Ataki na aplikacje webowe

Grupa nonprofit udostępniła wyniki badań w corocznym raporcie "Hacking Incidents Database". Według raportu, cyberprzestepcy nadal wykorzystują dobrze znane techniki do ataków na ośrodki e-commerce czy inne systemy transakcyjne, poszukując jednocześnie nowych celów.

Na podstawie analizy ponad 80 indywidualnych ataków przeprowadzonych w roku 2007, autorzy raportu dochodzą do wniosku, iż głównym ich celem jest kradzież danych - 42 proc. incydentów. Zaskakująco duży odsetek ataków - 23 proc. - przeprowadzanych jest w celu zakłócenia działania ośrodka, bez widocznych korzyści materialnych. Na miejscu trzecim (15 proc.) są ataki mające na celu umieszczenie kodu złośliwego w ośrodku.

Lwia część incydentów badanych przez WASC obraca się w kręgu kradzieży wrażliwych danych, które mogą być potem sprzedane na czarnym rynku lub wykorzystane do przeprowadzania fałszywych transakcji. Z kolei zagrożenie phishingiem w roku ubiegłym było znacznie mniej liczne niż ataki wykorzystujące kod złośliwy ukryty w legalnych aplikacjach webowych w celu atakowania użytkowników końcowych.

Wśród przebadanych przez WASC ataków, 67 proc. było specjalnie zaprojektowanych do uzyskiwania jakiejś formy korzyści.

Jedna z najbardziej znanych luk, umożliwiająca atak SQL Injection, jest nadal najczęściej używanym punktem ataku na aplikacje webowe, szczególnie w ośrodkach e-commerce, pomimo szeroko rozpowszechnionej informacji o tej, od lat znanej, nieszczelności.