De nuevo, os traigo una traducción de un curioso artículo que me encontré:
Después de los esfuerzos reiterados de investigadores sobre la seguridad informática, buscadores, empresas de hosting para ayudar a los webmasters a comprender el grado de importancia de los ataques que existen en internet – y en particular el alcance de los métodos usados para explotar páginas webs – los resultados de WhiteHat Security nos dicen que la cosa va a peor.
En un nuevo reporte, WhiteHat – la organización de seguridad sobre aplicaciones web fundada por Jeremiah Grossman – concluye que al menos un 90% de los sitios que ha escaneado en el último año permanecen vulnerables a cualquier tipo de ataque o infección.
El principal problema es es la seguridad de los sitios contra los ataques XSS, según el reporte.
Information leakage – o la habilidad para entrar en áreas en donde se guarda la información sensible – es otro problema serio, según dice la compañía, que reportó una lista de problemas de todos las vulnerabilidades encontradas entre los sitios web que probaron – incluyendo los ataques XSS.
WhiteHat también subrayó el crecimiento de otro tipo de ataques incluyendo SQL Injection y HTTP Response Splitting. Lo peligroso de esos ataques pueden estar directamente relacionado con el uso en alza de la identificación de tecnologías, en lo que a firmas se refiere.
Esta compañía comenta que este tipo de ataques son los menos contemplados e incomprendidos, y que evaden la mayor parte de herramientas de escaneo. Como resultado, los ataques “son muy peligrosos y con consecuencias fatales“, dijo. En un post reciente en su blog, Grossman describió los ataques HTTP Response Splitting como lo siguiente:
“la mejor forma de ver el Response Splitting es que funciona parecido al XSS (Cross Site Scripting), pero es más poderoso.Míralo como si fuera una carta escrita dentro de un sobre. XSS ataca al mensaje de adentro, sin embargo HTTP Response Splitting ataca no sólo al contenido del sobre, sino al sobre en sí“.
“Existen muchas tipos y variaciones de este ataque, lo que hace su identificación todo un desafío , así como encontrar la vulnerabilidad“.
WhiteHat también empezó a advertir a la gente acerca del aumento de la falsificación XSS.
Como parte del reporte anual de WhiteHat la compañía empezó a observar la forma en que las vulnerabilidades parecen ser más populares en las empresas.
Por ejemplo, la compañía encontró que mientras la seguridad web fue débil en general, el sector de venta al público securizó sus URLs mejor que otros mercados. Como en el resto de internet, las vulnerabilidades XSS son seguidas de cerca por la “fuga de información”.
“Estas estadísticas revelan que las vulnerabilidades siguen afectando a los sitios de empresas”, dijo Grossman que lleva el título de CTO en WhiteHat. “Debido al incremento de almacenamiento de información online, WhiteHat permanece alerta advirtiendo a compañías de ataques comunes y enfatizando en la importancia de la seguridad en las páginas web como parte de su postura de seguridad total“.
Posteado por Matt Hines on October 15, 2007 01:23 PM y traducido por Jacob F.P.