Secondo il report Web Application Vulnerabilities and Threats: Statistics for 2019, rilasciato di recente da Positive Technologies, società specializzata nel fornire soluzioni enterprise per la sicurezza e la conformità, 9 volte su 10 gli hacker sono in grado di attaccare i visitatori di un sito.
Gli esperti di Positive Technologies hanno anche evidenziato che il 16 percento delle applicazioni contiene vulnerabilità che consentono agli aggressori di assumere il pieno controllo del sistema e che, sull’8 percento dei sistemi, il pieno controllo del web application server ha consentito di attaccare la rete locale.
Con l’accesso completo al web server, gli hacker possono anche posizionare i propri contenuti sul sito attaccato (deface) o persino attaccare i visitatori del sito, ad esempio infettando i loro computer con malware.
Gli esperti di Positive Technologies hanno analizzato 38 applicazioni web completamente funzionali di organizzazioni finanziarie (26% del numero totale di app analizzate), istituzioni statali (8%), società IT (29%), telco (21%) e industria (16%).
Il livello di sicurezza delle applicazioni web è stato misurato da Positive Technologies con test e valutazioni, e assegnato in base al potenziale impatto sul particolare sistema in questione, nel contesto del tipo di informazioni elaborate.
Le applicazioni web degli istituti finanziari, nel report, hanno fatto registrare la migliore sicurezza nel 2019: nessun sistema in questo settore ha ricevuto un rating di sicurezza “poor” o “extremely poor”. Le applicazioni web delle istituzioni statali sono state invece le meno sicure: tutte contenevano vulnerabilità ad alto rischio e la loro sicurezza è stata classificata come “poor” o “below average”.
La percentuale di applicazioni web contenenti vulnerabilità ad alto rischio, sempre secondo il report di Positive Technologies, nel 2019 è diminuita in modo significativo, di 17 punti percentuali rispetto all’anno precedente. Anche la media di vulnerabilità gravi per applicazione web è diminuito di quasi 1,5 volte. Tuttavia, il livello di sicurezza complessivo delle web application rimane scarso.
Secondo gli esperti di Positive Technologies, infatti, la metà dei siti web in produzione presentava vulnerabilità ad alto rischio. Inoltre, l’82% delle vulnerabilità si trovava nel codice dell’applicazione. L’elevata percentuale di errori nel codice sorgente suggerisce che non viene verificata la vulnerabilità del codice durante lo sviluppo. Secondo Positive Technologies, ciò indica che gli sviluppatori trattano la sicurezza in modo sbrigativo, concentrandosi invece sulla funzionalità dell’app.
Un’autenticazione non blindata è stata rilevata nel 45 percento delle applicazioni web e molte vulnerabilità in questa categoria sono classificate come critiche.
Positive Technologies sottolinea che l’autenticazione solo con password è un fattore che contribuisce alla maggior parte degli attacchi. La mancanza dell’autenticazione a due fattori rende gli attacchi molto facili e gli utenti tendono a usare password deboli, il che peggiora le cose. Il bypass delle restrizioni di accesso di solito porta alla divulgazione, alla modifica o alla distruzione non autorizzate dei dati.
Il dato forse più preoccupante è che, sempre secondo gli esperti di Positive Technologies, il 90 percento delle applicazioni web è vulnerabile agli attacchi ai client. Il Cross-Site Scripting (XSS) rimane una vulnerabilità significativa, come negli anni precedenti.
Gli attacchi contro gli utenti includono l’infezione di computer con malware (la percentuale di questo tipo di attacchi alle persone è salita al 62% nel terzo trimestre del 2019, rispetto al 50% nel secondo trimestre), gli attacchi di phishing volti a ottenere credenziali o altri dati importanti, e proporsi come utente legittimo tramite clickjacking per aumentare like e visualizzazioni.
Il report completo Web Application Vulnerabilities and Threats: Statistics for 2019 può essere consultato sul sito di Positive Technologies.