"Taki błąd sprawia, że na stronie możliwe jest nieautoryzowane umieszczenie jakichś treści. Jeśli witryna ma taką lukę, przestępca może wykorzystać ją do zbierania danych o użytkownikach, czy ośmieszenia administratora strony" - wyjaśnia Jeremiah Grossman, CTO firmy WhiteHat, który dodaje, że w wielu przypadkach takie treści wcale nie są umieszczane bezpośrednio w kodzie witryny (sfałszowane treści mogą znajdować się gdzie indziej ale specyfika błędu content spoofing sprawia, że wydają się one integralną częścią danego serwisu).

Przedstawiciele projektu Open Web Application Security Project (OWASP) dodają, że takie ataki nazywane są często również "wstrzykiwaniem treści" lub "wirtualnym defacementem" - ich przeprowadzenie możliwe jest dzięki błędom w kodzie lub konfiguracji serwisu, które umożliwiają osadzenie w nim zewnętrznych treści, bez wiedzy i zgody webmastera.

Zobacz również:

• Microsoft i Quantinuum twierdzą, że otworzyły nowy rozdział w rozwoju komputerów kwantowych
• WordPress 6.5 trafia na rynek. Oto 5 najważniejszych zmian
• VMware wzywa do pilnej aktualizacji oprogramowania Aria for Network Operations

Autorzy publikowanego corocznie raportu WhiteHat Website Security Statistics Report przyjrzeli się blisko 15 tys. witrynom należącym do 650 firm, organizacji rządowych oraz instytucji. Okazało się, że aż 86% z nich zawierało przynajmniej 1 poważny błąd w zabezpieczeniach - najczęściej były to właśnie błędy typu "content spoofing", ale często pojawiały się również luki CSS (cross-site scripting), błędy pozwalające na wyciek danych, podatności na ataki brute force, SQL injection oraz problemy z zapewnieniem odpowiednio wysokiego poziomu szyfrowania.

Po zidentyfikowaniu błędy najszybciej usuwane były przez firmy, w których pracownicy IT regularnie uczestniczą w szkoleniach z zakresu bezpieczeństwa aplikacji webowych. Najszybciej problemy rozwiązywano w instytucjach i firmach przetwarzających dane objęte nadzorem regulatorów rynkowych i zobligowanych prawnie do szybkiego usuwania wszelkich luk bezpieczeństwa.

Z raportu dowiadujemy się też, że:

- 85% zbadanych firm wykorzystuje na etapie tworzenia serwisów WWW rozwiązania do testowania ich bezpieczeństwa- 55% jest w trakcie wdrażania rozwiązań WAF (Web Application Firewall)- w 23% ankietowanych organizacji odnotowano naruszenie bezpieczeństwa systemu informatycznego związany ze słabymi zabezpieczeniami aplikacji webowych.