Mens utnyttelser av overflytsfeil i buffere har vært favorittmålet for nettangrep i mange år, er denne typen angrep nå havnet helt nede på fjerdeplass i en oversikt som amerikanske Mitre skal publisere denne uken.
Den mest utnyttede metoden er i stedet blitt cross-site scripting (XSS). Dette er en metode som ofte går ut på å lede vanlige brukere til kjente websider samtidig som innholdet på siden er blitt endret ved hjelp av manipulering av inndata som benyttes direkte for å generere resultatsidene. Websøk er et eksempel på dette. Men det finnes flere varianter.
At XSS-angrep er blitt så utbredt, har kommet som en overraskelse for forskerne.
- Vi hadde ikke hørt noe om dette skiftet, sa Robert Martin, en leder i Mitre, under Security Executive Conference i forrige uke. Dette skriver TechWeb-nettstedet Dark Reading.
På andre plass nå kommer SQL-injeksjon, det vil si at inndataene til webløsninger inneholder instruksjoner til den bakenforliggende databaseløsningen.
Mitre skal ha registrert 20.000 vanlige sårbarheter og blottstillinger (CVE - common vulnerability and exposures). For 2006 var 21,5 prosent av CVE-ene XSS, 14 prosent SQL-injektsjon, 9,5 prosent PHP-"includes" og 7,9 prosent overflytfeil i buffere. I fjor hadde XSS en andel på 16 prosent.
Matt Fisher, en sikkerhetsekspert i SPI Dynamics, forklarer skiftet med at XSS og SQL-injeksjoner er de enkleste sårbarhetene å angripe.
Robert Martin forteller at siden overflytsfeil i buffere er en fenomen relatert til C-språk, tyder dataene på at flere sårbarheter i det siste er blitt rapport for programvareplattformer som ikke er basert på C eller tilsvarende.
- Dette betyr at .NET, Java og PHP trolig blir mer rammet, sier Martin. Han mener det dessuten er vanskelig å forsvare seg mot SQL-injeksjoner, samtidig som at databasene er et attraktivt mål for angriperne.
Målet med rapporten er å gjøre bedrifter oppmerksomme på hvilke sårbarheter som er i fokus hos angriperne, slik at bedriftene enklere skal kunne vite hvor de må bør gjøre sikkerhetstiltak.
Men Mitre er også med på et prosjekt startet av Department of Homeland Security for å lage en Common Weakness Enumeration-ordbok (CWE), som skal etablere en form for standarddefinisjoner på en spesifikk sårbarhet og dens varianter.
- Fra en defensiv synsvinkel er det ikke bare en type ting du må se etter i koden. Det er der CWE kommer inn - å sikre at det er enighet om hvilken type XSS eller annen feil som finnes i et gitt program, sier Martin.
