Breaking News

Home / tecnologia / Las vulnerabilidades más comunes en las aplicaciones web de código abierto son XSS y SQLi

Las vulnerabilidades más comunes en las aplicaciones web de código abierto son XSS y SQLi

February 27, 2016
Una exploración de 396 aplicaciones Web ha cedido 269 vulnerabilidades de seguridad, de los cuales los más populares eran de cross-site scripting (XSS) y los errores de inyección SQL (SQLi).

El estudio fue realizado por la firma de seguridad de aplicaciones web Netsparker, que utiliza sus herramientas de análisis de seguridad automatizados, disponibles para entornos de escritorio y en la nube.



Del total de 269 vulnerabilidades descubiertas, hubo varios errores de día cero, para los que el equipo tuvo que publicar Netsparker 114 advertencias públicas. 32 de estos informes también contenían más de un fallo de seguridad.

"XSS y SQLi representaron el 87% de todas las vulnerabilidades descubiertas"Desglosado por categoría, los investigadores encontraron 180 vulnerabilidades XSS reflejado como XSS, almacenado XSS, XSS basada en DOM y XSS a través de RFI (inclusión remota de archivo). Las fallas de XSS representaron el 67% de todos los fallos de seguridad descubiertos en la exploración.

En segundo lugar en la lista fueron las inyecciones SQL que constituían el 20% del total general. Esto significa 55 vulnerabilidades SQLi, tales como (ciegos) inyecciones SQL booleanos y basados ​​en el tiempo.

En tercer lugar en la lista eran las vulnerabilidades de inclusión de archivos remotos y locales, de los cuales descubrió Netsparker 16. Otras vulnerabilidades identificadas en el análisis, pero en menor número, incluyen defectos tales como Cross-Site Request Falsificación (CSRF), Comando de ejecución remota (RCE), inyección de comandos, la redirección abierta, encabezado HTTP e inyección del marco.

"Un panorama del desarrollo de software diversificada no ayuda a la seguridad Web"El desglose de las aplicaciones de código abierto por lenguaje de programación, la mayoría de ellos fueron codificados en PHP (326) y ASP / ASP.NET (31). Otros 39 aplicaciones fueron construidas usando una combinación de más de 10 tecnologías diferentes.

Esta diversificación del paisaje de desarrollo de software también puede jugar un papel en el alto número de fallos de seguridad ya que los desarrolladores tienen que ser de forma segura las aplicaciones de código en varios lenguajes y tecnologías fluidez y apto para.

Cuando se trataba de las bases de datos utilizadas para almacenar datos, los investigadores encontraron que MySQL es el más popular, que se utilizan en aplicaciones 337, seguido de MSSQL (29), y SQLite (5). Sorprendentemente, las bases de datos NoSQL no eran tan populares.

"Las cosas no evolucionaron mucho en comparación con hace dos años"Esta investigación es la continuación de un estudio previo realizado en 2014. En aquel entonces, los mismos investigadores escanearon Netsparker 235 aplicaciones Web y aplicaciones vulnerables descubrieron 127 y 181 vulnerabilidades.

Al igual que ahora, XSS encabeza la lista con 117 vulnerabilidades, seguido de SQLi con 39. A continuación se muestra una infografía para obtener resultados cortesía de Netsparker de este año. La infografía 2014 se puede ver aquí.

No comments

Subscribe to: Post Comments ( Atom )