• Головна / Main Page
  • Стрічка новин / Newsline
  • АРХІВ / ARCHIVE
  • RSS feed
  • 70% сайтов открыты для взлома
    Опубликовано: 2007-02-15 10:38:49

    Согласно отчету англо-американской компании Acunetix, занимающейся исследованием систем безопасности, примерно 7 из 10 веб-сайтов содержат те или иные уязвимости, которые позволят злоумышленникам похитить закрытые данные, либо просто взломать сайт, удалив часть страниц.

     

    «Наши исследования ясно показывают, что большинство владельцев веб-ресурсов используют небезопасные веб-приложения, а отчеты, где говорится об уязвимостях приложений попросту игнорируют», - говорит вице-президент Acunetix Кевин Велла.

     

    В отчете Acunetix говорится, что за прошедший год компания просканировала 3 200 сайтов, принадлежащих как к коммерческим пользователям, так и некоммерческим организациями и частным лицам, в результате было обнаружено 210 000 уязвимостей, что в среднем составляет по 66 уязвимостей на интернет-приложение.

     

    Примерно ина всех обнаруженных уязвимостей была связана с так называемыми SQL инъекциями. Напомним, что SQL инъекция - это один из распространённых способов взлома программ, работающих с базами данных. Атака типа инъекции SQL может быть возможна из-за некорректной обработки входящих данных, используемых в SQL-запросах. Инъекция SQL часто даёт возможность атакующему выполнить произвольный запрос к базе данных, например, прочитать содержимое любых таблиц или удалить все данные.

     

    Еще 42% уязвимостей связаны с кросс-скриптинговыми уязвимостями (XSS, Cross Site Scripting), называемые также межсайтовым скриптинговм. Специфика подобных атак заключается в том, что вместо непосредственной атаки сервера, они используют уязвимый сервер в качестве средства атаки на клиента. XSS-атака обычно проводится путем конструирования специального URL, который атакующий предъявляет своей жертве. Иногда для термина используют сокращение CSS, но, чтобы не было ицы с каскадными таблицами стилей, используют сокращение XSS.

     

    Условно XSS можно разделить на активные и пассивные. При активных XSS вредоносный скрипт хранится на сервере, и срабатывает в браузере жертвы, при открытии какой-либо страницы зараженного сайта. Пассивные XSS подразумевают, что скрипт не хранится на сервере уязвимого сайта, либо он не может автоматически выполниться в браузере жертвы. Для срабатывания пассивной XSS, требуется некое дополнительное действие, которые должен выполнить браузер жертвы (например клик по специально сформированной ссылке).

    Еще 7% уязвимостей связаны с раскрытием исходного кода серверного веб-приложения, которое непосредственно обращается к данным. Раскрыв исходники потенциальный злоумышленник может создать эксплоит для выполнения различных злонамеренных действий.

     

    В целом специалисты говорят, что безопасность онлайновых приложений становится одной из основных проблем для обеспечения не только безопасности вебсайтов, но и множества корпоративных приложений, работающих через интернет.

     

    «СайберCекьюрити.Ру»

     

    agrinews.com.ua

    Внимание!!! При перепечатке авторских материалов с AgriNEWS.COM.UA активная ссылка (не закрытая в теги noindex или nofollow, а именно открытая!!!) на портал "Новости агробизнеса AgriNEWS.COM.UA" обязательна.

    E-mail:
    info@agrinews.com.ua
    При использовании информации в электронном виде активная ссылка на agrinews.com.ua обязательна.