Theo kết quả một nghiên cứu kéo dài 4 năm của hãng WebCohort, đại bộ phận ứng dụng web đang mở rộng cửa trước các cuộc tấn công của hacker. Khảo sát đã tìm hiểu hơn 250 chương trình trên nhiều website thuộc các lĩnh vực thương mại điện tử, ngân hàng trực tuyến, hợp tác doanh nghiệp và quản lý phân phối.

Những lỗ hổng phổ biến nhất tập trung ở trình scripting liên kết địa chỉ, phép toán của ngôn ngữ truy vấn SQL và thay đổi tham số. Mặc dù những loại tấn công theo kiểu hack hiện khá phổ biến và được nhắc đến liên tục, nghiên cứu vẫn phát hiện ra hầu hết các doanh nghiệp không có biện pháp an ninh thích hợp để bảo vệ website, các ứng dụng và máy chủ của mình.

Tường lửa, các công cụ phát hiện và ngăn ngừa xâm nhập đã và đang được triển khai rộng rãi khắp nơi nhưng tất cả vẫn còn quá nhiều hạn chế. Tin tặc vẫn có thể truy nhập vào những tài nguyên giá trị và dữ liệu khách hàng, đánh sập nhiều website và máy chủ với mức độ vi phạm pháp luật nghiêm trọng nhưng rất ít trường hợp bị ngăn chặn, bắt giữ hay thậm chí chỉ là phát hiện.

Shlomo Kramer, Giám đốc điều hành WebCohort, phát biểu: “Có một nghịch lý là việc tăng cường an ninh mạng đã khiến hacker coi các ứng dụng web là mục tiêu đơn giản hơn. 4 năm khảo sát của chúng tôi đã chứng minh điều này là đúng. Nguy cơ từ những khiếm khuyết web đối với các cá nhân và doanh nghiệp mới chỉ bắt đầu”.  

Dưới đây là những hình thức tấn công và khiếm khuyết phổ biến nhất mà Trung tâm bảo vệ ứng dụng của WebCohort đã ghi nhận:

- Scripting liên kết địa chỉ (cross-site scripting): 80%.
- Thuật toán nội xạ trong SQL (SQL injection): 62%.
- Giả mạo tham số (parameter tampering): 60%.
- Khai thác Cookie: 37%.
- Máy chủ cơ sở dữ liệu: 33%.
- Máy chủ web: 23%.
- Tràn bộ nhớ đệm (buffer overflow): 19%.