Diversos aplicativos web, principalmente do setor de comércio eletrônico, apresentam vulnerabilidades críticas de segurança, segundo uma pesquisa da N-Stalker Labs. Cerca de 75% apresentaram falhas, sendo que 50% tinham pelo menos uma falha no padrão aberto e disponível para desenvolvedores, o Open Web Application Security Project (OWASP).

O laboratório, liderado pelo pesquisador brasileiro Thiago Zaninotti, analisou uma amostra de mil aplicativos web em organizações de diferentes segmentos da indústria, sendo 50% US/Canada, 30% Europa e 20% de outros países, em 2012 e 2013.

Segundo o estudo, em todas as aplicações existiam oportunidade de melhorias na segurança. Mesmo assim, 60% das organizações só realizaram testes depois de incidentes e, destas, 20% já sabiam dos problemas antes dos testes. “Percebemos que há problemas em toda as fases de desenvolvimento dos aplicativos web,” comenta Zaninotti.

Vulnerabilidades

As três principais vulnerabilidades encontradas nos apps foram: cross-site scripting ou XSS; exposição de informações sensíveis e controle de acesso insuficiente. Em termos práticos, as vulnerabilidades XSS permitem a manipulação de páginas web e a injeção de instruções de script que são executadas no computador do próprio usuário.

Essas falhas permitem que criminosos executem scripts no navegador de internautas com o objetivo de obter dados confidenciais, sequestrar sessões ou redirecioná-los para sites maliciosos -- prática conhecida como phishing. Já a exposição de informações sensíveis, conforme explica Zaninotti, "expõe dados de cartões de crédito e de credenciais de autenticação, o que permite roubar a identidade de usuários e fraudar cartões de crédito".

Por último, o pesquisador destaca que o controle de acesso insuficiente pode facilitar o acesso a perfis de usuários sem a necessidade de credenciais ou até mesmo a funcionalidades administrativas dos aplicativos, permitindo o roubo de dados sensíveis ou confidenciais.