SIKKERHET

Glem nulldagssårbarheter – SQL-injisering er fortsatt et stort problem

Mange av sårbarhetene på OWASPs topp 10-liste over web-app-trusler for 2017, var der også i 2007.

Illustrasjonsfoto.
Illustrasjonsfoto. Bilde: Colourbox
Jacob Møllerhøj, <a href="https://version2.dk">version2.dk</a>
30. okt. 2017 - 13:33

Reddit/programming har et et innlegg hos HPE fra Alan Zeichick, analytiker hos Camden Associates, fått mye oppmerksomhet. 

Innlegget bærer tittelen «The OWASP Top 10 is killing me, and killing you!» og handler om topp 10-listen over kritiske web-sårbarheter som Open Web Application Security Project (OWASP) setter sammen med jevne mellomrom.

Listen blir blant annet til via innspill fra bransjen. Du kan lese mer om hvordan den er blitt til her.

OWASP er kort fortalt en «community-drevet» organisasjon som, som navnet antyder, arbeider med å forbedre sikkerheten i programvare. Det skjer blant annet i form av flere guider med «best practice», som kan leses gratis på organisasjonens hjemmeside.

For øyeblikket holder man på å lage en 2017-liste. Den ligger her i release candidate 2 (PDF). Release candidate vil si at det foreløpig er et utkast.

Zeichick bemerker spesielt at mange web-app-sårbarheter på utkastet til 2017-listen også var å finne på listen fra 2007. 

Følgende fire sårbarheter sto på både listen fra 2007 og 2017: 

Det er ingen aksepterbar unnskyldning

Alan Zeichick peker i den forbindelse på at de fleste utviklere nok grunnleggende vet at en web-app selvfølgelig skal kodes slik at den ikke er sårbar overfor SQL-injiseringer. Men likevel skjer det altså igjen og igjen, også i 2017, at systemer blir kompromittert via nettopp injiseringer.

– Det er ingen akseptabel unnskyldning for injiseringer. Jeg har hørt utviklere unnskylde seg med at «verktøyene mine burde detektere injiseringer». Nei, nei, nei. Det er ikke jobben til verktøyene å sikre at utviklere aldri gjør idiotiske feil, skriver Zeichick i innlegget, og fortsetter:

– Det å ikke validere input og alle data sendt fra klient-side websider er en idiotisk feil. Det er mye jobb, men det må gjøres – og ærlig talt, ledere må bli strengere på å sørge for at programmerere og testere detekterer injisering. 

OWASP har en guide til hvordan generelle injiseringer og SQL-injiseringer kan forhindres her og her.

Senere i innlegget peker Zeichick på at det ikke gir mening når organisasjoner på den ene siden bekymrer seg for nulldagssårbarheter, mens de på den annen side ikke har sikret seg mot banale injiserings-angrep.

– Det er ingen vits å installere et sofistikert alarmsystem i bilen hvis du ikke låser døren eller lar vinduene være åpne og har nøkkelen i koppeholderen, skriver Zeichick.

Les også: Sykehus måtte avlyse 7000 pasientavtaler på grunn av Wannacry – måtte kommunisere med Whatsapp (version2.dk)

Han har til slutt noen råd til ledere som vil forhindre for eksempel SQL-injiserings-sårbarheter.

– Skap en kultur for å skrive og rulle ut sikker kode, lyder ett av rådene. Det kan nok være lettere sagt enn gjort.

Saken er først publisert på version2.dk

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.