NCC Group ผู้ให้บริการประกันภัยของข้อมูลได้จัดทำรายงานที่เกี่ยวกับช่องโหว่ของเว็บตลอด 9 ปีที่ผ่านมาพบว่าช่องโหว่ยอดนิยมอันดับหนึ่งคือ XSS หรือ cross-site-scripting ถึงแม้ว่าช่องโหว่นี้จะเป็นเรื่องเก่าที่เข้าใจกันมานานแล้วก็ตาม
XSS คือช่องโหว่ที่ทำให้ผู้โจมตีสามารถ inject โค้ดอันตรายเข้ามายังเว็บไซต์หรือบราวน์เซอร์ของเหยื่อ ซึ่งครองแชมป์สูงสุดถึง 18% จากช่องโหว่ทั้งหมดตลอดข้อมูล 9 ปีของการศึกษา สวนทางกับช่องโหว่อื่นๆ ที่มีสถิติน้อยลง เช่น Format String (ช่องโหว่ที่รับคำสั่งแอปพลิเคชันในช่อง input ไปประมวลผลได้) หรือช่องโหว่ที่เกี่ยวข้องกับหน่วยความจำ Matt Lewis ผู้อำนวยการของ NCC Group กล่าวว่า “ช่องโหว่หลายอย่างเลือนหายไปตามกาลเวลาแต่ XSS มีมานานกว่า 20 ปีแล้ว เราควรจะให้ความสำคัญและศึกษาช่องโหว่เหล่านี้เป็นส่วนหนึ่งในกระบวนการพัฒนาซอฟต์แวร์”
นอกจากนี้ผลการศึกษายังได้เผยถึงช่องโหว่กว่า 53 ประเภทและพบว่ามีจำนวนเพิ่มขึ้นในแอปพลิเคชันและฮาร์ดแวร์ที่ซับซ้อน เช่น Deserailization (ใช้ข้อมูลที่ไม่คาดคิดกับลอจิกของแอปพลิเคชันที่อาจนำไปสู่การเกิด DoS และ Execute โค้ด) หรือ การควบคุมด้วยการพิสูจน์ตัวตนทำได้ไม่ดีพอ เป็นต้น โดยในงานรายงานยังได้พบว่ามีจำนวนของช่องโหว่เพิ่มขึ้นใน Embedded System และ IoT อีกด้วย ซึ่ง Matt กล่าวปิดท้ายว่า “เราค้นพบวิธีการโจมตีแบบใหม่หลากหลายวิธีเช่นเดียวกับที่แอปพลิเคชันและระบบมีความซับซ้อนมากยิ่งขึ้น ดังนั้นธุรกิจต่างๆ ควรจะต้องลงทุนกับการพัฒนาทักษะด้านการรักษาความมั่นคงปลอดภัยและการบรรเทาปัญหาให้มากกว่านี้”
ที่มา : https://www.helpnetsecurity.com/2018/07/27/web-based-vulnerabilities-still-prevalent/