Positive Technologies گزارش پژوهشی جدیدی با عنوان «حملات به اپلیکشن‌‌های تحت وب» منتشر کرده است که تهدیدات اصلی وب را مورد بررسی قرار می‌دهد. این تجزیه و تحلیل، با توجه به بیش از یک میلیون حمله، از آمار حمله به وب که توسط فایروال Positive Technologies جمع‌آوری شده، استفاده کرده است.

برای این تحقیق کارشناسان 140,000 حمله را که سایت‌های خاصی را هدف قرار داده‌اند، انتخاب و یک زنجیره حمله ایجاد کردند. این زنجیرها امکان شناسایی گام‌های مهاجمین را فراهم می‌آورد.

این مطالعه نشان داد که سه نوع از متداول‌ترین حملات، ساده و مؤثر هستند: SQL Injection، پیمایش مسیر (Path Traversal) و تزریق اسکریپت از طریق وب‌‌سایت (Cross-Site Scripting).

سهم حملات درز اطلاعات (Information Leakage) نیز دو برابر شده است. این نوع از حمله به خصوص در وب‌سایت های دولتی رایج است و 67 درصد از حملات را تشکیل می‌دهد. عوامل مخرب اغلب از این حملات برای تحلیل سیستم‌ها، تعیین نسخه سیستم، پیکربندی و دسترسی به اطلاعات سرویس استفاده می‌کنند. وقتی مهاجمان این اطلاعات را داشته باشند، می‌توانند حملات هدفمندی انجام دهند.

نویسندگان همچنین توجه داشته‌اند که وب‌سایت‌های موسسات دولتی هنوز در معرض حملات خطرناک با هدف دستیابی به کنترل سرور و سرقت اطلاعات پایگاه داده هستند. این به معنای به در دست گرفتن کنترل وب‌سایت مورد حمله، دسترسی به سیستم عامل و تمامی فایل‌های موجود در سرور است.

کارشناسان Positive Technologies ادعا می‌کنند که تمام وب‌سایت‌ها، روزانه مورد حمله قرار می‌گیرند. در صورت حمله هدفمند، می‌توان مراحل مختلف را به هم پیوند داد و زنجیره حمله (attack chain) را بازسازی كرد. یک زنجیره می‌تواند روزانه ده‌ها، صدها یا حتی هزاران رویداد (event) داشته باشد. این گزارش نتیجه می‌گیرد که بیشترین تعداد روزانه زنجیره‌های حمله به ازای هر برنامه کاربردی، در وب‌سایت‌های موسسات مالی (زنجیره 151) در مقایسه با سایر صنایع یافت شده است. مشاهده تمام زنجیره‌های حمله به کسب‌وکارها این امکان را می‌دهد تا خلاصه‌ای از هک‌ها را برای محدودسازی تهدیدات و محافظت از منابع به صورت مؤثرتر داشته باشند.

شرکت‌های حمل‌ونقل از نظر تعداد زنجیره‌های حمله (روزانه 135) در رتبه دوم قرار دارند. وب‌سایت‎های آنها از پرداخت آنلاین، برای مثال جهت خرید بلیط، پشتیبانی می‌کنند. این موضوع باعث جذب هکرهای علاقه‌مند به کارت‌های پرداخت کاربران می‌شود.

مورد بعد که در لیست بیشترین منابع وب‌سایتی مورد حمله قرار گرفته است، شرکت‌های خدمات مهمانی‌ها و سرگرمی با 114 حمله در روز هستند. مهاجمان به این دلیل به این صنعت جذب می‌شوند که داده‌های شخصی و پرداختی ارزشمندی برای هک شدن در اختیار دارند.