WEB i aplikativna bezbednost
Zaštita web aplikacija
Zaštita web aplikacija predstavlja jedan neprestani proces, koji uključuje ljude i praksu, te se može reći da je to put, a ne destinacija. Kao što se analiziraju aplikacije i infrastruktura koju one koriste, tako je potrebno identifikovati i analizirati moguće pretnje i klasifikovati ih kao odredjeni stepen rizika. To znači da zaštita podrazumeva bavljenje kontrolom rizika i primenu kontramera.
Ranjivost web aplikacija
Kompanije uglavnom primenjuju osnovna rešenja za zaštitu svih servisa, a to su firewall i IPS. Osnovnim sigurnosnim rešenjima kompanijska web aplikacija nije u potpunosti zaštićena od napada sa interneta, jer firewall i IPS rešenja ne čitaju upite na aplikativnom nivou, već proveravaju da li HTTP funkcioniše po RFC standardima i primenjuju generičke polise za zaštitu.
Firewall i IPS nisu dovoljni
Firewall i IPS nisu dovoljni ako ne postoji mehanizam za proveru korisničkog unosa. To znači da, na primer, za forme koje omogućavaju korisnicima da se loguju mora postojati mehanizam provere da li korisnik u predvidjena polja unosi niz slovnih znakova, a ne specijalne znake koji bi mogli predstavljati komande kojima zlonamerni korisnik pokušava da, na primer, komunicira sa bazom podataka.
Unos korisničkih podataka
Sa web aplikacijama, gde uvek postoji opcija logovanja kako bi se korisnik registrovao i autorizovao za pristup odredjenom sadržaju, potrebno je jednostavno pratiti korisnika i to se najčešće izvodi tzv. „kolačićima“ (engl. cookies).
Nedovoljno dobro rešenje za upravljanje „kolačićima“, u smislu čuvanja, enkripcije i provere vremena trajanja, gde postoji mogućnost da se posebnim alatima, nakon velikog broja pokušaja, uspešno pogodi prosta kombinacija kredencijala za logovanje, predstavlja preduslov za uspešnost napada kojima se dobija privilegovan pristup aplikaciji.
Upravo opisani primeri napada navode na zaključak da kompanije treba da usvoje odgovarajuća rešenja za zaštitu aplikacija, jer će njihov ugled izmedju ostalog zavisiti i od toga da li im korisnici mogu verovati.