενώ παράλληλα

Φέτος τα Χριστούγεννα, παίζουμε PlayStation 5 και δημιουργούμε μαγικές στιγμές!

Super League: Αντίο στο 2024 με νίκη θέλουν να πουν οι Ερυθρόλευκοι στο «Γ. Καραϊσκάκης» κόντρα στη Λαμία Τι πρέπει να κάνεις για να σου μείνει η Σιγκαπούρη αξέχαστη Κυριάκος Μητσοτάκης: Πρέπει να διαθέσουμε περισσότερα για τη συλλογική μας άμυνα – Άνευ όρων η υποστήριξη στην ουκρανία Οι αργίες και τα τριήμερα του 2025: Τετραήμερο

Η Klarna ενσωματώνει την τεχνητή νοημοσύνη και σταματά τις προσλήψεις

Η Klarna, μια δημοφιλής εταιρεία fintech, γνωστή για τις υπηρεσίες της «αγοράζω τώρα, πληρώνω αργότερα», γίνεται πρωτοσέλιδο αφού ο διευθύνων σύμβουλός της, Sebastian Siemiatkowski, υποστήριξε ότι η τεχνητή νοημοσύνη (AI) είναι πλέον ικανή να εκτελεί σχεδόν όλες τις εργασίες που παραδοσιακά διεκπεραιώνονται από τους ανθρώπους- υπαλλήλους. Η IBM έχει, επίσης, δηλώσει στο παρελθόν ότι η

Η Apple συζητά με την Tencent και την ByteDance για την ανάπτυξη λειτουργιών AI στην Κίνα

Η Apple βρίσκεται σε συζητήσεις με την Tencent και την ιδιοκτήτρια εταιρεία του TikTok, ByteDance, σχετικά με την ενσωμάτωση των μοντέλων τεχνητής νοημοσύνης τους στα iPhone που πωλούνται στην Κίνα. Η αμερικανική εταιρεία ξεκίνησε την ανάπτυξη του ChatGPT της OpenAI στις συσκευές της αυτό το μήνα , μέρος του προϊόντος Apple Intelligence που επιτρέπει στη

Πρόγραμμα Υποτροφιών COSMOTE: Για 23η χρονιά δίπλα στους νέους με κοινωνικές και οικονομικές δυσκολίες

Οι υποτροφίες αποτελούν έναν πολύ σημαντικό μέσο στήριξης για τους νέους που αντιμετωπίζουν οικονομικές και κοινωνικές δυσκολίες, προσφέροντάς τους τη δυνατότητα να πραγματοποιήσουν τις σπουδές που ονειρεύονται. Στηρίζοντας τον θεσμό των υποτροφιών για ακόμη μια χρονιά, η COSMOTE, μέλος του Ομίλου Telekom, προσέφερε σε 30 πρωτοετείς φοιτητές ελληνικών πανεπιστημίων υποτροφίες αξίας περίπου 500.000€ Ειδικότερα, οι 30

Οι πρώτες εικόνες από τα γυρίσματα του ‘Ριφιφί’ της νέας σειράς της Cosmote TV σε σκηνοθεσία Σωτήρη Τσαφούλια

LIFE Πρόκειται για μία μίνι σειρά 6 επεισοδίων σε σενάριο Βασίλη Ρίσβα και Δήμητρας Σακαλή για τη μεγαλύτερη ληστεία που έγινε ποτέ στην Ελλάδα και που μέχρι σήμερα παραμένει ανεξιχνίαστη. Για το Ριφιφί έχεις διαβάσει από τα μέσα Νοεμβρίου στο Esquire, οπότε ήδη γνωρίζεις ότι πρόκειται για τη νέα σειρά μυθοπλασίας της Cosmote TV σε

