Tapio Särkelä

Tapio Särkelä

The author works as a Cyber Sales Lead in Mint Security. Helping software companies to make Secure DevOps.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

Veracoden vuosittaisessa tietoturvaskannausten tilastoraportissa, State of the Software Security (SOSS), listataan ja analysoidaan sovellusten yleisimpiä tietoturvapuutteita. Tarkastelun tavoitteena on ensisijaisesti auttaa tiimejä löytämään virheet ja puutteet; ja korjaamaan ne. Esimerkiksi OWASP Top 10– tai SANS25– tyyppiset virheet voivat olla vaaraksi sovelluksen tietoturvalle, jos niitä päästään hyödyntämään.

OWASP Top 10 -tietoturvariskien listalla kärjessä ovat erilaiset injektiot. Viimeisten kymmenen vuoden aikana injektioihin liittyvät puutteet ovat olleet koko ajan listalla. Veracoden tilaston mukaan CRLF-injektio löytyi yli 65 % sovelluksista, ja se oli kymmenen yleisimmän puutteen joukossa. Näiden puutteiden korjaus pitäisikin olla aina prioriteettien kärjessä.

Tilasto

Veracode SOSS 11 flaw types statistics

Analyysi

CRLF-injektiot eivät suinkaan ole ainoita tietoturvapuutteita, joita täytyy pitää silmällä. Kuten kuvasta näkyy, myös tietojen vuotaminen ja salaukseen liittyvät ongelmat ovat myös hyvin yleisiä; niitä löytyy lähes kahdesta kolmasosasta sovelluksia. Nämä kolme tietoturvapuutetta — CRLF-injektio, tietojen vuotaminen ja salausongelmat — ovat olleet listalla aina eli viimeiset kymmenen vuotta.

Onneksi on toki olemassa testattuja ja hyväksi todettuja keinoja, joiden avulla yleisimmät tietototurvapuutteet voidaan joko estää tai ainakin korjata. Esimerkiksi CRLF-injektion voi estää enkoodaamalla tulosteen HTTP-headeriin tai kirjautumiskenttiin, jotka muutoin ovat näkyvillä järjestelmänvalvojille ja käyttäjille. SQL-injektion voi estää toteuttamalla parametrisoituja kyselyitä.

Se tosiasia, että em. puutteet toistuvat vuosi vuodelta, nostaa esille tarpeen saada kehittäjille ja kehittäjille riittävästi koulutusta miten tietoturvallisen sovelluskehitystä tehdään. Kehittäjät eivät voi korjata virheitä, jos heillä ei ole tarvittavaa osaamista ja välineitä tehdä sitä.

Työkaluja?

Veracode julkisti viime vuonna Security Labs -opiskeluympäristön, jonka Community Edition -versio on kaikkien käytössä maksutta ja tarjoaa käytännön harjoituksia OWASP Top 10 -haavoittuvuuksien välttämiseen.

Lisää tietoturvapuutteista ja siitä, kuinka pysyviä ne ovat sovelluksissa sekä miten ohjelmointikieli vaikuttaa tietoturvapuutteiden esiintymiseen Veracoden Vulnerability Hall of Fame -verkkosivulta..

Veracode feature picture

Veracode

SAST – Koodin staattinen tarkistus SCA – Kirjastoanalyysi ja inventaario SDLC sovelluskehitysintegraatio Yrityksen koko sovellusportfolion tietoturvariskien hallinta samassa palvelussa Veracoden palvelun avulla voidaan tutkia ja

Lue lisää »
Tapio Särkelä

Tapio Särkelä

The author works as a Cyber Sales Lead in Mint Security. Helping software companies to make Secure DevOps.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.