форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[ Отслеживать ]

"OpenNews: Статистика уязвимостей web-приложений"

Сообщение от opennews (??) on 10-Сен-08, 18:44

Консорциум безопасности web-приложений (WASC) опубликовал (http://www.webappsec.org/projects/statistics/) отчет по результатам исследования уязвимостей web-приложений за 2007 год. Отчет отталкивается от статистики, полученной в результате проверки безопасности 32717 сайтов и анализа 69476 уязвимостей. Некоторые интересные факты: -  Более  7% из проанализированных сайтов могут быть скомпрометированы средствами автоматического взлома. В 7.72% всех рассмотренных web-приложений, в результате автоматического сканирования, были обнаружены серьёзные ошибки безопасности. -  В качестве самых распространенных уязвимоей отмечаются: -  Межсайтовое выполнение сценариев (Cross-Site Scripting, XSS): 41% всех найденных уязвимостей, проблеме подвержены 31.47% всех проверенных сайтов; -  Утечки информации (Information Leakage): 32% уязвимостей, 23.27% сайтов; -  Подстановка SQL операторов (SQL Injection): 9% уязвимостей, 7.85% сайтов; -  Размещение важных ресурсов в предсказуемых ме... URL: http://www.securityfocus.com/archive/1/496093 Новость: http://www.opennet.dev/opennews/art.shtml?num=17822

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Статистика уязвимостей web-приложений"

Сообщение от Серж (??) on 10-Сен-08, 18:44

Да уж... Ждём-с платных веб-серверных сторожей от Каспера, Нортона и иже с ними :-(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Статистика уязвимостей web-приложений"
	Сообщение от kost BebiX on 10-Сен-08, 20:11
	:-))) Ага, и первую главу о них в мануале по пхп со словами "Запомните. Вы - будущий быдлокодер, а потому антивирус для вас - очень важно". p.s.: шучу, но зачастую так оно и оказывается
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Статистика уязвимостей web-приложений"
	Сообщение от melesik on 10-Сен-08, 20:12
	Это не поможет
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Статистика уязвимостей web-приложений"
	Сообщение от Александр Чуранов on 11-Сен-08, 00:47
	Мы их уже сделали: http://www.cisco.com/en/US/prod/collateral/contnetw/ps5719/p...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Статистика уязвимостей web-приложений"

Сообщение от Geol on 10-Сен-08, 20:31

Не в коем случае не страдая лишьей беспечностью, всё таки позволю себе заметить, что все эти "уязвимости", по боьшей части являются таковыми только в глазах отделов маркетинга секьюрити компаний. Посмотрим: Cross-Site Scripting, XSS - как правило обнаружение данной уязвимости обозначает, что путливое создание, запихав JavaScript в поле формы [почти] добилось выполнения дико хакерского скрипта window.alert('test');. И всё. Это при том, что даже максиум - кража админских кукисов, не гарантирует и вообще, при нормальной системе аутентификации, не предполагает перехват админского пароля. но если в форме можно передать "<", это уязвимость, ага. SQL Injection - ровно то же самое. Это идиотизм, считать уязвимыми по причине SQL Injection те сайты, где данные из формы используются для запросов в бд операторами типа mysql_query("SELECT.... WHERE name=".$_POST('user_name');. это неважный стиль, но не вкаком разе не уязвимость.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Статистика уязвимостей web-приложений"
	Сообщение от exn (??) on 10-Сен-08, 21:16
	>mysql_query("SELECT.... WHERE name=".$_POST('user_name'); >не вкаком разе не уязвимость. если конечно $_POST('user_name') не user'; update table set password=MD5('123') where user_id='administrator';;;; как минимум.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Статистика уязвимостей web-приложений"
	Сообщение от Geol on 10-Сен-08, 21:25
	> user'; update table set password=MD5('123') where user_id='administrator';;;; как минимум. у меня такой код не сработает. Не сработае понескольким причинам, главная из которых - все входные данне всегда проверяются на соответствие своему формату. Без относительно использования той или иной бд.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Статистика уязвимостей web-приложений"

Сообщение от Аноним (??) on 10-Сен-08, 20:38

Дак а какой выход тогда ? позабыть о mysql и всяких cms движках и всем дружно передти чисто на html ???

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Статистика уязвимостей web-приложений"
	Сообщение от alexmasz on 10-Сен-08, 20:42
	>позабыть о mysql и всяких cms движках и всем дружно передти чисто на html ??? о, как замечательно было бы :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Статистика уязвимостей web-приложений"
	Сообщение от Аноним (??) on 10-Сен-08, 21:39
	>Дак а какой выход тогда ? >позабыть о mysql и всяких cms движках и всем дружно передти чисто >на html ??? Везде, где можно, перейти на NNTP.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Статистика уязвимостей web-приложений"
	Сообщение от Anonymous on 11-Сен-08, 10:16
	>>Дак а какой выход тогда ? >>позабыть о mysql и всяких cms движках и всем дружно передти чисто >>на html ??? > >Везде, где можно, перейти на NNTP. Владельцы Web-форумов не допустят, чтобы от них сбежало 90% посетителей и они потеряли деньги от рекламы. (Я сам бы предпочёл платить провайдеру за сервер NNTP, чем испытывать не себе примитивизм Web-технологий.) Бабло пришло в Интернет и отобрало у нас удобство.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Статистика уязвимостей web-приложений"
	Сообщение от Geol on 11-Сен-08, 09:48
	>Дак а какой выход тогда ? >позабыть о mysql и всяких cms движках и всем дружно передти чисто >на html ??? А лучший способ избежать угона машины. ходить пешком.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Статистика уязвимостей web-приложений"

Сообщение от nobody (??) on 11-Сен-08, 13:29

Как то столкнулся по работе с одной фирмой. Меня попросили проверить безопасность разработанного ими сайта. Через 5 минут я слил весь исходный код сайта (так проще выявить все уязвимости), при этом у меня был доступ к сайту только как у обычного пользователя. От просмотра кода у меня волосы встали дыбом. Разработчики даже не знали о существовании таких функций как htmlspecialchars, addslashes и trim. И за такую систему взяли не малые деньги... Так что такие большие проценты уязвимых систем отражают лиш уровень подготовки разработчиков.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "Статистика уязвимостей web-приложений"
	Сообщение от Аноним (??) on 11-Сен-08, 13:52
	А также то, что веб в его нынешнем виде - штука изначально кривая.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "Статистика уязвимостей web-приложений"
	Сообщение от Bubmik on 11-Сен-08, 16:48
	>А также то, что веб в его нынешнем виде - штука изначально >кривая. и тем не менее ты сам в нем сидишь
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	17. "Статистика уязвимостей web-приложений"
	Сообщение от Аноним (??) on 11-Сен-08, 18:18
	Был бы opennet  в виде сервера новостей (NNTP) - сидел бы на нем. А так стараюсь пользоваться другими средствами везде, где возможно: почта - SMTP/POP3, онлайн общение - jabber, передача файлов - ftp.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]