In een recente studie van Kaspersky Security Assess­ment-experts zijn de gevaar­lijkste en meest voorko­mende kwets­baar­heden in binnen het bedrijf ontwik­kelde webap­pli­ca­ties geïden­ti­fi­ceerd. Tussen 2021 en 2023 werd in het meren­deel van de onder­zochte appli­ca­ties kwets­baar­heden aange­troffen met betrek­king tot toegangs­con­trole en gegevens­be­scher­ming, in totaal enkele tientallen. Het hoogste aantal kwets­baar­heden met een hoog risico­ni­veau betrof SQL-injecties. 

Webap­pli­ca­ties zoals sociale netwerken, e‑mail en online diensten zijn in feite websites waar gebrui­kers via een browser contact maken met een webserver. In de nieuwste studie onder­zocht Kaspersky kwets­baar­heden in webap­pli­ca­ties die worden gebruikt door IT‑, overheids‑, verzekerings‑, telecommunicatie‑, cryptocurrency‑, e‑com­merce- en gezond­heids­zor­gor­ga­ni­sa­ties om de meest voorko­mende typen aanvallen te identi­fi­ceren die waarschijn­lijk zullen voorkomen bij ondernemingen.

De meest voorko­mende soorten kwets­baar­heden hadden te maken met het poten­tieel voor kwaad­willig gebruik van gebreken in de toegangs­con­trole en tekort­ko­mingen in de bescher­ming van gevoe­lige gegevens. Tussen 2021 en 2023 vertoonde 70 procent van de onder­zochte webap­pli­ca­ties kwets­baar­heden in deze categorieën.

Een kwets­baar­heid in de toegangs­con­trole kan worden gebruikt wanneer aanval­lers proberen het beleid van websites te omzeilen dat gebrui­kers beperkt tot hun geauto­ri­seerde rechten. Dit kan leiden tot onbevoegde toegang, het wijzigen of verwij­deren van gegevens en nog veel meer. Het tweede veelvoor­ko­mende type fout gaat over het bloot­stellen van gevoe­lige infor­matie zoals wacht­woorden, credit­card­ge­ge­vens, gezond­heids­dos­siers, persoon­lijke gegevens en vertrou­we­lijke bedrijfs­in­for­matie. Dit benadrukt de noodzaak voor verhoogde veiligheidsmaatregelen. 

“De rating is samen­ge­steld door de meest voorko­mende kwets­baar­heden in webap­pli­ca­ties die intern zijn ontwik­keld in verschil­lende bedrijven en hun risico­ni­veau te bekijken. Eén kwets­baar­heid stelt aanval­lers bijvoor­beeld in staat om authen­ti­ca­tie­ge­ge­vens van gebrui­kers te stelen, terwijl een andere kwets­baar­heid kan helpen om kwaad­aar­dige code op de server uit te voeren, elk met verschil­lende grada­ties van gevolgen voor de bedrijfs­con­ti­nu­ï­teit en veerkracht. Onze ranglijsten weerspie­gelen deze overwe­ging, gebaseerd op onze prakti­sche ervaring in het uitvoeren van bevei­li­gings­ana­ly­se­pro­jecten,” legt Oxana Andreeva, een bevei­li­gings­ex­pert bij het Kaspersky Security Assess­ment team, uit.

Kaspersky-experts keken ook hoe gevaar­lijk de kwets­baar­heden in de boven­ge­noemde groepen waren. Het grootste deel van de kwets­baar­heden met een hoog risico werd geasso­ci­eerd met SQL-injec­ties. In het bijzonder werd 88 procent van alle geana­ly­seerde SQL-injec­tie­kwets­baar­heden beschouwd als kwets­baar­heden met een hoog risico.

Een ander aanzien­lijk deel van de kwets­baar­heden met een hoog risico werd in verband gebracht met zwakke gebrui­kers­wacht­woorden. Binnen deze categorie werd 78 procent van alle geana­ly­seerde kwets­baar­heden geclas­si­fi­ceerd als kwetsbaar.

Het is belang­rijk om op te merken dat slechts 22 procent van alle webap­pli­ca­ties die het Kaspersky Security Assess­ment-team onder­zocht zwakke wacht­woorden had. Een mogelijke reden hiervoor is dat de apps in de steek­proef van het onder­zoek testver­sies waren in plaats van echte live systemen.

De kwets­baar­heids­ca­te­go­rieën die in het onder­zoek worden beschreven, komen overeen met de catego­rieën en subca­te­go­rieën van de OWASP Top Tien classi­fi­catie. Het verhelpen van de meest voorko­mende kwets­baar­heden in webap­pli­ca­ties die in het onder­zoek worden beschreven, zal bedrijven helpen vertrou­we­lijke gegevens te beschermen en te voorkomen dat webap­pli­ca­ties en aanver­wante systemen worden gecom­pro­mit­teerd. Om de bevei­li­ging van webap­pli­ca­ties te verbe­teren en mogelijke aanvallen erop tijdig te detec­teren, raadt het Kaspersky Security Assess­ment-team aan: 

• Secure Software Devel­op­ment Lifecycle (SSDLC) te gebruiken;
• Regel­matig de bevei­li­ging van appli­ca­ties te beoordelen;
• Logboek- en bewakings­me­cha­nismen te gebruiken om de werking van appli­ca­ties te volgen.

Ga voor meer infor­matie over het onder­zoek naar Secure­list.