براساس آخرین آمار و گزارشی که از سوی شرکت امنیتی Imperva منتشر شده، به برخی از نرمافزارهای کاربردی تحت Web بیش از 25 هزار حمله در ساعت صورت میگیرد. این حملات توسط افراد خلافکار با راهاندازی شبکههای مخرب (Botnet) و با استفاده از ابزارهای خودکار، به صورت گسترده و یکپارچه انجام می شود.
این آمار و گزارش براساس شش ماه تحقیق بر روی 30 نرمافزار کاربردی تحت Web و بررسی 10 میلیون حمله، تهیه شده است. تعداد حملات به این نرمافزارهای کاربردی به طور متوسط 27 حمله در ساعت است که به 25 هزار حمله درساعت هم میرسد.
چهار روش رایج حمله عبارت است از : Directory Traversal به میزان 37 درصد، Cross Site Scripting به میزان 36 درصد، SQL Injection به میزان 23 درصد و Remote File Inclusion به میزان 4 درصد. در بسیاری از حملات، از چندین روش به طور همزمان استفاده میشود.
بیشتر این حملات نیز از کشور آمریکا سرچشمه می گیرند. 61% از حملات از طریق شبکه های مخربی است که در داخل آمریکا ایجاد شده اند. کشور چین با 10% در جایگاه دوم قرار دارد. دو کشور سوئد و فرانسه نیز در جایگاه های بعدی قرار گرفته اند.
بسیاری از شرکتها و سازمانها توجه خود را به ضدویروس و محافظت از شبکه محلی متمرکز کرده و از امنیت لایه نرمافزارهای کاربردی غافل میشوند. در مقابل بسیاری از خلافکاران و نفوذگران به دنبال این لایه از شبکه سازمانی هستند. این نرمافزارهای کاربردی به گونهای طراحی شدهاند که از طرف اینترنت قابل دسترس باشند و نفوذگران از همین قابلیت دسترسی سوءاستفاده میکنند تا به درون شبکه سازمان راه پیدا کنند.
علاوه بر خبرهای متنوع درباره فعالیت گروه های خرابکار و نفوذی مانند LulzSec و Anonymous که به دنبال بهرهبرداری سیاسی و اجتماعی از فعالیتهای خرابکارانه خود هستند، هزاران حمله و نفوذ دیگر، بی سر و صدا در حال انجام هستند و اغلب آنها با اهداف مالی صورت میگیرند.
حتی در صورت استفاده از بهترین شیوههای برنامه نویسی، در نرمافزارهای گسترده و پیچیده همیشه احتمال وجود نقاط ضعف و حفره های امنیتی را باید در نظر گرفت. با به کارگیری ابزار خودکار توسط افراد خرابکار و با صبر و حوصلهای که این افراد بیکار دارند، بالاخره دیر یا زود، یکی از این حفرههای امنیتی نرمافزار کشف شده و مورد سوءاستفاده قرار خواهد گرفت.
البته امروزه، شیوههای برنامهنویسی پیشرفت قابل ملاحظهای کرده و همچنین آزمونهای نفوذپذیری و کشف نقاط ضعف امنیتی که از سوی سازمانها و شرکتها صورت میگیرد، به میزان قابل توجهی، امنیت نرمافزارهای کاربردی تحت Web را افزایش داده است. یکی دیگر از روشهای پیشگیری در این زمینه، استفاده از ابزارهایی است که این نوع حملات را قبل از اینکه وارد نرمافزارها شوند، شناسایی کرده و مانع از فعالیت آنها گردند. اینگونه ابزارهای امنیتی امروزه با نام عمومی Web Application Firewall شناخته میشوند.
گزارش کامل شرکت Imperva را می توان از طریق نشانی زیر دریافت و مطالعه کرد.
http://www.imperva.com/docs/HII_Web_Application_Attack_Report_Ed1.pdf