Ошибки защиты веб приложений
(1 Проголосовало)

Группа профессионалов по безопасности создала и опубликовала список самых критичных проблем уязвимости. Эти проблемы встречаются повсеместно в различных веб приложениях. В традиционные позиции добавилась ошибка отказа в обслуживании, потому что в течение прошлого года она стала более распространенной. Главная цель этой статьи сделать определение самых часто публикуемых проблем в защите веб ресурса. Ниже приведен список самых частых недостатков защиты веб ресурсов и интернет приложений.

1) Непроверяемый ввод. Злоумышленники очень часто используют информацию, которую не проверяют веб приложением, пока эта информация не дойдет до внутренних компонентов. Поэтому следует строго проверять все данные, которые пользователи вводят в различные формы на сайте. Это следует делать даже в панели администрации.

2) Взломанное управление доступом. Такие действия как некорректные ограничения авторизованных пользователей могут использоваться хакерами для того, чтобы обратиться к другим учетным записям. А также будут использоваться для неправомочных функций. Злоумышленники могут использовать взломанную форму авторизации человека на сайте и управление сессиями пользователя. Также пути проникновения могут быть через опубликованные данные аккаунтов, которые не защищены как следует. Злодеи могут ловко притворяться пользователями на сайте владельца, а сами крадут пароли, различные ключи доступа, и другую конфиденциальную информацию. В данном случае очень важным будет внимательное отношение к уровням доступа разных групп пользователей на этом ресурсе или форуме. Хорошо когда владелец сайта помнит мудрое правило, «запрещать все, что не разрешено».  Лучше сначала запретить все, а затем открывать те возможности у пользователя, которые ему действительно необходимы.

3) Межсайтовый скриптинг. Здесь следует помнить, что веб приложение, зачастую используют как механизм переноса атаки на браузер конечного пользователя. Если атака успешна, то она раскрывает идентификацию данных пользователя, или может вводить владельца сайта в заблуждение, с помощью фальшивого контента. Желательно проверять различные формы на сайте и запрещать опасные символы.

4) Переполнение буфера. Различные компоненты веб приложений, которые написаны на языках, не дающих возможности проверки данных вводимых владельцем ресурса, могут доводиться до ошибки и затем будут использованы хакерами. Например, для того, чтобы взять сервер под свой контроль и создание спам рассылки

5) Ошибка в передаче данных от веб приложения. Эта проблема передает параметры к внешним системам или к локалке операционной системы. Проблемы возникнут, если злоумышленник включает  параметры разрушительные команды, а внешняя система выполняет эти команды под видом имени веб приложения пользователя.

6) Некорректная обработка ошибок. При выполнении некоторых обычных операций, могут возникнуть ошибочные ситуации, которые не обрабатываются обычным образом. Таким образом, хакеры получают свободный доступ к системной информации сайта. Такая оплошность приводит к отказу обслуживать сервер, а также выбивает систему безопасности ресурса.

7) Небезопасное хранение данных. Некоторые приложения, которые используют криптографию для охраны информации, иногда могут быть неспособны надежно ее зашифровать. Это может ослабить интернет приложение.

8) Отказ в обслуживании. С помощью DOS или DDOS атаки, хакеры могут довести ресурс до перегрузки. При этом пользователи уже не в состоянии получать доступ к ресурсам приложений. Происходит блокировка учетных записей.

 

Главная Статьи Ошибки защиты веб приложений