Переработанный вариант классификации угроз безопасности web-приложений

05.02.2010 15:44

Международная организация Web Application Security Consortium опубликовала обновленную классификацию угроз безопасности web-приложений - "WASC Threat Classification v2.0". В документе описаны основные виды уязвимостей и атак на web-приложения, представлены примеры атак и рекомендации по защите.

По сравнению с представленной в 2004 году первой версией документа в новом выпуске присутствуют следующие изменения:

уточнены рамки, терминология и назначение документа;
обновлены существующие разделы;
добавлены новые описания атак и уязвимостей;
создана надежная масштабируемая база, позволяющая вводить и использовать различные типы отображения данных;
добавлены идентификаторы атак и уязвимостей (WASC-);
опубликованы различные точки зрения на классификацию атак и уязвимостей (группировка по причинам возникновения и т.д.).

исправить +/–

Автор новости: Positive Technologies

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/25307-security

Ключевые слова: security, web, attack

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (6)

1.1, pavlinux (ok), 18:12, 05/02/2010 [ответить]	+/–
Это не классификация угроз, это руководство для начинающего веб-хацкера... :) > SQL Injection in Stored Procedures > >It is common for SQL Injection attacks to be mitigated by relying on >parameterized arguments passed to stored procedures. The following examples >illustrate the need to audit the means by which stored procedures are called and >the stored procedures themselves. > SQLCommand = "exec LogonUser '" + strUserName + "','" + strPassword + "'"

1.3, Dmitry Evteev (?), 18:41, 05/02/2010 [ответить]	+/–
Вы не правы. Людям свойственно допускать ошибки. А при разработке Web-приложений самыми распространенными ошибками являются как раз SQL Injection (и Cross-site Scripting).

2.5, XoRe (ok), 20:47, 05/02/2010 [^] [^^] [^^^] [ответить]	+/–
>Вы не правы. Людям свойственно допускать ошибки. А при разработке Web-приложений самыми >распространенными ошибками являются как раз SQL Injection (и Cross-site Scripting). Я вот думаю, можно один раз написать функцию проверки запроса. И каждый раз перед отправкой запроса на выполнение вставить строчку: if(is_sql_bad($str)) { sql_ahtung(); }

3.7, pavlinux (ok), 23:50, 05/02/2010 [^] [^^] [^^^] [ответить]

+/–

>>Вы не правы. Людям свойственно допускать ошибки. А при разработке Web-приложений самыми
>>распространенными ошибками являются как раз SQL Injection (и Cross-site Scripting).
>
>Я вот думаю, можно один раз написать функцию проверки запроса.
>И каждый раз перед отправкой запроса на выполнение вставить строчку:
>if(is_sql_bad($str)) { sql_ahtung(); }

Ох как быстро вас хакнут...

// РОБОТ
char **str = **ArrayOfPasswords;

do {
     Check_Cookies_Depends();
     Check_Time_Depends();
     Check_Hash_Depends();
     Check_Someting_Depends();

// САЙТ
if (is_sql_bad($str)) { sql_ahtung(); }
// РОБОТ
bool answ = Check_Answer();

} while ( ++str || !answ )

1.4, аноним (?), 20:14, 05/02/2010 [ответить]	+/–
Да web-приложения вообще сами по себе угроза безопасности, приватности, эффективности работы и нашему будущему.

2.6, thirteensmay (?), 21:14, 05/02/2010 [^] [^^] [^^^] [ответить]	+/–
О уважаемый, я вам больше скажу, в них терминаторы маленькие водятся.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: