https://www.opennet.ru/openforum/vsluhforumID3/43790.html Консорциум безопасности web-приложений (WASC) опубликовал (http://www.webappsec.org/projects/statistics/) отчет по результатам исследования уязвимостей web-приложений за 2007 год. Отчет отталкивается от статистики, полученной в результате проверки безопасности 32717 сайтов и анализа 69476 уязвимостей.<br><br><br>Некоторые интересные факты:<br><br><br><br>- Более 7% из проанализированных сайтов могут быть скомпрометированы средствами автоматического взлома. В 7.72% всех рассмотренных web-приложений, в результате автоматического сканирования, были обнаружены серьёзные ошибки безопасности.<br><br>- В качестве самых распространенных уязвимоей отмечаются: <br><br><br>- Межсайтовое выполнение сценариев (Cross-Site Scripting, XSS): 41% всех найденных уязвимостей, проблеме подвержены 31.47% всех проверенных сайтов;<br>- Утечки информации (Information Leakage): 32% уязвимостей, 23.27% сайтов;<br>- Подстановка SQL операторов (SQL Injection): 9% уязвимостей, 7.85% сайтов;<br>- Размещение важных ресурсов в предсказуемых ме...<br><br>URL: http://www.sec https://www.opennet.ru/openforum/vsluhforumID3/43790.html#17 Thu, 11 Sep 2008 14:18:00 GMT Был бы opennet в виде сервера новостей (NNTP) - сидел бы на нем.<br>А так стараюсь пользоваться другими средствами везде, где возможно: почта - SMTP/POP3, онлайн общение - jabber, передача файлов - ftp.<br> https://www.opennet.ru/openforum/vsluhforumID3/43790.html#16 Thu, 11 Sep 2008 12:48:13 GMT &gt;А также то, что веб в его нынешнем виде - штука изначально <br>&gt;кривая. <br><br>и тем не менее ты сам в нем сидишь<br><br> https://www.opennet.ru/openforum/vsluhforumID3/43790.html#15 Thu, 11 Sep 2008 09:52:29 GMT А также то, что веб в его нынешнем виде - штука изначально кривая.<br> https://www.opennet.ru/openforum/vsluhforumID3/43790.html#14 Thu, 11 Sep 2008 09:29:17 GMT Как то столкнулся по работе с одной фирмой. Меня попросили проверить безопасность разработанного ими сайта. Через 5 минут я слил весь исходный код сайта (так проще выявить все уязвимости), при этом у меня был доступ к сайту только как у обычного пользователя. От просмотра кода у меня волосы встали дыбом. Разработчики даже не знали о существовании таких функций как htmlspecialchars, addslashes и trim. И за такую систему взяли не малые деньги...<br>Так что такие большие проценты уязвимых систем отражают лиш уровень подготовки разработчиков.<br> https://www.opennet.ru/openforum/vsluhforumID3/43790.html#13 Thu, 11 Sep 2008 06:16:16 GMT &gt;&gt;Дак а какой выход тогда ? <br>&gt;&gt;позабыть о mysql и всяких cms движках и всем дружно передти чисто <br>&gt;&gt;на html ??? <br>&gt;<br>&gt;Везде, где можно, перейти на NNTP. <br><br>Владельцы Web-форумов не допустят, чтобы от них сбежало 90% посетителей и они потеряли деньги от рекламы.<br><br>(Я сам бы предпочёл платить провайдеру за сервер NNTP, чем испытывать не себе примитивизм Web-технологий.)<br><br>Бабло пришло в Интернет и отобрало у нас удобство.<br> https://www.opennet.ru/openforum/vsluhforumID3/43790.html#12 Thu, 11 Sep 2008 05:48:38 GMT &gt;Дак а какой выход тогда ? <br>&gt;позабыть о mysql и всяких cms движках и всем дружно передти чисто <br>&gt;на html ??? <br><br> А лучший способ избежать угона машины. ходить пешком.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/43790.html#10 Wed, 10 Sep 2008 20:47:55 GMT Мы их уже сделали:<br>http://www.cisco.com/en/US/prod/collateral/contnetw/ps5719/ps9586/data_sheet_c78-458627.html<br> https://www.opennet.ru/openforum/vsluhforumID3/43790.html#9 Wed, 10 Sep 2008 17:39:07 GMT &gt;Дак а какой выход тогда ? <br>&gt;позабыть о mysql и всяких cms движках и всем дружно передти чисто <br>&gt;на html ??? <br><br>Везде, где можно, перейти на NNTP. <br> https://www.opennet.ru/openforum/vsluhforumID3/43790.html#8 Wed, 10 Sep 2008 17:25:34 GMT &gt; user'; update table set password=MD5('123') where user_id='administrator';;;; как минимум.<br><br>у меня такой код не сработает. Не сработае понескольким причинам, главная из которых - все входные данне всегда проверяются на соответствие своему формату. Без относительно использования той или иной бд.<br>