Международная организация Web Application Security Consortium (http://www.webappsec.org) опубликовала обновленную классификацию угроз безопасности web-приложений - "WASC Threat Classification v2.0 (http://projects.webappsec.org/Threat-Classification)". В документе описаны основные виды уязвимостей и атак на web-приложения, представлены примеры атак и рекомендации по защите.

По сравнению с представленной в 2004 году первой версией документа (http://projects.webappsec.org/Threat-Classification-Previous...) в новом выпуске присутствуют следующие изменения:

-  уточнены рамки, терминология и назначение документа;-  обновлены существующие разделы;-  добавлены новые описания атак и уязвимостей;-  создана надежная масштабируемая база, позволяющая вводить и использовать различные типы отображения данных;-  добавлены идентификаторы атак и уязвимостей (WASC-<xx>);-  опубликованы различные точки зрения на классификацию атак и уязвимостей (группировка по причинам возникновения и т.д.).

URL: http://www.ptsecurity.ru/news_page.asp?id=78
Новость: http://www.opennet.me/opennews/art.shtml?num=25307

• Переработанный вариант классификации угроз безопасности web-...,pavlinux, 18:12 , 05-Фев-10
• Переработанный вариант классификации угроз безопасности web-...,Dmitry Evteev, 18:41 , 05-Фев-10
  • Переработанный вариант классификации угроз безопасности web-...,XoRe, 20:47 , 05-Фев-10
    • Переработанный вариант классификации угроз безопасности web-...,pavlinux, 23:50 , 05-Фев-10
• Переработанный вариант классификации угроз безопасности web-...,аноним, 20:14 , 05-Фев-10
  • Переработанный вариант классификации угроз безопасности web-...,thirteensmay, 21:14 , 05-Фев-10

Это не классификация угроз, это руководство для начинающего веб-хацкера... :)

> SQL Injection in Stored Procedures
>
>It is common for SQL Injection attacks to be mitigated by relying on
>parameterized arguments passed to stored procedures. The following examples
>illustrate the need to audit the means by which stored procedures are called and
>the stored procedures themselves.
> SQLCommand = "exec LogonUser '" + strUserName + "','" + strPassword + "'"

Вы не правы. Людям свойственно допускать ошибки. А при разработке Web-приложений самыми распространенными ошибками являются как раз SQL Injection (и Cross-site Scripting).

>Вы не правы. Людям свойственно допускать ошибки. А при разработке Web-приложений самыми
>распространенными ошибками являются как раз SQL Injection (и Cross-site Scripting).

Я вот думаю, можно один раз написать функцию проверки запроса.
И каждый раз перед отправкой запроса на выполнение вставить строчку:
if(is_sql_bad($str)) { sql_ahtung(); }

>>Вы не правы. Людям свойственно допускать ошибки. А при разработке Web-приложений самыми
>>распространенными ошибками являются как раз SQL Injection (и Cross-site Scripting).
>
>Я вот думаю, можно один раз написать функцию проверки запроса.
>И каждый раз перед отправкой запроса на выполнение вставить строчку:
>if(is_sql_bad($str)) { sql_ahtung(); }

Ох как быстро вас хакнут...

// РОБОТ
char **str = **ArrayOfPasswords;

do {
     Check_Cookies_Depends();
     Check_Time_Depends();
     Check_Hash_Depends();
     Check_Someting_Depends();

// САЙТ
         if (is_sql_bad($str)) { sql_ahtung(); }
// РОБОТ
  bool answ = Check_Answer();

} while ( ++str || !answ )

Да web-приложения вообще сами по себе угроза безопасности, приватности, эффективности работы и нашему будущему.

О уважаемый, я вам больше скажу, в них терминаторы маленькие водятся.