The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Переработанный вариант классификации угроз безопасности web-..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Переработанный вариант классификации угроз безопасности web-..."  +/
Сообщение от opennews (ok) on 05-Фев-10, 18:12 
Международная организация Web Application Security Consortium (http://www.webappsec.org) опубликовала обновленную классификацию угроз безопасности web-приложений - "WASC Threat Classification v2.0 (http://projects.webappsec.org/Threat-Classification)". В документе описаны основные виды уязвимостей и атак на web-приложения, представлены примеры атак и рекомендации по защите.

По сравнению с представленной в 2004 году первой версией документа (http://projects.webappsec.org/Threat-Classification-Previous...) в новом выпуске присутствуют следующие изменения:

-  уточнены рамки, терминология и назначение документа;-  обновлены существующие разделы;-  добавлены новые описания атак и уязвимостей;-  создана надежная масштабируемая база, позволяющая вводить и использовать различные типы отображения данных;-  добавлены идентификаторы атак и уязвимостей (WASC-<xx>);-  опубликованы различные точки зрения на классификацию атак и уязвимостей (группировка по причинам возникновения и т.д.).


URL: http://www.ptsecurity.ru/news_page.asp?id=78
Новость: https://www.opennet.ru/opennews/art.shtml?num=25307

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Переработанный вариант классификации угроз безопасности web-..."  +/
Сообщение от pavlinux (ok) on 05-Фев-10, 18:12 
Это не классификация угроз, это руководство для начинающего веб-хацкера... :)

> SQL Injection in Stored Procedures
>
>It is common for SQL Injection attacks to be mitigated by relying on
>parameterized arguments passed to stored procedures. The following examples
>illustrate the need to audit the means by which stored procedures are called and
>the stored procedures themselves.
> SQLCommand = "exec LogonUser '" + strUserName + "','" + strPassword + "'"

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Переработанный вариант классификации угроз безопасности web-..."  +/
Сообщение от Dmitry Evteev on 05-Фев-10, 18:41 
Вы не правы. Людям свойственно допускать ошибки. А при разработке Web-приложений самыми распространенными ошибками являются как раз SQL Injection (и Cross-site Scripting).
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Переработанный вариант классификации угроз безопасности web-..."  +/
Сообщение от XoRe (ok) on 05-Фев-10, 20:47 
>Вы не правы. Людям свойственно допускать ошибки. А при разработке Web-приложений самыми
>распространенными ошибками являются как раз SQL Injection (и Cross-site Scripting).

Я вот думаю, можно один раз написать функцию проверки запроса.
И каждый раз перед отправкой запроса на выполнение вставить строчку:
if(is_sql_bad($str)) { sql_ahtung(); }

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Переработанный вариант классификации угроз безопасности web-..."  +/
Сообщение от pavlinux (ok) on 05-Фев-10, 23:50 
>>Вы не правы. Людям свойственно допускать ошибки. А при разработке Web-приложений самыми
>>распространенными ошибками являются как раз SQL Injection (и Cross-site Scripting).
>
>Я вот думаю, можно один раз написать функцию проверки запроса.
>И каждый раз перед отправкой запроса на выполнение вставить строчку:
>if(is_sql_bad($str)) { sql_ahtung(); }

Ох как быстро вас хакнут...

// РОБОТ
char **str = **ArrayOfPasswords;

do {
     Check_Cookies_Depends();
     Check_Time_Depends();
     Check_Hash_Depends();
     Check_Someting_Depends();

// САЙТ
         if (is_sql_bad($str)) { sql_ahtung(); }
// РОБОТ
  bool answ = Check_Answer();

} while ( ++str || !answ )

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Переработанный вариант классификации угроз безопасности web-..."  +/
Сообщение от аноним on 05-Фев-10, 20:14 
Да web-приложения вообще сами по себе угроза безопасности, приватности, эффективности работы и нашему будущему.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Переработанный вариант классификации угроз безопасности web-..."  +/
Сообщение от thirteensmay on 05-Фев-10, 21:14 
О уважаемый, я вам больше скажу, в них терминаторы маленькие водятся.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру