На главную

Библиотека Интернет Индустрии I2R.ru

Rambler's Top100

Малобюджетные сайты...

Продвижение веб-сайта...

Контент и авторское право...

Забобрить эту страницу! Забобрить! Блог Библиотека Сайтостроительства на toodoo
  Поиск:   
Рассылки для занятых...»

Десять уязвимостей Web 2.0

13.10.2006 13:20

Изменение технологической среды, обусловившее развитие Web 2.0, вызывает опасения о безопасности соответствующих веб-приложений - даже при должном уровне безопасности на сервере системы оказываются незащищенными со стороны клиентских интерфейсов и веб-браузеров.

Портал Help Net Security опубликовал список из десяти наиболее опасных вариантов атак систем Web 2.0:

  • Cross-site scripting атаки в AJAX: при этой атаке запускается скрипт с уязвимостями, через который затем осуществляется атака; все, что нужно хакеру, - убедить пользователя открыть из браузера ссылку вредоносной страницы. Эта схема срабатывает и на традиционных приложениях, а AJAX расширил ее горизонты.
  • XML-заражение: атаке может быть подвергнута внешняя ссылка на XML-объект, что может привести к произвольному запуску файла или TCP-соединения, которое будет использовано взломщиком.
  • Выполнение зараженного AJAX кода: пользователь часто не в состоянии определить, совершает ли браузер AJAX-вызовы с использованием запросов XML/HTTP. При совершении AJAX-запроса к сайту браузер каждый раз заново авторизуется с помщью cookies, создавая опасность для внешнего проникновения.
  • RSS/Atom - проникновение: одна из новых схем атаки на Web 2.0. RSS-потоки, попадающие в браузеры через веб-приложения, могут содержать Java-скрипт с ошибками, запуск которого приводит к установке программ или краже cookies.
  • Web Service routing issues: недостаточная безопасность одного из промежуточных узлов может сделать доступным SOAP-сообщение в момент его пути из одной точки в другую.
  • Манипуляция параметрами SOAP: различные манипуляции взломщика с одним из узлов SOAP-сообщений, такие как внедрение SQK, LDAP, XPATH, позволяют ему выбрать лучший вариант атаки. Некорректная или недостаточная проверка системой кода на входе создает возможность для атаки на приложения.
  • Внедрение XPATH в SOAP-сообщение: часто большие XML-файлы содержат добавленные конечным пользователем секции когда, формирующие отрывки XPATH, за счет которых уязвимым становится весь документ. Если внедренный код запускается успешно, взлом может спровоцировать потерю данных. Единственный способ блокировать этот способ проникновения - проверять XPATH запросы, прежде чем передавать в ответ на них ценную информацию.
  • RIA thick client binary manipulation: У RIA (Rich Internet Applications), использующих возможности Flash, ActiveX Controls как основные интерфейсы для веб-приложений, существуют такие проблемы безопасности, как управление текущими сессиями, совместные сессии. Кроме того, когда компонент полностью загружен в указанное пользователем место, взломщик может перепрограммировать бинарный файл и декомпилировать код.

Материалы по теме:


Источник: Webplanet.ru


последние новости
01.02.2013 15:18 | Интернет и малые предприятия...»
22.01.2013 13:30 | Провал с планшетом от Microsoft...»
27.11.2012 13:14 | Ключ к лучшему софту для вас!...»
22.11.2012 14:39 | Выбор домашнего компьютера...»
16.11.2012 15:17 | Старый знакомый - Dr. Web...»

Другие разделы
I2R Business
I2R Web Creation
I2R Computer
I2R-Журналы
I2R Business
I2R Web Creation
I2R Computer
рассылки библиотеки +
И2Р Программы
Всё о Windows
Программирование
Софт
Мир Linux
Галерея Попова
Каталог I2R
Партнеры
Amicus Studio
NunDesign
Горящие путевки, идеи путешествийMegaTIS.Ru

2000-2008 г.   
Все авторские права соблюдены.
Rambler's Top100