Хакер #305. Многошаговые SQL-инъекции
В ответ на повышение ИБ киберпреступники и шпионы сменили свою мишень. Теперь для доступа к секретной информации используются веб-приложения. Сталкиваясь с усовершенствованиями систем безопасности сети, хакеры нашли направления, позволяющие им уклоняться от брандмауэров, антивирусного ПО и других средств защиты: можно легко ввести в заблуждение пользователя посредством веб-приложений, сообщает институт SANS.
27 ноября вышел Top 20 Internet Security Risks (топ рисков интернет-безопасности), отражающий исследования работников SANS. Причем этот отчет свидетельствует о том, что традиционные планы нападений киберпреступников с использованием уязвимостей защитного ПО уже не так популярны. Хотя такие уязвимости все же остаются большой проблемой. Исправление стандартных инструментов защиты (типа брандмауэров и антивирусного ПО) – долгий и трудный путь по предотвращению кибератак. Защита же от неосмотрительности пользователя и атак против настраиваемых приложений - намного более трудная задача. Безопасность веб-приложений - очень сложная проблема, потому что большинство разработчиков не заботятся о
безопасности. Как следствие, веб-приложения можно использовать для доступа к базам данных с секретной информацией компаний. «Пока учебные заведения, готовящие программистов, и компании по производству ПО не будут гарантировать безопасного кода программных приложений, мы будем наблюдать критические уязвимости в половине всех веб-приложений», - утверждает Алан Поллер, руководитель исследований SANS. Сорок три эксперта безопасности от правительств, сферы промышленности и институтов шести разных стран сотрудничали, чтобы составить Top 20 рисков ИБ. Поставщики соглашаются, что защита веб-приложений – одна из самых сложных проблем в промышленности.
Источник: Cnews.ru