Откуда берутся уязвимости?

Ключевые слова: информационная безопасность, обеспечение безопасности web-сайтов, уязвимость, атака, взлом, защита, система безопасности

Если взглянуть «широко» на проблему уязвимостей web-сайтов, то можно сказать, что любая из них – это уязвимый код, т.е. фрагмент исходного кода страницы сайта, который может быть использован способом, не подразумевавшимся при его написании.

Можно выделить три основные причины, по которым появляются уязвимые фрагменты в исходных кодах страниц сайта. Во-первых, разработчик может быть недостаточно образован в вопросах разработки безопасных (атакоустойчивых) сайтов, попросту говоря, вообще не знать о том, что web-сайты подвергаются атакам, какого вида бывают эти атаки, и тем более не знать о том, как этим атакам противостоять. Во-вторых, разработчик может знать о возможных атаках на разрабатываемый web-сайт, но в силу халатности или невнимательности не уделить должного внимания написанию кода, защищенного от них. Например, не изучить способы защиты, или забыть использовать безопасный способ написания необходимой конструкции. И наконец, в-третьих, разработчик может намеренно оставить в коде уязвимые фрагменты, чтобы в случае необходимости получить контроль над web-сайтом.

Какова бы ни была истинная причина возникновения уязвимого фрагмента кода, достаточно всего одной уязвимости, чтобы с ее помощью провести весь спектр возможных атак соответствующего типа. Поэтому по-настоящему важно не число защищенных страниц или переменных, а число переменных и страниц, работа которых не рассматривалась с точки зрения безопасности. Пока каждая переменная и страница не будут проанализированы с точки зрения возможности проведения атаки, говорить о безопасности разработанного web-сайта нельзя.

Комментарии

Все комментарии
4комментарий

kazin8 19 мая, 2010 в 21:16:58

Про хостеров абсолютно верно. Есть хостеры, которые позволяют владельцу любого сайта на сервере просматривать базы данных всех сайтов. Сам столкнулся с этим, когда исследовал безопасность Питерской бизнес - сети. И еще, как пункт можно выделить использование сторонних разработок, порой даже платных, но от этого не менее уязвимых (Тот же Octopus CMS)

Администратор 6 июня, 2009 в 01:36:59

Все в комплексе. Неграмотность в вопросах информационной безопасности - а) не знают об угрозах, б) знают об угрозах, но не знают что делать. Плюс безусловно халатность - знают об угрозах, знают о защите, но не защищают ("кому это нужно?").<br />

<br />

Не стоит забывать и о возросшем уровне компьютерных преступников - это давно не самоучки. В области интернет-сайтов есть, например, такая вещь как сканер уязвимостей. Взлом упрощается до невозможного.<br />

<br />

Стоит ли упоминать про "ботов", которые делают всякие "пакости".<br />

<br />

Еще один аспект - "плохие" хостеры, которые не следят за второй частью любого интернет-проекта - программным обеспечением сервера.

ВАКаймин,проф,док.наук 5 июня, 2009 в 15:43:15

Впервые за десять лет разработки Интернет-сайтов столкнулся с проблемой взлома сайтов и большого числа ошибок на сайтах и порталах инновационых проектов.<br />

С чем это связано? С халатностью разработчиков? халатностью владельцев или кознями компьютерных взломщиков?<br />

ВАКаймин,професор,доктор комп.наук,маг.права.

Администратор 22 марта, 2009 в 16:00:29

Первая статья из цикла заметок о безопасности web-сайтов

Добавить комментарий

Адаптивное тестирование - быстрая и точная оценка персонала