Η Cosmote συμμετέχει στην πανευρωπαϊκή καμπάνια της Telekom

Η Cosmote, ως μέλος του ομίλου Telekom, συμμετέχει μαζί με άλλες 10 χώρες σε μια πανευρωπαϊκή καμπάνια με μήνυμα «Όταν τα εμπόδια ξεπερνιούνται, μια αληθινή σύνδεση γεννιέται». Σκοπός της καμπάνιας είναι να εμπνεύσει τους ανθρώπους για την αξία της σύνδεσης και να τους υπενθυμίσει ότι παρά τις διαφορές τους, μπορούν να βρουν κοινό έδαφος. Η

Ο πετυχημένος Δημήτρης Μιχαλάκης αναλαμβάνει την επικοινωνία της Cosmote

Ένας δοκιμασμένος μάνατζερ που βοήθησε σημαντικά στη δημιουργία της συνδρομητικής τηλεόρασης COSMOTE TV, αναβαθμίζεται στη θέση του Executive Director Corporate Communications, Sustainability & Channel Productions στον Όμιλο ΟΤΕ. Η αναβάθμιση του Δημήτρη Μιχαλάκη φέρνει νέο αέρα στον Όμιλο και σηματοδοτεί μια νέα εποχή μετά την αποχώρηση της πετυχημένης Ντέπης Τζιμέα. Ο Δημήτρης Μιχαλάκης αναλαμβάνει τα

COSMOTE eValue: Πρωταγωνιστεί στην εξυπηρέτηση πελατών με νέες ευρωπαϊκές διακρίσεις

H εταιρεία απέσπασε δύο σημαντικές διακρίσεις στα European Contact Center & Customer Service Awards (ECCCSAs) Η COSMOTE eValue, μέλος του Ομίλου ΟΤΕ και της Telekom, αναδεικνύεται για ακόμη μία φορά ως πρωτοπόρος στον τομέα εξυπηρέτησης πελατών σε εθνικό και διεθνές επίπεδο με δύο νέες ευρωπαϊκές διακρίσεις. Για 4η συνεχόμενη χρονιά, η εταιρεία απέσπασε δύο σημαντικές

Από την COSMOTE TV σε στρατηγικό ρόλο στον ΟΤΕ, ο Δημήτρης Μιχαλάκης

Ο Δημήτρης Μιχαλάκης, γνωστός για την πολυετή εμπειρία του και την καθοριστική του συμβολή στην ανάπτυξη της COSMOTE TV, αναλαμβάνει τη θέση του Executive Director Corporate Communications, Sustainability & Channel Productions στον Όμιλο ΟΤΕ. Η αλλαγή αυτή έρχεται μετά την αποχώρηση της Ντέπης Τζιμέα μετά από 25 χρόνια επιτυχημένης πορείας.Στο πλαίσιο του νέου του ρόλου

Με υπερυψηλές ταχύτητες οπτικών ινών «τρέχει» η Κέρκυρα

Σε εγγυημένες ταχύτητες έως και 1Gbps με 100% οπτική ίνα μέχρι το χώρο του τελικού χρήστη έχουν πρόσβαση κάτοικοι κι επιχειρήσεις στην Κέρκυρα, μέσω COSMOTE Fiber, του μεγαλύτερου δικτύου οπτικών ινών της χώρας. Χάρη στο γρήγορο internet, καλύπτονται οι σύγχρονες ανάγκες για επικοινωνία, ψυχαγωγία και συνδεσιμότητα, ενώ παράλληλα δίνεται σημαντική ώθηση στην τοπική επιχειρηματικότητα κι

«Όταν τα εμπόδια ξεπερνιούνται, μια αληθινή σύνδεση γεννιέται»: Νέα καμπάνια επικοινωνίας από την Telekom και την COSMOTE

Η COSMOTE, ως μέλος του Ομίλου Telekom, συμμετέχει μαζί με άλλες 10 χώρες σε μια πανευρωπαϊκή καμπάνια με μήνυμα « Όταν τα εμπόδια ξεπερνιούνται, μια αληθινή σύνδεση γεννιέται ». Σκοπός της καμπάνιας αυτής είναι να εμπνεύσει τους ανθρώπους για την αξία της σύνδεσης και να τους υπενθυμίσει ότι παρά τις διαφορές τους, μπορούν να βρουν

Share

Μια πρόσφατη μελέτη των ειδικών του Kaspersky Security Assessment εντόπισε τις πιο επικίνδυνες και διαδεδομένες ευπάθειες σε εταιρικές διαδικτυακές εφαρμογές που αναπτύσσονται in-house.

