Falhas no desenvolvimento de aplicativos web são responsáveis por mais de 96% das falhas críticas em sites de negócios, informa uma pesquisa do Web Application Security Consortium (WASC), um consórcio internacional que reúne especialistas na área de segurança de aplicações.

Os testes realizados pelo WASC mostraram que as vulnerabilidades predominantes são divididas em dois grupos: os problemas derivados de Cross-site Scripting (XSS) e SQL Injection ocorrem por erros do sistema (o primeiro é uma vulnerabilidade que permite que crackers insiram códigos maliciosos dentro do código do site e geralmente é usado em ataques phishing  para roubar dados dos usuários enquanto o segundo é uma técnica usada por criminosos para executar comandos não autorizados, como manipular a entrada de dados em uma aplicação). O outro grupo seria o de falhas denominadas como Information Leakage e Predictable Resource Location, que ocorrem em função de uma administração imprópria do sistema, como nos casos de um fraco controle de acesso.

Em um site de comércio eletrônico, por exemplo, uma vulnerabilidade no SQL Injection pode ser explorada por criminosos para o roubo de informações, como dados pessoais ou de cartão de crédito.

A empresa de segurança Cipher alerta que a maioria das falhas dos sites está na validação de entrada de dados, ou seja, nos campos onde o usuário pode preencher login e senha ou inserir dados para transferir dinheiro de uma conta bancária em um internet banking. Os sites precisariam prever a inserção de dados incorretos ou inesperados – o que pode representar um golpe online.

Para corrigir tais problemas, afirma a Cipher,  os desenvolvedores precisariam usar firewalls, não conceder direitos administrativos para aplicações da base de dados, utilizar application firewalls para o bloqueio de ataques na camada da aplicação e validar todos os usuários de aplicativos baseados na web, além de e realizar testes de vulnerabilidades e de invasão regularmente.