Internet je neskončen prostor informacij, brez katerega si danes ne znamo več predstavljati našega vsakdana. Uporabljamo ga za pridobivanje novih znanj, komunikacijo v zasebni in poslovni sferi, kot raziskovalno orodje in ne nazadnje za ogled zabavnih vsebin.

Zaradi njegove vseprisotnosti pa je tudi zatočišče številnih nepridipravov, ki tam iščejo načine, kako se okoristiti na račun drugih uporabnikov. Takšnih »temnih kotičkov«, kjer lahko hitro postanete žrtev je veliko, enega glavnih pa predstavljajo spletne aplikacije. Te so v zadnjih letih doživele velik razvoj, saj jih za povezovanje s svojimi uporabniki preko interneta ali zasebnih omrežij uporablja vedno več informacijskih sistemov.

Ampak najprej poglejmo, kaj spletne aplikacije točno so. Spletna aplikacija je vsaka aplikacija, ko je za dostop do aplikacije, podatkov in vsebine potrebna uporaba spletnega brskalnika. Gre za vse aplikacije od klasičnih spletnih strani podjetja in spletnega dostopa do elektronske pošte, spletnega vmesnika za sharepoint, do elektronske banke.

Odprta vrata za spletne nepridiprave
Njihova razširjena uporaba na vseh področjih je tako postala tudi ena najbolj vročih točk za nepridiprave, ki so v zadnjih letih usmerili svoje znanje v iskanje pomanjkljivosti spletnih aplikacij. Ob tem bi težko rekli, da so tehnologije in protokoli, ki se uporabljajo znotraj njih že sami po sebi varnostno pomanjkljivejši, imajo pa določene lastnosti, ki jih glede varnosti postavljajo v slabši položaj, posebej zato, ker se jih uporabniki in (včasih) tudi razvijalci ne zavedajo dovolj.

Kot navaja nedavna varnostna raziskava ameriške telekomunikacijske družbe Verizon, ki vključuje analizo več kot 100.000 varnostnih incidentov, pa prav zlonamerni napadi na spletne aplikacije veljajo za najhujše, saj v velikem številu rezultirajo v kraji podatkov. Od vseh obravnavanih primerov kraje podatkov, jih je kar 40 odstotkov padlo na pleča spletnih aplikacij, ki tako predstavljajo tudi največji vir za izgubo podatkov.

Po navedbah raziskave bo ta negativni trend v prihodnosti še rasel, spletne aplikacije pa bodo predstavljale vedno bolj ranljivo vstopno točko za nepridiprave (za boljše razumevanje slike: število kršitev varnostnih podatkov preko napada na spletne aplikacije je v zadnjih dveh letih skočilo iz 7 na 40 odstotkov).

Dotična raziskava lahko podjetjem služi kot odlična smernica, ki želijo obvarovati svoje imetje pred številnimi nevšečnostmi in preprečiti nepooblaščene vstope do njihovih spletnih aplikacij. Zato smo v 10 točkah za vas pripravili pregled glavnih varnostnih izzivov, ki jih spletne aplikacije prinašajo:

• Varnost ne sme sloneti na predpostavki, da napadalec ne pozna naše spletne aplikacije.
• Karkoli pride do centralne aplikacije s strani uporabnika moramo privzeti kot »neočiščeno« in »nevarno«.
• Sistem avtentikacije oziroma vedenje aplikacije, kateri paketi (ne)pripadajo avtenticiranemu uporabniku, je lahko zelo zahteven in tipična tarča napadalcev.
• Prijavna okna so vedno magnet za napadalca. Preprečiti napadalcu »brute force« napad ni tako enostavno, kot se zdi na prvi pogled.
• »SQL injection« je zelo resna grožnja. Kadarkoli se aplikacija vsaj približno povezuje z bazami, je potrebno to grožnjo upoštevati.
• Uporaba sistemskih ukazov v skriptah je zelo nezaželena.
• XSS je realna grožnja. Če se le da, v aplikacijah vnose uporabnikov nikoli ne prikazujemo na ekranu.
• Spletne aplikacije so kompleksne. Vsaka nova funkcionalnost prinaša nov moment v logiki aplikacije. Kompleksnejša kot je logika, večje so možnosti zlorabe.
• Spletne aplikacije so mnogokrat modularne in prehod uporabnikov iz enega v drug modul je tipična tarča napadalcev.
• Ne usmerjajmo celotne skrbi za spletno aplikacijo zgolj v aplikacijo. Potencialno nevarni so tudi sistemi, na katerih aplikacija sloni.