форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Переработанный вариант классификации угроз безопасности web-..."		+/–
Сообщение от opennews (ok) on 05-Фев-10, 18:12
Международная организация Web Application Security Consortium (http://www.webappsec.org) опубликовала обновленную классификацию угроз безопасности web-приложений - "WASC Threat Classification v2.0 (http://projects.webappsec.org/Threat-Classification)". В документе описаны основные виды уязвимостей и атак на web-приложения, представлены примеры атак и рекомендации по защите. По сравнению с представленной в 2004 году первой версией документа (http://projects.webappsec.org/Threat-Classification-Previous...) в новом выпуске присутствуют следующие изменения: -  уточнены рамки, терминология и назначение документа;-  обновлены существующие разделы;-  добавлены новые описания атак и уязвимостей;-  создана надежная масштабируемая база, позволяющая вводить и использовать различные типы отображения данных;-  добавлены идентификаторы атак и уязвимостей (WASC-<xx>);-  опубликованы различные точки зрения на классификацию атак и уязвимостей (группировка по причинам возникновения и т.д.). URL: http://www.ptsecurity.ru/news_page.asp?id=78 Новость: http://www.opennet.me/opennews/art.shtml?num=25307
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по ответам | RSS]

	1. "Переработанный вариант классификации угроз безопасности web-..."		+/–
	Сообщение от pavlinux (ok) on 05-Фев-10, 18:12
	Это не классификация угроз, это руководство для начинающего веб-хацкера... :) > SQL Injection in Stored Procedures > >It is common for SQL Injection attacks to be mitigated by relying on >parameterized arguments passed to stored procedures. The following examples >illustrate the need to audit the means by which stored procedures are called and >the stored procedures themselves. > SQLCommand = "exec LogonUser '" + strUserName + "','" + strPassword + "'"
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "Переработанный вариант классификации угроз безопасности web-..."		+/–
	Сообщение от Dmitry Evteev on 05-Фев-10, 18:41
	Вы не правы. Людям свойственно допускать ошибки. А при разработке Web-приложений самыми распространенными ошибками являются как раз SQL Injection (и Cross-site Scripting).
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "Переработанный вариант классификации угроз безопасности web-..."		+/–
	Сообщение от аноним on 05-Фев-10, 20:14
	Да web-приложения вообще сами по себе угроза безопасности, приватности, эффективности работы и нашему будущему.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	5. "Переработанный вариант классификации угроз безопасности web-..."		+/–
	Сообщение от XoRe (ok) on 05-Фев-10, 20:47
	>Вы не правы. Людям свойственно допускать ошибки. А при разработке Web-приложений самыми >распространенными ошибками являются как раз SQL Injection (и Cross-site Scripting). Я вот думаю, можно один раз написать функцию проверки запроса. И каждый раз перед отправкой запроса на выполнение вставить строчку: if(is_sql_bad($str)) { sql_ahtung(); }
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	6. "Переработанный вариант классификации угроз безопасности web-..."		+/–
	Сообщение от thirteensmay on 05-Фев-10, 21:14
	О уважаемый, я вам больше скажу, в них терминаторы маленькие водятся.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	7. "Переработанный вариант классификации угроз безопасности web-..."		+/–
	Сообщение от pavlinux (ok) on 05-Фев-10, 23:50
	>>Вы не правы. Людям свойственно допускать ошибки. А при разработке Web-приложений самыми >>распространенными ошибками являются как раз SQL Injection (и Cross-site Scripting). > >Я вот думаю, можно один раз написать функцию проверки запроса. >И каждый раз перед отправкой запроса на выполнение вставить строчку: >if(is_sql_bad($str)) { sql_ahtung(); } Ох как быстро вас хакнут... // РОБОТ char **str = **ArrayOfPasswords; do {      Check_Cookies_Depends();      Check_Time_Depends();      Check_Hash_Depends();      Check_Someting_Depends(); // САЙТ          if (is_sql_bad($str)) { sql_ahtung(); } // РОБОТ   bool answ = Check_Answer(); } while ( ++str || !answ )
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема