70% сайтов открыты для взлома Опубликовано: 15 фев, 10:38 Согласно отчету англо-американской компании Acunetix, занимающейся исследованием систем безопасности, примерно 7 из 10 веб-сайтов содержат те или иные уязвимости, которые позволят злоумышленникам похитить закрытые данные, либо просто взломать сайт, удалив часть страниц. «Наши исследования ясно показывают, что большинство владельцев веб-ресурсов используют небезопасные веб-приложения, а отчеты, где говорится об уязвимостях приложений попросту игнорируют», - говорит вице-президент Acunetix Кевин Велла. В отчете Acunetix говорится, что за прошедший год компания просканировала 3 200 сайтов, принадлежащих как к коммерческим пользователям, так и некоммерческим организациями и частным лицам, в результате было обнаружено 210 000 уязвимостей, что в среднем составляет по 66 уязвимостей на интернет-приложение. Примерно половина всех обнаруженных уязвимостей была связана с так называемыми SQL инъекциями. Напомним, что SQL инъекция - это один из распространённых способов взлома программ, работающих с базами данных. Атака типа инъекции SQL может быть возможна из-за некорректной обработки входящих данных, используемых в SQL-запросах. Инъекция SQL часто даёт возможность атакующему выполнить произвольный запрос к базе данных, например, прочитать содержимое любых таблиц или удалить все данные. Еще 42% уязвимостей связаны с кросс-скриптинговыми уязвимостями (XSS, Cross Site Scripting), называемые также межсайтовым скриптинговм. Специфика подобных атак заключается в том, что вместо непосредственной атаки сервера, они используют уязвимый сервер в качестве средства атаки на клиента. XSS-атака обычно проводится путем конструирования специального URL, который атакующий предъявляет своей жертве. Иногда для термина используют сокращение CSS, но, чтобы не было путаницы с каскадными таблицами стилей, используют сокращение XSS. Условно XSS можно разделить на активные и пассивные. При активных XSS вредоносный скрипт хранится на сервере, и срабатывает в браузере жертвы, при открытии какой-либо страницы зараженного сайта. Пассивные XSS подразумевают, что скрипт не хранится на сервере уязвимого сайта, либо он не может автоматически выполниться в браузере жертвы. Для срабатывания пассивной XSS, требуется некое дополнительное действие, которые должен выполнить браузер жертвы (например клик по специально сформированной ссылке). Еще 7% уязвимостей связаны с раскрытием исходного кода серверного веб-приложения, которое непосредственно обращается к данным. Раскрыв исходники потенциальный злоумышленник может создать эксплоит для выполнения различных злонамеренных действий. В целом специалисты говорят, что безопасность онлайновых приложений становится одной из основных проблем для обеспечения не только безопасности вебсайтов, но и множества корпоративных приложений, работающих через интернет. «СайберCекьюрити.Ру»
|