Tην περίοδο μεταξύ 2021 και 2023 εντοπίστηκαν ελαττώματα που αφορούν τον έλεγχο πρόσβασης και την προστασία των δεδομένων στην πλειονότητα των εξεταζόμενων εφαρμογών, που ανέρχονται συνολικά σε αρκετές δεκάδες. Ο μεγαλύτερος αριθμός ευπαθειών υψηλού επιπέδου κινδύνου αναφερόταν σε SQL injections.  

Οι διαδικτυακές εφαρμογές, όπως τα κοινωνικά δίκτυα, το email και οι διαδικτυακές υπηρεσίες, είναι στην ουσία ιστοσελίδες στις οποίες οι χρήστες επικοινωνούν με έναν web server μέσω ενός browser. Στην τελευταία της μελέτη, η Kaspersky διερεύνησε ευπάθειες σε διαδικτυακές εφαρμογές που χρησιμοποιούνται από IT, κυβερνητικούς, ασφαλιστικούς και τηλεπικοινωνιακούς οργανισμούς, αλλά και οργανισμούς κρυπτονομισμάτων, ηλεκτρονικού εμπορίου και υγειονομικής περίθαλψης για να εντοπίσει τους πιο διαδεδομένους τύπους επιθέσεων που είναι πιθανό να συμβούν στις επιχειρήσεις.   

Οι επικρατέστεροι τύποι ευπαθειών αφορούσαν την πιθανότητα κακόβουλης χρήσης ελαττωματικών ελέγχων πρόσβασης και αδυναμίες στην προστασία ευαίσθητων δεδομένων. Μεταξύ 2021 και 2023, το 70% των διαδικτυακών εφαρμογών που εξετάστηκαν στην παρούσα μελέτη παρουσίαζαν ευπάθειες σε αυτές τις κατηγορίες.

H ευπάθεια ενός παραβιασμένου ελέγχου πρόσβασης μπορεί να χρησιμοποιηθεί όταν οι εισβολείς προσπαθούν να παρακάμψουν τις πολιτικές ιστότοπου που περιορίζουν τους χρήστες στα εξουσιοδοτημένα δικαιώματά τους. Αυτό μπορεί να οδηγήσει σε μη εξουσιοδοτημένη πρόσβαση, στην αλλοίωση ή τη διαγραφή δεδομένων και όχι μόνο. Ο δεύτερος κοινός τύπος ελαττώματος αφορά την έκθεση ευαίσθητων πληροφοριών, όπως κωδικοί πρόσβασης, στοιχεία πιστωτικών καρτών, αρχεία υγείας, προσωπικά δεδομένα και εμπιστευτικές επιχειρηματικές πληροφορίες, γεγονός που υπογραμμίζει την ανάγκη για αυξημένα μέτρα ασφαλείας. 

«Η αξιολόγηση διαμορφώθηκε λαμβάνοντας υπόψη τις πιο συνηθισμένες ευπάθειες σε διαδικτυακές εφαρμογές που αναπτύσσονται εσωτερικά σε διάφορες εταιρείες, καθώς και το επίπεδο κινδύνου τους. Για παράδειγμα, μια ευπάθεια θα μπορούσε να επιτρέψει στους επιτιθέμενους να κλέψουν τα δεδομένα ελέγχου ταυτότητας των χρηστών, ενώ μια άλλη θα μπορούσε να βοηθήσει στην εφαρμογή κακόβουλου κώδικα στον server, με διαφορετικό βαθμό συνεπειών για την επιχειρησιακή βιωσιμότητα και ανθεκτικότητα. Οι κατατάξεις μας αντικατοπτρίζουν αυτή την εκτίμηση, αντλώντας από την πρακτική μας εμπειρία στη διεξαγωγή έργων ανάλυσης ασφάλειας», εξηγεί η Oxana Andreeva, security expert στην ομάδα Kaspersky Security Assessment.   

