URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 43790
[ Назад ]

Исходное сообщение
"OpenNews: Статистика уязвимостей web-приложений"

Отправлено opennews , 10-Сен-08 18:44 
Консорциум безопасности web-приложений (WASC) опубликовал (http://www.webappsec.org/projects/statistics/) отчет по результатам исследования уязвимостей web-приложений за 2007 год. Отчет отталкивается от статистики, полученной в результате проверки безопасности 32717 сайтов и анализа 69476 уязвимостей.


Некоторые интересные факты:

-  Более  7% из проанализированных сайтов могут быть скомпрометированы средствами автоматического взлома. В 7.72% всех рассмотренных web-приложений, в результате автоматического сканирования, были обнаружены серьёзные ошибки безопасности.

-  В качестве самых распространенных уязвимоей отмечаются:


-  Межсайтовое выполнение сценариев (Cross-Site Scripting, XSS): 41% всех найденных уязвимостей, проблеме подвержены 31.47% всех проверенных сайтов;
-  Утечки информации (Information Leakage): 32% уязвимостей, 23.27% сайтов;
-  Подстановка SQL операторов (SQL Injection): 9% уязвимостей, 7.85% сайтов;
-  Размещение важных ресурсов в предсказуемых ме...

URL: http://www.securityfocus.com/archive/1/496093
Новость: http://www.opennet.me/opennews/art.shtml?num=17822


Содержание

Сообщения в этом обсуждении
"Статистика уязвимостей web-приложений"
Отправлено Серж , 10-Сен-08 18:44 
Да уж... Ждём-с платных веб-серверных сторожей от Каспера, Нортона и иже с ними :-(

"Статистика уязвимостей web-приложений"
Отправлено kost BebiX , 10-Сен-08 20:11 
:-)))

Ага, и первую главу о них в мануале по пхп со словами "Запомните. Вы - будущий быдлокодер, а потому антивирус для вас - очень важно".

p.s.: шучу, но зачастую так оно и оказывается


"Статистика уязвимостей web-приложений"
Отправлено melesik , 10-Сен-08 20:12 
Это не поможет

"Статистика уязвимостей web-приложений"
Отправлено Александр Чуранов , 11-Сен-08 00:47 
Мы их уже сделали:
http://www.cisco.com/en/US/prod/collateral/contnetw/ps5719/p...

"Статистика уязвимостей web-приложений"
Отправлено Geol , 10-Сен-08 20:31 
Не в коем случае не страдая лишьей беспечностью, всё таки позволю себе заметить, что все эти "уязвимости", по боьшей части являются таковыми только в глазах отделов маркетинга секьюрити компаний. Посмотрим:
Cross-Site Scripting, XSS - как правило обнаружение данной уязвимости обозначает, что путливое создание, запихав JavaScript в поле формы [почти] добилось выполнения дико хакерского скрипта window.alert('test');. И всё. Это при том, что даже максиум - кража админских кукисов, не гарантирует и вообще, при нормальной системе аутентификации, не предполагает перехват админского пароля. но если в форме можно передать "<", это уязвимость, ага.
SQL Injection - ровно то же самое. Это идиотизм, считать уязвимыми по причине SQL Injection те сайты, где данные из формы используются для запросов в бд операторами типа mysql_query("SELECT.... WHERE name=".$_POST('user_name');. это неважный стиль, но не вкаком разе не уязвимость.

"Статистика уязвимостей web-приложений"
Отправлено exn , 10-Сен-08 21:16 
>mysql_query("SELECT.... WHERE name=".$_POST('user_name');
>не вкаком разе не уязвимость.

если конечно $_POST('user_name') не user'; update table set password=MD5('123') where user_id='administrator';;;; как минимум.


"Статистика уязвимостей web-приложений"
Отправлено Geol , 10-Сен-08 21:25 
> user'; update table set password=MD5('123') where user_id='administrator';;;; как минимум.

у меня такой код не сработает. Не сработае понескольким причинам, главная из которых - все входные данне всегда проверяются на соответствие своему формату. Без относительно использования той или иной бд.


"Статистика уязвимостей web-приложений"
Отправлено Аноним , 10-Сен-08 20:38 
Дак а какой выход тогда ?
позабыть о mysql и всяких cms движках и всем дружно передти чисто на html ???

"Статистика уязвимостей web-приложений"
Отправлено alexmasz , 10-Сен-08 20:42 
>позабыть о mysql и всяких cms движках и всем дружно передти чисто на html ???

о, как замечательно было бы :)


"Статистика уязвимостей web-приложений"
Отправлено Аноним , 10-Сен-08 21:39 
>Дак а какой выход тогда ?
>позабыть о mysql и всяких cms движках и всем дружно передти чисто
>на html ???

Везде, где можно, перейти на NNTP.


"Статистика уязвимостей web-приложений"
Отправлено Anonymous , 11-Сен-08 10:16 
>>Дак а какой выход тогда ?
>>позабыть о mysql и всяких cms движках и всем дружно передти чисто
>>на html ???
>
>Везде, где можно, перейти на NNTP.

Владельцы Web-форумов не допустят, чтобы от них сбежало 90% посетителей и они потеряли деньги от рекламы.

(Я сам бы предпочёл платить провайдеру за сервер NNTP, чем испытывать не себе примитивизм Web-технологий.)

Бабло пришло в Интернет и отобрало у нас удобство.


"Статистика уязвимостей web-приложений"
Отправлено Geol , 11-Сен-08 09:48 
>Дак а какой выход тогда ?
>позабыть о mysql и всяких cms движках и всем дружно передти чисто
>на html ???

А лучший способ избежать угона машины. ходить пешком.


"Статистика уязвимостей web-приложений"
Отправлено nobody , 11-Сен-08 13:29 
Как то столкнулся по работе с одной фирмой. Меня попросили проверить безопасность разработанного ими сайта. Через 5 минут я слил весь исходный код сайта (так проще выявить все уязвимости), при этом у меня был доступ к сайту только как у обычного пользователя. От просмотра кода у меня волосы встали дыбом. Разработчики даже не знали о существовании таких функций как htmlspecialchars, addslashes и trim. И за такую систему взяли не малые деньги...
Так что такие большие проценты уязвимых систем отражают лиш уровень подготовки разработчиков.

"Статистика уязвимостей web-приложений"
Отправлено Аноним , 11-Сен-08 13:52 
А также то, что веб в его нынешнем виде - штука изначально кривая.

"Статистика уязвимостей web-приложений"
Отправлено Bubmik , 11-Сен-08 16:48 
>А также то, что веб в его нынешнем виде - штука изначально
>кривая.

и тем не менее ты сам в нем сидишь


"Статистика уязвимостей web-приложений"
Отправлено Аноним , 11-Сен-08 18:18 
Был бы opennet  в виде сервера новостей (NNTP) - сидел бы на нем.
А так стараюсь пользоваться другими средствами везде, где возможно: почта - SMTP/POP3, онлайн общение - jabber, передача файлов - ftp.