The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Переработанный вариант классификации угроз безопасности web-приложений

05.02.2010 15:44

Международная организация Web Application Security Consortium опубликовала обновленную классификацию угроз безопасности web-приложений - "WASC Threat Classification v2.0". В документе описаны основные виды уязвимостей и атак на web-приложения, представлены примеры атак и рекомендации по защите.

По сравнению с представленной в 2004 году первой версией документа в новом выпуске присутствуют следующие изменения:

  • уточнены рамки, терминология и назначение документа;
  • обновлены существующие разделы;
  • добавлены новые описания атак и уязвимостей;
  • создана надежная масштабируемая база, позволяющая вводить и использовать различные типы отображения данных;
  • добавлены идентификаторы атак и уязвимостей (WASC-);
  • опубликованы различные точки зрения на классификацию атак и уязвимостей (группировка по причинам возникновения и т.д.).


  1. Главная ссылка к новости (http://www.ptsecurity.ru/news_...)
  2. OpenNews: Статистика уязвимостей web-приложений
  3. Перевод на русский язык первой версии классификации атак на web-приложения
  4. OpenNews: Классификация атак на web-приложения.
  5. OpenNews: Статистика уязвимостей web-приложений
Автор новости: Positive Technologies
Тип: английский / Обобщение
Короткая ссылка: https://opennet.ru/25307-security
Ключевые слова: security, web, attack
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (6) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, pavlinux (ok), 18:12, 05/02/2010 [ответить]  
  • +/
    Это не классификация угроз, это руководство для начинающего веб-хацкера... :)

    > SQL Injection in Stored Procedures
    >
    >It is common for SQL Injection attacks to be mitigated by relying on
    >parameterized arguments passed to stored procedures. The following examples
    >illustrate the need to audit the means by which stored procedures are called and
    >the stored procedures themselves.
    > SQLCommand = "exec LogonUser '" + strUserName + "','" + strPassword + "'"

     
  • 1.3, Dmitry Evteev (?), 18:41, 05/02/2010 [ответить]  
  • +/
    Вы не правы. Людям свойственно допускать ошибки. А при разработке Web-приложений самыми распространенными ошибками являются как раз SQL Injection (и Cross-site Scripting).
     
     
  • 2.5, XoRe (ok), 20:47, 05/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Вы не правы. Людям свойственно допускать ошибки. А при разработке Web-приложений самыми
    >распространенными ошибками являются как раз SQL Injection (и Cross-site Scripting).

    Я вот думаю, можно один раз написать функцию проверки запроса.
    И каждый раз перед отправкой запроса на выполнение вставить строчку:
    if(is_sql_bad($str)) { sql_ahtung(); }

     
     
  • 3.7, pavlinux (ok), 23:50, 05/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >>Вы не правы. Людям свойственно допускать ошибки. А при разработке Web-приложений самыми
    >>распространенными ошибками являются как раз SQL Injection (и Cross-site Scripting).
    >
    >Я вот думаю, можно один раз написать функцию проверки запроса.
    >И каждый раз перед отправкой запроса на выполнение вставить строчку:
    >if(is_sql_bad($str)) { sql_ahtung(); }

    Ох как быстро вас хакнут...

    // РОБОТ
    char **str = **ArrayOfPasswords;

    do {
         Check_Cookies_Depends();
         Check_Time_Depends();
         Check_Hash_Depends();
         Check_Someting_Depends();

    // САЙТ
             if (is_sql_bad($str)) { sql_ahtung(); }
    // РОБОТ
      bool answ = Check_Answer();

    } while ( ++str || !answ )

     

  • 1.4, аноним (?), 20:14, 05/02/2010 [ответить]  
  • +/
    Да web-приложения вообще сами по себе угроза безопасности, приватности, эффективности работы и нашему будущему.
     
     
  • 2.6, thirteensmay (?), 21:14, 05/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    О уважаемый, я вам больше скажу, в них терминаторы маленькие водятся.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру