A bankok, a nagyvállalatok és a webshopok álma

3 perc olvasás

2012.május.04. péntek. EuroAstra - Petrásovits Zoltán

<p style="text-align: justify; line-height: 150%" class="MsoNormal"><span class="inline inline-left"><a href="/node/60528"><img class="image image-thumbnail" src="/files/images/images_691.thumbnail.jpeg" border="0" width="100" height="71" /></a></span><span style="font-size: 12pt; line-height: 150%; font-family: 'Times New Roman'">A bankok, a virtuális bankszámlák, a nagyvállalatok, a webshopok és a legtöbb, alkalmazásokat futtató szolgáltatók weboldalai gyenge pontjai a vállalatok információs technológiai rendszereinek. A weboldalak 70%-án olyan biztonsági rések találhatóak, amelyek közvetlenül veszélyeztetik a vállalatok értékes adatait.</span>

A bankok, a virtuális bankszámlák, a nagyvállalatok, a webshopok és a legtöbb, alkalmazásokat futtató szolgáltatók weboldalai gyenge pontjai a vállalatok információs technológiai rendszereinek. A weboldalak 70%-án olyan biztonsági rések találhatóak, amelyek közvetlenül veszélyeztetik a vállalatok értékes adatait.

A bejelentkezési oldalak, a vásárlási platformok, a fórumok, a chat alkalmazások és a dinamikus tartalmak olyan áthatolható réseket nyitnak egy-egy vállalat IT rendszerén, amelyeket a tehetséges hekkerek előszeretettel használnak ki adott cég adataihoz való hozzáféréshez.

A támadásokat általában a 80/433-as porton hajtják végre a tűzfalon keresztül, az operációs és a hálózatbiztonsági rendszer mentén, így eljutnak az alkalmazás, valamint a vállalati adatok központjába.

Az internetes alkalmazások az esetek több mint kétharmadában nem megfelelő gondossággal kerülnek tesztelésre, ugyanis kevés esetben áll rendelkezésre egy szofisztikált keresőmotor, amely átfogó képet adhat a szakembereknek a lehetséges behatolási pontokról, hibákról.

Az elemzők a világ leghatékonyabb analitikai eszközeként az Acunetix Web Vulnerability Scanner (WVS) alkalmazást tartják, amely beépül a vizsgált honlap rendszerébe, és nincs olyan rés, amelyet fel ne fedezne. Precíz keresést biztosít a forráskódban elhelyezett szenzorok visszajelzései alapján, automatikus JavaScript elemző segítségével tesztelhetőek az Ajax és Web 2.0 alkalmazások, a legfejlettebb SQL befecskendezés és XSS teszterrel rendelkezik, egyszerűen tesztelhetőek a webes űrlapok és a jelszóval védett területek (vizuális makró-rögzítő segítségével), kiemelt gyorsasággal képes oldalak ezreit vizsgálni (az oldalak működésének akadályozása nélkül), olyan komplex internetes technológiákat is képes kezelni, mint a SOAP, XML, AJAX, JSON.

A program felfedezi a réseket, hibákat, majd pillanatnyi tűzfalat állít fel, így a vállalat szakembere (vagy a hazai forgalmazó, amennyiben e szolgáltatással egybekötött megrendelés történik) forráskód szinten ki is tud javítani.

Gyebnár Gergő, a magyarországi IT biztonsági forgalmazó cég szakértője elmondta: „Hazánkban egyelőre egyetlen vállalat használja ezt a szoftvert, ami annak tudható be, hogy speciális szakértelmet igényel, éppen ezért (a nemzetközi gyakorlat alapján), egy úgynevezett felügyeleti szolgáltatás kíséretében bocsátjuk a vállalatok rendelkezésre.”