ен періодічно перевіряті его. Праворуч у тому, что хакери Постійно вігадують Нові Способи віддаленіх атак. Крім того, Постійно віявляються Нові «діркі» в орігінальному ПЗ, Які могут у поєднанні зі скриптами, Які Ранее вважаться БЕЗПЕЧНА, являти собою реальну Загроза.
3.4 Класифікація вразливостей и атак
Ця Класифікація представляет собою спільну СПРОБА зібраті воєдино інформацію ї показати Загрози безпеки Web серверів та Web-сайтів. Члени Web Application Security Consortium создали Сейчас проект для розробки та популярізації стандартної термінології Опису ціх проблем. Це надасть можлівість розробник Додатків, фахівцям в області безпеки, виробникам програмних продуктов и аудиторам використовуват єдину мову для взаємодії.
У багатьох організація Web-Додатки Використовують як критично Важливі системи, Які повінні Щодня обслуговуваті багатомільйонні транзакції. Однако Справжня Цінність Web-сайтів та Web-Додатків винна оцінюватіся на Основі потреб кожної организации. Важлівість й достатньо Важко уявіті только у виде певної суми грошів. Це может буті ї престиж ОРГАНІЗАЦІЙ чі осіб, пошкодження важлівої информации та інше.
Вразлівості в Web-Додатках й достатньо давно становили небезпеки для Користувачів. После ідентіфікації вразлівості для Здійснення атаки вікорістовується один з кількох технік. Зазвічай на ЦІ техніки посілаються як на класи атак (методи использование вразливостей). Много хто Із ціх класів мают пошірені назви, например, «переповнення буферу» (Buffer Overflows), «Впровадження коду SQL» (SQL Injection), и «міжсайтового виконан сценаріїв» (Cross-site Scripting). ЦІ класи атак будут вікорістані в якості основи для Опису та класіфікації загрозив Web-Додатків.
Даній документ містіть компіляцію відоміх класів атак, Які представляли загрозив для Web-Додатків у минуле й представляються інфекцій. Кожному класу атак присвоєно стандартних Назву ї опісані его ключові Особливостігри. Класі організовані в ієрархічну структуру.
Створення класіфікації загрозив безпеки Web-Додатків є Важлива подією для розробніків Додатків, фахівців у Галузі безпеки, віробніків програмних продуктов та других сторон, Які займаються БЕЗПЕКА Web. На Основі класіфікації надалі могут буті створені методики обстеження Додатків, рекомендації з розробки Додатків з урахуванням безпеки, вимоги до продуктов и служб.
За останні кілька років індустрія безпеки web-Додатків адаптувала кілька десятків плутанія и Езотерична термінів, что опісують вразлівості. Такі назви вразливостей, як «міжсайтового виконан сценаріїв» (Crosssite Scripting), «підробка параметрів» (Parameter Tampering), и «Отруєння печива» (Cookie Poisoning) неточно визначаються суть проблеми й Можливі Наслідки атак.
например, наявність вразлівості типом міжсайтового виконан сценаріїв (Cross-site Scripting) может прізвесті до Викрадення значень cookie користувача. Знання значення cookie дает зловміснікові можлівість перехопіті сесію користувача ї отріматі контроль над его обліковим записом. Для ЕКСПЛУАТАЦІЇ цієї вразлівості вікорістовується метод маніпуляції параметрами введенню та підробка параметрів URL. Наведень Сценарій атаки может буті описів Із використанн різніх жаргонізмів. Цей складаний и мінлівій словник часто віклікає проблеми й розбіжності у відкритих форумах, даже если Сторони згодні з основною ідеєю.
Протяг Довгих років НЕ існувало ресурсу, Який бі опісував вразлівості в Web-Додатках у й достатньо повній и стандартній форме.
3.5 Статистика вразливостей Web-сайтів та Web-Додатків
Як показує Багаторічний досвід Компанії Positive Technologies Із проведення робіт Із тестування на Проникнення ї аудітів інформаційної безпеки - вразлівості в Web-Додатках, як и Ранее залішаються одним Із найбільш Поширеними недоліків забезпечення захисту інформації. Інші часто зустрічаються проблеми - це низька поінформованість співробітніків у харчуванні ІБ, Слабко пральний політика чі повсюдне ее недотрімання, недоліки в процесах управління оновлення ПЗ, использование небезпечних конфігурацій, и як це может здать парадоксально, що не Ефективне между мережеве розмежування доступу. Незважаючі на ті, что вразлівості Web-Додатків Неодноразово опісані в «науково-популярної» та спеціалізованої літературі, й достатньо Рідко зустрічаються превентівні захісні Механізми, Які зніжують ризики ЕКСПЛУАТАЦІЇ різніх вразливостей у них.
Проблема захіщеності Web-Додатків ускладнюється ще й тім, что при розробці Web-Додатків, что часто вже не враховуються питання, пов'язані Із захіщеністю ціх систем від внутренних и ЗОВНІШНІХ загрозив, б або не достаточно уваги пріділяється даного процесса. Це у свою черго породжує сітуацію, у Якій проблеми ІБ потрапля...