Хакер #305. Многошаговые SQL-инъекции
Veracode запускает новый сервис чтобы помочь компаниям устранить такие
уязвимости, как XSS и SQL-инъекции, в своих веб-приложениях.
Компания сообщила, что сервис Dynamic MP позволит клиентам быстро сканировать
веб-приложения на наличие уязвимостей, которые часто используются
злоумышленниками для взлома серверов и кражи данных.
Сэм Кинг, старший вице-президент по маркетингу в Veracode, сообщил, что
интерес к SQL и XSS уязвимостям возрос после того, как хакерские группировки,
такие как LulzSec, использовали данные уязвимости для атак, приведших к огромным
информационным брешам.
"Они не хотят стать следующей Sony", - пояснил Кинг. "В результате всех этих
взломов, которые произошли в последние месяцы, возрос уровень беспокойства о
том, что уязвимости с высочайшим риском находятся в фронт-энд приложениях".
Однако трудность, с которой сталкиваются многие фирмы, представляет сам
процесс тестирования. Тестирование
приложений на наличие уязвимостей может потребовать большого количества времени
и ресурсов, делая полное сканирование всех приложений для многих фирм
невозможным.
Veracode надеется устранить проблему путем перемещения движка для анализа
безопасности в облачную платформу. По словам Кинга, результатом будет являться
параллельная система, которая сможет намного эффективнее сканировать код на
наличие уязвимостей.
"Сканирование, которое может занять недели и месяцы, теперь может быть
выполнено за несколько часов или дней", - сообщил Кинг. "Ты не можешь достичь
таких масштабов и эффективности, если используешь решения, размещенные в
пределах организации".
Veracode предлагает сервис Dynamic MP по цене $150 за сайт с минимальным
приобретением 500 сайтов.