พบเว็บแอพพลิเคชั่นมีช่องช่องโหว่ที่รุนแรงถึง 94%

จากการทดสอบโดยบริษัทด้านความปลอดภัย Positive Technologies เกี่ยวกับ “Automated Code Analysis: Web Application Vulnerabilities in 2017” (การวิเคราะห์รหัสอัตโนมัติ: ช่องโหว่เว็บแอพพลิเคชั่นปี 2017) ซึ่งได้ทำการทดสอบทุกเว็บแอพพลิเคชั่น พบช่องโหว่ที่มีความรุนแรงถึง 94% โดด 85% เป็นช่องโหว่ที่ทำให้สามารถติดเชื้อได้

Positive Technologies ได้ทำการทดสอบเว็บแอพพลิเคชั่นที่มีให้บริการอยู่ในปัจจุบัน กับที่ใช้งานเฉพาะในภาคธุรกิจเท่านั้น ผสการตรวจสอบพบว่า เว็บแอพพลิเคชั่นที่ทำการทดสอบนั้นมีโค้ดที่เข้าถึงได้ง่าย, มีการตั้งค่าที่อ่อน และไม่มีการอัพเดทแพตช์ของซอฟต์แวร์

โดยช่องโหว่ที่พบมากที่สุดคือ cross-site scripting (XSS) คิดเป็นร้อยละ 80 อันดับสองคือ HTTP response splitting (เป็นการบังคับให้เครื่องบริการเว็บสร้าง HTTP response หลายอัน) คิดเป็นร้อยละ 52 และอันดับสามคือ arbitrary file reading (ช่องโหว่ของ web application ที่ทำให้ Hacker สามารถอ่านไฟล์ได้) คิดเป็นร้อยละ 52

ผลของการโจมตีช่องโหว่เหล่านี้ ที่พบเป็นอันดับก็คือ เงื่อนไขปฏิเสธการให้บริการ (DoS- เป็นการพยายามทำให้เครื่องหรือทรัพยากรเครือข่ายสำหรับผู้ใช้เป้าหมายใช้บริการไม่ได้ ) คิดเป็น 70% ซึ่งเป็นช่องโหว่ที่มีความรุนแรงระดับปานกลาง ส่วนช่องโหว่ที่มีความรุนแรงระดับสูงมีทั้งหมด 4 แบบ ได้แก่ arbitrary file reading (เข้าอ่านไฟล์ได้โดยพลการ) 61% อันดับสอง คือ operating system (OS) commanding (สร้างคำสั่งใน operating system (OS)) ซึ่งคิดเป็น 55% อันดับที่ 3 unauthorized database access(อนุญาติให้ใครๆ เข้าถึงฐานข้อมูลได้โดยไม่ได้รับอนุญาติ) คิดเป็น 45% และการลบ หรือแก้ไขไฟล์เซิร์ฟเวอร์ คิดเป็น 42%

Positive Technologies พบว่าเว็บแอพลิเคชั่นที่ใช้ในภาคอุตสาหกรรมมีช่องโหว่มากที่สุด โดยอันดับ 1 คือแอพพลิเคชั่นที่เกี่ยวกับการเงินซึ่งคิดเป็น 100% อันดับรองลงมาก็คือแอพพลิเคชั่นที่เกี่ยวกับหน่วยงานของรัฐ คิดเป็น 83% และอันดับสามได้แก่ e-commerce software คิดเป็น 75%

Leigh-Anne Galloway หัวหน้ารักษาความปลอดภัยทางไซเบอร์ของ Positive Technologies กล่าวว่า จำนวนช่องโหว่ที่พบจำนวนมากนั้น ถือว่าเป็นโชคดีของเหล่าบรรดา Hacker ที่จะใช้ประโยชน์จากช่องโหว่นี้เข้าถึงข้อมูลภายในได้ แต่ก็ถือเป็นโชคดีที่ช่องโหว่ส่วนใหญ่พบก่อนที่จะเกิดการโจมตี

ตามรายงานกล่าวว่าการป้องกันช่องโหว่ของโค้ดของแอพพลิเคชั่นยังไม่ดีพอ จึงแนะนำให้องค์กรใช้อุปกรณ์รักษาความปลอดภัย เช่น Firewalls (WAFs)

ที่มา : Security Intelligence Security