In webapplicaties worden steeds meer kwetsbaarheden aangetroffen. Dat komt doordat deze software snel ontwikkeld wordt en populaire modules veel hergebruikt worden. Nu applicaties steeds vaker via een browser aangeboden worden levert dat een gevaarlijke combinatie op.
De mogelijkheden om applicaties te misbruiken zit fors in de lift. Vooral software die via een browser toegankelijk is zit vol met kwetsbaarheden. Beveiligingsspecialist Symantec telde in zijn net verschenen halfjaarlijkse Internet Security Threat Report ruim tweeduizend kwetsbaarheden in software die toegankelijk is via internet. Browsersoftware neemt een belangrijk deel van deze stijging van 18 procent met een half jaar daarvoor voor zijn rekening. “Code schrijven voor internetsoftware is haastwerk net als in het client/server tijdperk. De software is vaak complex omdat het informatie uit heterogene bronnen moet verwerken en er weinig restricties zijn voor het verwerken van informatieverzoeken”, zegt Tom Welling van Symantec. “Het heeft alleen grotere gevolgen doordat internet de applicaties blootstelt aan hackers, maar ook andere centrale ict-voorzieningen zoals de backend als je het over Ajax-technologie hebt die de functionaliteit op de server lokaal aanspreekt in de browser.”
Hergebruik
Ook Righard Zwienenberg van antivirusfabrikant Norman ziet de risico’s van webapplicaties flink groeien. “De user interface library voor Ajax van Yahoo vindt gretig aftrek. Verder zijn er talloze websites met Phpbb succesvol aangevallen door lekken. Hergebruik van dit soort modules zonder een goed patchbeleid is gevaarlijk”, stelt Zwienenberg. De situatie verslechtert doordat software die de kwetsbaarheden uitbuit ruimschoots gepubliceerd wordt op internet doordat hackers hun code steeds vaker gepubliceerd krijgen. Verspreiding via internetadvertenties is een kwestie van tijd.
Een goed voorbeeld vindt hij de recente vector markup language (VML) – kwetsbaarheid in Internet Explorer. Op een kleine honderd websites was code gepubliceerd waarmee de kwetsbaarheid uit te buiten was. Dat er sprake was van een serieuze bedreiging bleek wel uit het feit dat Microsoft buiten zijn maandelijkse aanpassingen om een patch publiceerde. Voordat de patch beschikbaar was kregen Explorer-gebruikers het advies om Javascript uit te zetten. Dit maakt aan de andere kant het interactieve web weer kreupel. Tal van applicaties waaronder internetbankieren werken niet meer als het uitvoeren van Javascript uit staat.