Откуда берутся уязвимости?
Опубликовано: 22 марта, 2009 в 15:57
Автор: 
Администратор
Ключевые слова: информационная безопасность, обеспечение безопасности web-сайтов, уязвимость, атака, взлом, защита, система безопасности
Если взглянуть «широко» на проблему уязвимостей web-сайтов, то можно сказать, что любая из них – это уязвимый код, т.е. фрагмент исходного кода страницы сайта, который может быть использован способом, не подразумевавшимся при его написании.
Можно выделить три основные причины, по которым появляются уязвимые фрагменты в исходных кодах страниц сайта. Во-первых, разработчик может быть недостаточно образован в вопросах разработки безопасных (атакоустойчивых) сайтов, попросту говоря, вообще не знать о том, что web-сайты подвергаются атакам, какого вида бывают эти атаки, и тем более не знать о том, как этим атакам противостоять. Во-вторых, разработчик может знать о возможных атаках на разрабатываемый web-сайт, но в силу халатности или невнимательности не уделить должного внимания написанию кода, защищенного от них. Например, не изучить способы защиты, или забыть использовать безопасный способ написания необходимой конструкции. И наконец, в-третьих, разработчик может намеренно оставить в коде уязвимые фрагменты, чтобы в случае необходимости получить контроль над web-сайтом.
Какова бы ни была истинная причина возникновения уязвимого фрагмента кода, достаточно всего одной уязвимости, чтобы с ее помощью провести весь спектр возможных атак соответствующего типа. Поэтому по-настоящему важно не число защищенных страниц или переменных, а число переменных и страниц, работа которых не рассматривалась с точки зрения безопасности. Пока каждая переменная и страница не будут проанализированы с точки зрения возможности проведения атаки, говорить о безопасности разработанного web-сайта нельзя.
Здравствуйте, гость!
kazin8 19 мая, 2010 в 21:16:58
Про хостеров абсолютно верно. Есть хостеры, которые позволяют владельцу любого сайта на сервере просматривать базы данных всех сайтов. Сам столкнулся с этим, когда исследовал безопасность Питерской бизнес - сети. И еще, как пункт можно выделить использование сторонних разработок, порой даже платных, но от этого не менее уязвимых (Тот же Octopus CMS)
Администратор 6 июня, 2009 в 01:36:59
Все в комплексе. Неграмотность в вопросах информационной безопасности - а) не знают об угрозах, б) знают об угрозах, но не знают что делать. Плюс безусловно халатность - знают об угрозах, знают о защите, но не защищают ("кому это нужно?").<br />
<br />
Не стоит забывать и о возросшем уровне компьютерных преступников - это давно не самоучки. В области интернет-сайтов есть, например, такая вещь как сканер уязвимостей. Взлом упрощается до невозможного.<br />
<br />
Стоит ли упоминать про "ботов", которые делают всякие "пакости".<br />
<br />
Еще один аспект - "плохие" хостеры, которые не следят за второй частью любого интернет-проекта - программным обеспечением сервера.
ВАКаймин,проф,док.наук 5 июня, 2009 в 15:43:15
Впервые за десять лет разработки Интернет-сайтов столкнулся с проблемой взлома сайтов и большого числа ошибок на сайтах и порталах инновационых проектов.<br />
С чем это связано? С халатностью разработчиков? халатностью владельцев или кознями компьютерных взломщиков?<br />
ВАКаймин,професор,доктор комп.наук,маг.права.
Администратор 22 марта, 2009 в 16:00:29
Первая статья из цикла заметок о безопасности web-сайтов
Добавить комментарий