Форум Рідного Міста
Ви не ввійшли [Ввійти - Зареєструватися]
Вниз

Версія для друку  
Автор: Тема: Десять найпоширеніших і небезпечних вразливостей у ПЗ для інтернет...
Agent86
Академік
****



Повідомлень: 470
Зареєстрований: 5-12-2002
Місто: Україна
Нема на форумі

Настрій: :)

shocked.gif написано 18-2-2003 у 22:28
Десять найпоширеніших і небезпечних вразливостей у ПЗ для інтернету


Опублiковано 14 сiчня 2003 року

Некомерційна організація Open Web Application Security Project (OWASP) представила список з десяти найбільш небезпечних, але, у той же час, розповсюджених дір у програмному забезпеченні для інтернету і веб-сервісів. На думку OWASP, на ці вразливості варто звернути увагу як державним, так і комерційним організаціям, що бажають вберегти себе і своїх клієнтів від хакеров. Усі зазначені вразливості досить широко поширені, а використовувати їх можуть малокваліфіковані хакери, оскільки відповідні засоби злому легко знайти в Мережі.

На першому місці списку OWASP знаходиться вразливість, зв'язана з відсутністю перевірки параметрів у http-запитах. У результаті, використовуючи особливі параметри, хакер може одержати доступ до ресурсів сервера через веб-додаток.

На другому місці знаходиться недотримання політик керування доступом до ресурсів. Це дозволяє зловмисникові використовувати закриті ресурси або одержувати доступ до облікових записів інших користувачів.

На третій позиції рейтингу значиться недотримання правил керування обліковими записами і користувальницькими сесіями. Ця уразливість зв'язана, насамперед, з відсутністю надійного захисту користувальницьких даних (логіна, пароля) і ідентифікаторів сесій, таких як файли cookie. Це дозволяє хакерам перехоплювати дані інших користувачів і користуватися системою від їхнього імені.

На четвертій позиції знаходяться вразливості, зв'язані з помилками в механізмі Cross-Site Scripting (CSS або XSS), використовуваному для перенаправлення користувача на інші сайті. У цьому випадку атака може привести до одержання хакером доступу до користувальницьких даних або злому локального комп'ютера.

Під п'ятим пунктом згадуються помилки переповнення буфера, що є в багатьох програмних продуктах - від скриптів і драйверів до операційних систем і серверного ПЗ. Відсутність перевірки деяких параметрів може приводити до переповнення буфера, а хакер при цьому захоплює керування комп'ютером. Повідомлення про виявлення помилок переповнення з'являються часто (хробак ‘Helkern’ відомий також , як ‘Slammer’, який недавно перевірив мережу інтернет на міцність використовував саме цю помилку, детальніше буде описано в окремій статті ).

На шостій позиції знаходяться діри, зв'язані з відсутністю належного контролю за параметрами, переданими комп'ютерами при доступі до зовнішніх ресурсів. Якщо хакер зуміє ввести в ці параметри свої команди, наслідки можуть бути дуже сумними.

Далі фахівці OWASP відзначають вразливості, зв'язані з неправильною реалізацією обробки помилок у програмному забезпеченні. У деяких випадках при виникненні помилок хакер може одержати інформацію про систему або навіть доступ до неї.

На восьмій позиції знаходиться невдале використання криптографії. У OWASP відзначають, що часто інструменти для шифрування інформації мають власні діри, через що застосування сильної криптографії утрачає всякий зміст.

На дев'ятому місці знаходяться вразливості, зв'язані з відсутністю належного захисту підсистем вилученого адміністрування. І хоча наявність веб-інтерфейсу зручно, оскільки дозволяє адміністраторові керувати системою з будь-якого підключеного до Мережі комп'ютера, при відсутності надійного захисту те ж саме може робити і хакер. Гарним тому прикладом є взлом сайта Американської асоціації звукозаписних компаній (RIAA) наприкінці грудня минулого року.

Нарешті, на десятому місці серед вразливостей OWASP поміщає неправильне конфігурування серверного ПЗ, багато налаштувань якого серйозно впливають на безпеку системи.

джерела : OWASP, www.compulenta.ru




:cool:
Переглянути профіль користувача Переглянути всі повідомлення цього користувача

  Догори

Статичне дзеркало форуму

Львів
Pоwered by XМB
Developed by Avеnture Media & The XМB Group © 2002-2006



Інші проекти:
Наука-Онлайн - Об'єднання українських науковців
Львів - Фотоблог міста
ІБАС. Інформаційна, бібліотечна та архівна справа - Сучасна освітня спеціальність
School review 626
Реклама: