Apesar de ser fácil achar e consertar, bugs XSS agora somam mais da metade de toda a vulnerabilidade de aplicativos da web
De acordo com o aplicativo de teste de segurança do fornecedor Veracode, os erros cross-site scripting (XSS) são agora responsáveis por mais da metade de todas as vulnerabilidades dos aplicativos da web. Quando presentes, tais erros podem ser explorados por atacadores para passar o controle de segurança e executar scripts maliciosos através do navegador do usuário.
Entretanto, muitos dos erros XSS poderiam ser prevenidos ao asseguar a prática de técnicas de codificação de segurança aos programadores. “Nós acreditamos que muitos dos erros XSS são simples e fáceis de se corrigir, e que muito pode ser feito para reduzir significativamente a sua ocorrência”, disse Matt Mounahan, CEO da Veracode em um comunicado. “Programadores e equipes de produto de segurança devem ter mais responsabilidade para escrever códigos melhores”.
Em primeiro lugar, não introduzir erros XSS é um processo relativamente simples, embora exija um adiantamento por parte dos programadores. De acordo com o Open Web Application Security Project (OWASP), “as falhas XSS ocorrem sempre que uma aplicação obtém as informações não confiáveis de dados e as envia para um navegador sem a devida validação e escapamento”, por escapamento se referindo a remover ou bloquear caracteres que podem ser usados para iniciar um ataque.
Saiba mais sobre gestão de segurança. Visite o espaço de Gilberto Mota, blogueiro do IT Web.
Inúmeros fornecedores de software agora vendem ferramentas de testes de segurança para ajudar a assegurar que os desenvolvedores validem corretamente seu código, entre outros itens essenciais. De acordo com o Gartner Group, tais fornecedores incluem: HP, IBM, Veracode, Armorize Technologies, Checkmarx, Coverity, GrammaTech, Koicwork, e Parasoft.
No entanto, muitos desenvolvedores de software priorizam o tempo de colocação no mercado sobre codificação segura. Como resultado, mesmo erros fáceis de se prevenir, tais como não bloquear ataques de injeção ou bugs XSS, tornaram-se endêmicos. Isso, apesar de inúmeros estudos que apontam que remediar bugs de software no estágio inicial de desenvolvimento custa bem menos, especialmente antes de o código entrar em produção.
Quando percebidos cedo o suficiente no ciclo de desenvolvimento do software, muitos consertos dos códigos são relativamente fáceis. De acordo com Chris Eng, diretor sênior de pesquisa de segurança da Veracode, “nós vemos milhares – às vezes dezenas de milhares – de vulnerabilidades do XSS por semana. Muitos desses que nós descrevemos como ‘triviais’ e podem ser corrigidos com uma única linha de código”.
A Veracode diz que o tempo médio necessário para corrigir um bug do XSS, baseados em empresas que utilizam o serviço de código de verificação antes e depois de o corrigir, foi de 16 dias.
Mas se necessário, as correções podem ser feitas rapidamente, como já aconteceu na sequência de explorações contra web sites, tais como Facebook e Twitter. “Algumas vezes essas companhias fazem essas correções XSS em questões de horas. Seus programadores são tão melhores assim? Claro que não. A diferença é quão sério a empresa leva o assunto. Quando eles acreditam ser importante, pode acreditar que será consertado”, disse Eng.
Saiba mais:
[iGadgets] Especial Apps para iPhone e iPad
Especialista ensina a criar aplicativos para iPhone
Segurança: 5 dicas para ajudar na escolha da tecnologia
ð Você tem Twitter? Então, siga http://twitter.com/IT_Web e fique por dentro das principais notícias de TI e telecom.
