login contact us
RosConcert.com HomePage
    NEWS CENTRAL >> Hi-Tech >> Интернет

News Central


Интернет

Десять самых распространенных и опасных уязвимостей в ПО для интернета
11:26PM Tuesday, Jan 14, 2003
Компьюлента. 14 января 2003 года, 14:24

Некоммерческая организация Open Web Application Security Project (OWASP) представила список десяти наиболее опасных, но, в то же время, распространенных дыр в программном обеспечении для интернета и веб-сервисах. По мнению OWASP, на эти уязвимости стоит обратить самое пристальное внимание как государственным, так и коммерческим организациям, желающим обезопасить себя и своих клиентов от хакеров. Все указанные уязвимости достаточно широко распространены, а использовать их под силу даже малоквалифицированным хакерам, поскольку соответствующие средства взлома легко найти в Сети.

На первом месте списка OWASP находится уязвимость, связанная с отсутствием проверки параметров в http-запросах. В результате, используя особые параметры, хакер может получить доступ к ресурсам сервера через веб-приложение. На втором месте находится несоблюдение политик управления доступом к ресурсам. Это позволяет злоумышленнику использовать закрытые ресурсы или получать доступ к учетным записям других пользователей.

На третьей позиции рейтинга значится несоблюдение правил управления учетными записями и пользовательскими сессиями. Эта уязвимость связана, прежде всего, с отсутствием надежной защиты пользовательских данных (логина, пароля) и идентификаторов сессий, таких как файлы cookie. Это позволяет хакерам перехватывать данные других пользователей и пользоваться системой от их имени.

На четвертой позиции находятся уязвимости, связанные с ошибками в механизме Cross-Site Scripting (CSS или XSS), используемом для перенаправления пользователя на другие сайты. В этом случае атака может привести к получению хакером доступа к пользовательским данным или взлому локального компьютера.

Под пятым пунктом упоминаются ошибки переполнения буфера, имеющиеся во многих программных продуктах - от скриптов и драйверов до операционных систем и серверного ПО. Отсутствие проверки некоторых параметров может приводить к переполнению буфера, а хакер при этом захватывает управление компьютером. Сообщения об обнаружении ошибок переполнения появляются чрезвычайно часто.

На шестой позиции находятся дыры, связанные с отсутствием надлежащего контроля за параметрами, передаваемыми компьютерами при доступе к внешним ресурсам. Если хакер сумеет ввести в эти параметры свои команды, последствия могут быть самыми печальными. Далее специалисты OWASP отмечают уязвимости, связанные с неправильной реализацией обработки ошибок в программном обеспечении. В некоторых случаях при возникновении ошибок хакер может получить информацию о системе или даже доступ к ней.

На восьмой позиции находится неудачное использование криптографии. В OWASP отмечают, что часто инструменты для шифрования информации имеют собственные дыры, из-за чего применение сильной криптографии теряет всякий смысл. На девятом месте находятся уязвимости, связанные с отсутствием надлежащей защиты подсистем удаленного администрирования. И хотя наличие веб-интерфейса удобно, поскольку позволяет администратору управлять системой с любого подключенного к Сети компьютера, при отсутствии надежной защиты то же самое может делать и хакер. Хорошим тому примером является взлом сайта Американской ассоциации звукозаписывающих компаний (RIAA) в конце декабря прошлого года.

Наконец, на десятом месте среди уязвимостей OWASP помещает неправильное конфигурирование серверного ПО, многие настройки которого серьезно влияют на безопасности системы. С полным отчетом OWASP можно ознакомиться здесь.

« « Вернуться       Далее » »
Другие новости по теме
  • Виртуальные казино бунтуют
  • Верховный суд решит, стоит ли Sex.com 65 млн долларов
  • Приговор по делу хакера опечалил Голливуд
  • Опубликован хит-парад ошибок веб-дизайнеров и разработчиков
  • С днем рождения, Интернет?
  • Известный хакер объявит войну в интернете, если США нападут на Ирак
  • Во время праздников Сеть атаковал опасный вирус
  • Система тотальной слежки за интернетом: тайна за семью печатями
  • ICQ может ''выжить'' конкурентов

    Далее » »   Digest | Архив »    
Смотрите также: Hi-Tech, Hardware, SoftNews
News Central Home | News Central Resources | Portal News Resources | Help | Login
     
Phone Cards at ComFi Russian America Top. Рейтнг ресурсов Русской Америки. © 2026 RussianAMERICA Holding
All Rights Reserved • Contact