Распределение участников по областям экономики |
Positive Technologies опубликовала результаты исследования уязвимоостей, обнаруженных в 2010-2011 гг. на официальных интернет-порталах 123 российских крупных компаний.
Каким типам атак наиболее подвержены большинство изученных сайтов?
Критические уязвимости
Распространенные критические уязвимости (в процентах) |
Path Traversal
Техника атак, направленная на получение доступа к файлам и директориям и, а также выполнение команд, расположенных на web-сервер, но находящихся вне основной его. Заключается в подборе параметров URL
OS Commanding
Метод атаки, использующий эксплоиты операционной системы web-сервера, направленный выполнение команд на атакуемом сервере. Метод заключается в подборе входных данных web-приложений.
SQL Injection
Один из самых распространенных методов взлома сайтов, работающих с базами данных, основанный на формировании особого sql-запроса, некорректно обрабатываемого web-сервером, что может дать злоумышленнику возможность получить доступ к просмотру таблиц базы данных, их модификации и удалению.
Information Leakage
Уязвимость, возникающая из-за того, что в ответ на определенные действия пользователей сервер отображает важную информацию, например, сообщения об ошибках, благодаря которым злоумышленник может понять, как сконфигурирована система и использовать эту информацию для дальнейших атак на сервер.
Brute Force
Метод атаки заключается в переборе паролей к аккаунтам привилегированных пользователей. Наличие данной уязвимости свидетельствует об отсутствии каких-либо ограничений на число попыток ввода пароля.
Cross-Site Request Forgery (XSRF)
Вид атак, использующий уязвимость протокола HTTP. Заключается в том, что от лица жертвы, посетившей сайт злоумышленника, может быть тайно отправлен произвольный запрос на другой сайт, где пользователь уже авторизовался. Этот запрос инициирует от лица пользователя некоторую вредоносную операцию на втором сайте (к пример, переводит деньги на сайте платежной системы).
Не критические уязвимости
Распространенность не критических уязвимостей (в процентах) |
Insufficient Transport Layer Protection
Уязвимость связана в первую очередь с некорректной конфигурацией протоколов SSL/TLS, обеспечивающих шифрование на транспортном уровне модели OSI. Благодаря такой неправильной конфигурации злоумышленник может перехватывать конфиденциальную информацию, пересылаемую по "защищенному" каналу.
Predictable Resource Location
Предсказуемое расположение ресурсов на web-сервере позволяет злоумышленнику получить доступ к скрытому содержанию сайта, путем подбора имен файлов и каталогов, не предназначенных для общего доступа. Это могут быть стандартные файлы журналов, бэкапов, конфигурационные файлы, разделы сайта предназначенных для модераторов или администраторов.
Cross-Site Scripting (XSS)
Уязвимость заключается в том, что клиент (как правило, авторизованный на сервере), может воспользоваться интерактивными элементами сайта для внесения вредоносного скрипта, который будет выполняться при просмотре страницы, сформированной клиентом.
Insufficient Anti-automation
Эта уязвимость дает возможность злоумышленника получить доступ к функциям привилегированных пользователей сайта из-за отсутствия механизма дополнительной аутентификации при попытки обратиться к web-интерфейсу администрирования сайта.
Комментариев нет:
Отправить комментарий