Xakep #305. Многошаговые SQL-инъекции
Некоммерческая организация Open
Web Application Security Project (OWASP) представила список
десяти наиболее опасных, но, в то же время,
распространенных дыр в программном
обеспечении для интернета и веб-сервисах.
По мнению OWASP, на эти уязвимости стоит
обратить самое пристальное внимание как
государственным, так и коммерческим
организациям, желающим обезопасить себя и
своих клиентов от хакеров. Все указанные
уязвимости достаточно широко
распространены, а использовать их под силу
даже малоквалифицированным хакерам,
поскольку соответствующие средства взлома
легко найти в Сети.
На первом месте списка OWASP находится
уязвимость, связанная с отсутствием
проверки параметров в http-запросах. В
результате, используя особые параметры,
хакер может получить доступ к ресурсам
сервера через веб-приложение. На втором
месте находится несоблюдение политик
управления доступом к ресурсам. Это
позволяет злоумышленнику использовать
закрытые ресурсы или получать доступ к
учетным записям других пользователей.
На третьей позиции рейтинга значится
несоблюдение правил управления учетными
записями и пользовательскими сессиями. Эта
уязвимость связана, прежде всего, с
отсутствием надежной защиты
пользовательских данных (логина, пароля) и
идентификаторов сессий, таких как файлы cookie.
Это позволяет хакерам перехватывать данные
других пользователей и пользоваться
системой от их имени.
На четвертой позиции находятся
уязвимости, связанные с ошибками в
механизме Cross-Site Scripting (CSS или XSS),
используемом для перенаправления
пользователя на другие сайты. В этом случае
атака может привести к получению хакером
доступа к пользовательским данным или
взлому локального компьютера.
Под пятым пунктом упоминаются ошибки
переполнения буфера, имеющиеся во многих
программных продуктах - от скриптов и
драйверов до операционных систем и
серверного ПО. Отсутствие проверки
некоторых параметров может приводить к
переполнению буфера, а хакер при этом
захватывает управление компьютером.
Сообщения об обнаружении ошибок
переполнения появляются чрезвычайно часто.
На шестой позиции находятся дыры,
связанные с отсутствием надлежащего
контроля за параметрами, передаваемыми
компьютерами при доступе к внешним
ресурсам. Если хакер сумеет ввести в эти
параметры свои команды, последствия могут
быть самыми печальными. Далее специалисты
OWASP отмечают уязвимости, связанные с
неправильной реализацией обработки ошибок
в программном обеспечении. В некоторых
случаях при возникновении ошибок хакер
может получить информацию о системе или
даже доступ к ней.
На восьмой позиции находится неудачное
использование криптографии. В OWASP отмечают,
что часто инструменты для шифрования
информации имеют собственные дыры, из-за
чего применение сильной криптографии
теряет всякий смысл. На девятом месте
находятся уязвимости, связанные с
отсутствием надлежащей защиты подсистем
удаленного администрирования. И хотя
наличие веб-интерфейса удобно, поскольку
позволяет администратору управлять
системой с любого подключенного к Сети
компьютера, при отсутствии надежной защиты
то же самое может делать и хакер.
Наконец, на десятом месте среди
уязвимостей OWASP помещает неправильное
конфигурирование серверного ПО, многие
настройки которого серьезно влияют на
безопасности системы.