Top10 проблем защиты интернет-приложений

Евгения Новикова

≡ Архив | архивная статья | 03.02.2004 13:12

Группой Web Application Security Project (OWASP), состоящей из профессионалов IT-безопасности, выпущен второй, ежегодный список 10 наиболее критичных проблем уязвимости веб-приложений. В дополнение к традиционным позициям, в список добавились ошибки отказа в обслуживании, ибо за прошлый год они стали более распространенными.

Марк Кёрфи (Mark Curphey) — председатель OWASP и консалтинговый директор Foundstone, компании, предлагающей услуги стратегической безопасности. OWASP появилась благодаря его усилиям и усилиям его коллег в других компаниях. Главной целью проекта стало определение проблем в области защиты веб-сайтов. Полное Руководство от OWASP, содержащее около 200 страниц рекомендаций профессионалам и разработчикам IT-безопасности, за прошлый год было загружено с сайта компании больше полутора миллионов раз. Кёрфи удивлен тем, что уровень понимания оказался выше ожидаемого.

Следуя пожеланиям разработчиков, которым необходимо предоставлять информацию своему руководству, группа в прошлом году выпустила первый Top10 список недостатков защиты интернет-приложений.

Вот что вошло в этот список в 2004 году:

Непроверяемый ввод. Хакеры могут использовать информацию, не проверяемую веб-приложением, пока она не дойдет до его внутренних компонентов.

Взломанное управление доступом. Некорректные ограничения на действия авторизованных пользователей используются хакерами для обращения к другим учетным записям или использования неправомочных функций.

Взломанная идентификация и управление сессиями. Данные аккаунтов, не защищенные должным образом, дают хакерам возможность получать пароли, ключи, и прочую секретную информацию, и притворяться другими пользователями.

Межсайтовый скриптинг. Веб-приложение используется как механизм перенесения атаки на браузер конечного пользователя. Успешная атака может раскрыть идентификационные данные пользователя или ввести его в заблуждение при помощи фальшивого контента.

Переполнение буфера. Компоненты веб-приложений, написанные на языках, не дающих возможность должным образом проверить правильность ввода данных, могут быть доведены до ошибки и затем быть использованы для взятия процесса под контроль. В число этих компонент могут входить CGI, библиотеки, драйверы и серверы веб-приложений.

Ошибки передачи данных. Веб-приложения передают параметры при обращении к внешним системам или локальной ОС. Если в параметры включены злонамеренные команды, то внешняя система может их выполнить от имени веб-приложения.

Некорректная обработка ошибок. В процессе обычных операций могут возникать ошибочные ситуации, которые не обработаны должным образом. Это дает хакерам доступ к детальной системной информации, и может привести к отказу в обслуживании, ошибкам системы безопасности и разрушению сервера.

Небезопасное хранение. Веб-приложения, использующие криптографию для защиты информации, оказываются неспособными зашифровать их должным образом. Это ослабляет защиту.

Отказ в обслуживании. Хакеры доводят ресурсы веб-приложения до перегрузки, так что законные пользователи не могут получить доступ к приложению или работать с ним. В этом случае возможна блокировка учетных записей пользователей или выход приложения из строя.

Небезопасное управление конфигурацией. Веб-сервера обладают многими опциями для настройки безопасности, которые сами не защищены. Ключевым моментом является наличие строгого стандарта конфигурации.

Многие из проблем безопасности веб-приложений порождены человеческой логикой, и не могут быть устранены одной лишь технологией. Это новое поколение проблем, которые еще только предстоит решить, философски замечает Кёрфи.

комментарии(0)

разделы: Архив