14/02/2007 21:31
Согласно отчету англо-американской компании Acunetix, занимающейся исследованием
систем безопасности, примерно 7 из 10 веб-сайтов содержат те или иные уязвимости,
которые позволят злоумышленникам похитить закрытые данные, либо просто взломать
сайт, удалив часть страниц.
"Наши исследования ясно показывают, что большинство владельцев веб-ресурсов
используют небезопасные веб-приложения, а отчеты, где говорится об уязвимостях
приложений попросту игнорируют", - говорит вице-президент Acunetix Кевин
Велла.
В отчете Acunetix говорится, что за прошедший год компания просканировала
3 200 сайтов, принадлежащих как к коммерческим пользователям, так и некоммерческим
организациями и частным лицам, в результате было обнаружено 210 000 уязвимостей,
что в среднем составляет по 66 уязвимостей на интернет-приложение.
Примерно половина всех обнаруженных уязвимостей была связана с так называемыми
SQL инъекциями. Напомним, что SQL инъекция - это один из распространённых
способов взлома программ, работающих с базами данных. Атака типа инъекции
SQL может быть возможна из-за некорректной обработки входящих данных, используемых
в SQL-запросах. Инъекция SQL часто даёт возможность атакующему выполнить
произвольный запрос к базе данных, например, прочитать содержимое любых
таблиц или удалить все данные.
Еще 42% уязвимостей связаны с кросс-скриптинговыми уязвимостями (XSS, Cross
Site Scripting), называемые также межсайтовым скриптинговм. Специфика подобных
атак заключается в том, что вместо непосредственной атаки сервера, они используют
уязвимый сервер в качестве средства атаки на клиента. XSS-атака обычно проводится
путем конструирования специального URL, который атакующий предъявляет своей
жертве. Иногда для термина используют сокращение CSS, но, чтобы не было
путаницы с каскадными таблицами стилей, используют сокращение XSS.
Условно XSS можно разделить на активные и пассивные. При активных XSS вредоносный
скрипт хранится на сервере, и срабатывает в браузере жертвы, при открытии
какой-либо страницы зараженного сайта. Пассивные XSS подразумевают, что
скрипт не хранится на сервере уязвимого сайта, либо он не может автоматически
выполниться в браузере жертвы. Для срабатывания пассивной XSS, требуется
некое дополнительное действие, которые должен выполнить браузер жертвы (например
клик по специально сформированной ссылке).
Еще 7% уязвимостей связаны с раскрытием исходного кода серверного веб-приложения,
которое непосредственно обращается к данным. Раскрыв исходники потенциальный
злоумышленник может создать эксплоит для выполнения различных злонамеренных
действий.
В целом специалисты говорят, что безопасность онлайновых приложений становится
одной из основных проблем для обеспечения не только безопасности вебсайтов,
но и множества корпоративных приложений, работающих через интернет.
Оригинал (на 14/02/2007): cybersecurity.ru
В случае обнаружения неточностей или ошибок просим Вас сообщить об этом по адресу
|