Breaking News

สถิติชี้พบช่องโหว่เพิ่มขึ้นในการพัฒนาแอปพลิเคชันสมัยใหม่

WhiteHat Security ได้จัดทำรายงานที่ศึกษาเกี่ยวกับช่องโหว่สมัยใหม่หรือพวก Agile Development, Micro-service, แอปพลิเคชัน API และ Cloud พบว่ามีแนวโน้มของช่องโหว่เพิ่มขึ้นเมื่อเทียบกับปีก่อนหน้า

Credit: ShutterStock.com

รายงานกล่าวว่าเทรนของ Digital Transformation ทำให้ 70% ของแอปพลิเคชันมีการใช้งานส่วนประกอบจาก Third-party หรือ ซอฟต์แวร์แบบโอเพ่นซอร์สกลับมาใช้งานใหม่ (Reusable) ซึ่งปัญหาคืออาจจะมีการสืบทอดช่องโหว่มาจากส่วนประกอบที่ไม่มั่นคงปลอดภัยมาด้วย นอกจากนี้เทรนใหม่ยังทำให้เกิดคอนเซปต์ DevOps โดยนาย Setu Kulkarni , รองผู้อำนวยการฝ่ายกลยุทธ์ของ Whitehat Security กล่าวว่า “ตอนนี้ DevOps กลายเป็นกระแสหลักแต่ในกระบวนการของงานเหล่านั้นแต่พวกเขายังขาดความใส่ใจในด้านความมั่นคงปลอดภัยและจากการติดตามกระแสนี้ใน 3 ปีหลังเราพบว่าองค์กรต่างพยายามปล่อยแอปพลิเคชันกันออกมาแต่ยังไม่ใส่ใจหรือขาดทักษะด้านความมั่นคงปลอดภัยที่จำเป็น

ช่องโหว่ที่พบในผลสำรวจมีดังนี้

  • ช่องโหว่ของแอปพลิเคชันยอดนิยมคือการเปิดเผยข้อมูล (Information Leakage) สูงถึง 45% ซึ่งเพิ่มขึ้นกว่าเดิม 8% จากปีที่แล้ว
  • Content Spoofing อยู่ที่ 40%
  • Cross site scripting อยู่ที่ 38%
  • ขาดการป้องกันในระดับ Transport Layer ประมาณ 28%
  • ระยะเวลาในการแก้ไขช่องโหว่ของผู้พัฒนาก็เพิ่มขึ้นกว่าเดิม เช่น SQL Injection ใช้เวลาในการอุตช่องโหว่เฉลี่ยถึง 139 วัน เพราะผู้พัฒนามักเลือกแก้ไขช่องโหว่ง่ายก่อนโดยไม่ได้พิจารณาถึงระดับความรุนแรงเป็นสำคัญ

สามารถติดตามรายงานฉบับเต็มชื่อ “The 2018 Application Security Statistics Report: The Evolution of the Secure Software Lifecycle

ที่มา : https://betanews.com/2018/10/04/devops-insecure-apps/ และ https://www.infosecurity-magazine.com/news/devops-producing-more-insecure/

 


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

24 เว็บไซต์ดังถูกแฮ็ก ข้อมูลผู้ใช้กว่า 834 ล้านรายชื่อถูกขายใน Dark Web

เว็บไซต์ The Hacker News ออกมาแจ้งเตือนถึงเหตุการณ์ Data Breach บนเว็บไซต์ชื่อดังรวม 24 เว็บไซต์ ส่งผลให้ข้อมูลส่วนบุคคลของผู้ใช้กว่า 834 ล้านรายชื่อถูกขายบน Dark Web …

เตือนภัยหน้า Facebook Login ปลอมหลอกขโมยรหัสผ่าน ใช้ HTML/Javascript ปลอมตัวเองให้เหมือนหน้าต่าง Browser

หน้า Phishing ปลอมตัวเองเป็น Facebook เพื่อหลอกขโมยชื่อผู้ใช้งานและรหัสผ่านนั้นเป็นแนวคิดที่เราพบเจอกันมานาน และหากตั้งใจสังเกตความผิดปกติในจุดต่างๆ นั้นก็พอจะสามารถหลบเลี่ยงจากการถูกหลอกได้ แต่ในครั้งนี้นักวิจัยด้าน Security ได้ค้นพบหน้า Facebook Login ปลอมแบบใหม่ที่สมจริงมากๆ ด้วยการใช้ HTML/Javascript มาปลอมตัวเองให้เหมือนเป็นหน้าต่างของ Browser ที่เราใช้งาน และแสดง URL แบบปลอมๆ เสมือนว่าเป็นเว็บจริง ทำให้ยากต่อการสังเกตและป้องกันตัวเองขึ้นไปอีก