Notícias Relacionadas

• Falha faz Fnac vender TVs de LCD e notebooks por 9,90 reais no site
• Microsoft divulga cinco correções críticas no Patch Tuesday
• Livros com temática gay desaparecem do catálogo da Amazon.com
• Pane do Speedy: Telefônica diz que foi alvo de "ações externas"
• Nova ferramenta indica se computador está infectado com Conficker

Problemas no desenvolvimento de aplicativos web são responsáveis por mais de 96% das falhas críticas em sites de negócios, informa uma pesquisa do Web Application Security Consortium (WASC), um consórcio internacional que reúne especialistas na área de segurança de aplicações.

Os testes realizados pelo WASC mostraram que as vulnerabilidades predominantes são divididas em dois grupos: os problemas derivados de Cross-site Scripting (XSS) e SQL Injection ocorrem por erros do sistema (o primeiro é uma vulnerabilidade que permite que crackers insiram códigos maliciosos dentro do código do site e geralmente é usado em ataques phishing  para roubar dados dos usuários enquanto o segundo é uma técnica usada por criminosos para executar comandos não autorizados, como manipular a entrada de dados em uma aplicação). O outro grupo seria o de falhas denominadas como Information Leakage e Predictable Resource Location, que ocorrem em função de uma administração imprópria do sistema, como nos casos de um fraco controle de acesso.

Em um site de comércio eletrônico, por exemplo, uma vulnerabilidade no SQL Injection pode ser explorada por criminosos para o roubo de informações, como dados pessoais ou de cartão de crédito.

A empresa de segurança Cipher alerta que a maioria das falhas dos sites está na validação de entrada de dados, ou seja, nos campos onde o usuário pode preencher login e senha ou inserir dados para transferir dinheiro de uma conta bancária em um internet banking. Os sites precisariam prever a inserção de dados incorretos ou inesperados – o que pode representar um golpe online.

Para corrigir tais problemas, afirma a Cipher, os principais responsáveis seriam os desenvolvedores, que precisariam usar técnicas de desenvolvimento seguro. Adicionalmente, as organizações podem utilizar firewalls de aplicação para bloquear ataques nos aplicativos e manter os programas sempre atualizados com as correções oferecidas pelos fabricantes, além de realizar testes de vulnerabilidades e de invasão regularmente.