 

Type of vulnerability The share of web applications that contain it Share of high-risk vulnerabilities  Share of medium-risk vulnerabilities  Share of low-risk vulnerabilities 
Broken Access Control 70% 37% 49% 14%
Sensitive Data Exposure 70% 9% 28% 63%
Server-Side Request Forgery (SSRF) 57% 15% 66% 19%
SQL Injection 43% 88% 12%
Cross Site Scripting (XSS) 61% 11% 78% 11%
Broken Authentication 52% 21% 47% 32%
Security Misconfiguration 43% 15% 41% 44%
Insufficient Protection from Brute Force Attacks 39% 11% 39% 50%
Weak User Password 22% 78% 22%
Using Components with Known Vulnerabilities 13% 43% 43% 14%

Οι ειδικοί της Kaspersky εξέτασαν επίσης πόσο επικίνδυνες ήταν οι ευπάθειες στις παραπάνω ομάδες. Το μεγαλύτερο ποσοστό των ευπαθειών που εγκυμονούσαν υψηλό κίνδυνο σχετιζόταν με SQL injections. Συγκεκριμένα, το 88% όλων των ευπαθειών SQL Injection που εξετάστηκαν χαρακτηρίστηκαν ως υψηλού κινδύνου.

Ένα άλλο σημαντικό ποσοστό των ευπαθειών υψηλού κινδύνου βρέθηκε να συνδέεται με αδύναμους κωδικούς πρόσβασης των χρηστών. Σε αυτή την κατηγορία, το 78% όλων των ευπαθειών που αναλύθηκαν χαρακτηρίστηκαν ως υψηλού κινδύνου.

Είναι σημαντικό να σημειωθεί ότι μόνο το 22% όλων των διαδικτυακών εφαρμογών που μελέτησε η ομάδα Kaspersky Security Assessment είχαν αδύναμους κωδικούς πρόσβασης. Ένας πιθανός λόγος είναι ότι οι εφαρμογές που συμπεριλήφθηκαν στο δείγμα της μελέτης μπορεί να ήταν δοκιμαστικές εκδόσεις και όχι πραγματικά λειτουργικά συστήματα. 

Για να ενημερωθείτε διεξοδικότερα για τη μελέτη, επισκεφθείτε το Securelist. Οι κατηγορίες ευπάθειας που περιγράφονται στην έρευνα αντιστοιχούν στις κατηγορίες και τις υποκατηγορίες της αξιολόγησης OWASP Top Ten. Η αποκατάσταση των πιο διαδεδομένων ευπαθειών σε διαδικτυακές εφαρμογές που περιγράφονται στη μελέτη θα βοηθήσει τις εταιρείες να προστατεύσουν εμπιστευτικά δεδομένα και να αποφύγουν την παραβίαση διαδικτυακών εφαρμογών και συναφών συστημάτων. Για τη βελτίωση της ασφάλειας των διαδικτυακών εφαρμογών και τον έγκαιρο εντοπισμό πιθανών επιθέσεων σε αυτές, η ομάδα Kaspersky Security Assessment συνιστά:

  • χρήση του Secure Software Development Lifecycle (SSDLC),
  • τακτική αξιολόγηση της ασφάλειας των εφαρμογών,
  • χρήση μηχανισμών σύνδεσης και καταγραφής για την παρακολούθηση της λειτουργίας των εφαρμογών.