Computer Crime Research Center

Десять наиболее опасных уязвимостей в ПО для интернета

По результатам проведенных исследований компания Open Web Application Security Project (OWASP) представила отчет о десяти наиболее опасных и широко распространенных уязвимостях в программном обеспечении для интернета. По мнению экспертов компании, такие уязвимости заслуживают самого пристального внимание государственных, праоохранительных и коммерческих организаций, желающим обезопасить себя и своих клиентов от киберпреступников. Все указанные уязвимости могут быть использованы в своих преступных целях даже малоквалифицированным хакерам, поскольку соответствующие средства взлома легко найти в Сети.

Первая уязвимость, связанна с отсутствием мониторинга параметров в http-запросах. В результате, используя особые параметры, хакеры получают доступ к ресурсам сервера через веб-приложение.

Вторая - несоблюдение правил управления доступом к ресурсам. Это позволяет злоумышленнику использовать закрытые ресурсы или получать доступ к учетным записям других пользователей.

Третья - несоблюдение правил управления учетными записями и пользовательскими сессиями. Эта уязвимость связана, прежде всего, с отсутствием надежной защиты пользовательских данных (логина, пароля) и идентификаторов сессий, таких как файлы cookie. Это позволяет хакерам перехватывать данные других пользователей и пользоваться системой от их имени.

Четвертая - ошибки в механизме Cross-Site Scripting (CSS или XSS), используемом для перенаправления пользователя на другие сайты. В этом случае атака может привести к получению хакером доступа к пользовательским данным или взлому локального компьютера.

Пятая - ошибки переполнения буфера, имеющиеся во многих программных продуктах - от скриптов и драйверов до операционных систем и серверного ПО. Отсутствие проверки некоторых параметров может приводить к переполнению буфера, а хакер при этом захватывает управление компьютером. Сообщения об обнаружении ошибок переполнения появляются чрезвычайно часто.

Шестая связана с отсутствием надлежащего контроля за параметрами, передаваемыми компьютерами при доступе к внешним ресурсам. Если хакер сумеет ввести в эти параметры свои команды, последствия могут быть самыми печальными.

На седьмом месте специалисты OWASP отмечают уязвимости, связанные с неправильной реализацией обработки ошибок в программном обеспечении. В некоторых случаях при возникновении ошибок хакер может получить информацию о системе или даже доступ к ней.

Восьмая уязвимость - неудачное использование криптографии. В OWASP отмечают, что часто инструменты для шифрования информации имеют собственные дыры, из-за чего применение сильной криптографии теряет всякий смысл.

Девятая - отсутствие надлежащей защиты подсистем удаленного администрирования. И хотя наличие веб-интерфейса удобно, поскольку позволяет администратору управлять системой с любого подключенного к Сети компьютера, при отсутствии надежной защиты то же самое может делать и хакер. Хорошим тому примером является взлом сайта Американской ассоциации звукозаписывающих компаний (RIAA) в конце декабря прошлого года.

На десятом месте среди уязвимостей OWASP определяет неверное конфигурирование серверного ПО, многие настройки которого серьезно влияют на безопасности системы

Новости | О Центре | Статьи | Форум
Документы | Ссылки | Контакты

Copyright © Центр исследования проблем компьютерной преступности, 2001-2002 Все права защищены.
При публикации информации взятой в нашем каталоге ссылка на http://www.crime-research.ru обязательна.
Источник: theregister.co.uk

Rated by PING