Показано с 1 по 2 из 2.

70% сайтов уязвимы для XSS-атак

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3704

    70% сайтов уязвимы для XSS-атак

    По сообщению White Hat Security, 9 из 10 популярных сайтов имеют уязвимости. В результате сканирования разных публичных веб-ресурсов было обнаружено в среднем по 7 уязвимостей на каждом. ИБ-специалисты из White Hat Security отмечают, что, несмотря на развитие индустрии защиты данных защиты от атак, владельцы сайтов часто не думают о защите своих ресурсов, несмотря на то, что они несут убытки от взломов сайтов и утечек данных клиентов. Самой распространенной уязвимостью оказалась XSS (Cross-Site Scripting) – она обнаружена на 70% сайтов. Вторая по распространенности уязвимость связана с утечкой служебных данных – 45% сайтов «уличены» в ее наличии. Под этой уязвимостью White Hat Security подразумевает доступ к информации служебного характера: информация пользователей, исходные коды скриптов, данные о серверном ПО, а также об ошибках в нем. На 25 % сайтов обнаружены уязвимости, позволяющие спамерам эксплуатировать веб-ресурсы в своих целях. Чаще эта проблема касается блогов и чатов. Кроме того, в отчете ИБ-компании говорится о таких распространенных уязвимостях, как размещение на публичных страницах закрытых данных, SQL-инъекций, публичный доступ к файлам, отвечающим за работу сайта и т. д. Интересно, что самое большое количество уязвимостей обнаружено на веб-сайтах продавцов, страховых компаний, ИТ-компаний и организаций здравоохранения.
    Источник

    uinc.ru
    Left home for a few days and look what happens...

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.12.2007
    Адрес
    Питер
    Сообщений
    170
    Вес репутации
    78
    о!...интересная тема)
    сейчас попробую ее адаптировать для РФ

    По сообщению White Hat Security, 9 из 10 популярных сайтов имеют уязвимости.
    команда буржуйская (забугорная т.е) и разговор идет также про их сайты, т.е про их сайты с более-менее норм посещаемостью...
    ...теперь особенности: такие же русские сайты - это сайты на нуленых двигах брендов (вобла, дле, ипб) ..ну или ненуленых (пример - вирусинфо) ... у вас же лицензия на скрипт?
    Именно поэтому подобная статистика для рус. сайтов подобного типа - намного меньше (за бугром просто любят юзать самописные двиги, а у нас - нет).

    Самой распространенной уязвимостью оказалась XSS (Cross-Site Scripting) – она обнаружена на 70% сайтов
    если переводить на нас - если рассматривать самописные двиги сайтов, чатов или просто сторонние скрипты - то картина намного печальнее - думаю, что 95% таких самописных скриптов страдают этой язвой

    Вторая по распространенности уязвимость связана с утечкой служебных данных – 45% сайтов «уличены» в ее наличии.
    а это - просто тупо лень админов и их нежелание юзать гугл и читать форума, посвященные двигу, который они юзают...
    (это раскрытие путей, версии двига, неверный роботс.тхт, склероз о том, что надо кидать пустой индекс.пхп в папки, которые сами создают, версия сервера... короче, это ясно...)


    На 25 % сайтов обнаружены уязвимости, позволяющие спамерам эксплуатировать веб-ресурсы в своих целях.
    как пример - отсутствие каптчи - у нас такое редко встретишь...
    очень редко


    SQL-инъекций
    да, вот она больная тема - отсутствие фильтрации в самописных двигах (чаще всего)


    маленький вывод:
    от чего это происходит? ну прежде всего от лени человека и от малого опыта...
    например - лень почитать побольше, лень погуглить, лень прочитать инструкцию и т.д
    малый опыт - прочитали один учебник по пхп и думают, что все знают и пошли клепать двиги - а потом еще удивляются почему их хекают...
    *в учебниках по пхп, безопасности вообще уделяется самое последнее место, поэтому лучше всего после прочтения нескольких учебников по пхп почитать статьи на эту тему и обратить особое внимание на те немногие строки, что уделены безопасности в учебниках...
    Просто часто встречаются в инете пхп-кодеры, которые в мозге носят чуть ли не весь php.net, но безопасности не уделяют внимание...
    Правда это исправляется просто - достаточно им написать (если он админ) письмо с указанием дыры, как на следующий день уже все будет закрыто

    Также нельзя поплакаться о том, что рынок комп. литературы начинает наводнять литература, написанная людьми, в чьей компетентности стоит засомневаться... - приведу пару примеров (я просто интересуюсь новыми книгами по ИБ и программированию):
    1). Колисниченко - читал у него три книги (одна по пхп, вторая по линуху и третья про руткиты) - в принципе - почитать можно, но лучше найти что-то получше... - в книгах достаточно много ошибок, неточностей и вообще - на роль учебников или настольных книг они не подходят... если сравнивать его книгу с аналогичной книгой Зайцева, то тут и говорить думаю нечего...
    Хочется только еще раз сказать спасибо Олегу за хорошую книгу - написано без пафоса, обычно присущему подобным книгам про хакинг/иб ... по языку написания и по тому ЧТО и КАК описывается виден гигантский опыт...
    К сожалению в магазинах книгу не нашел, а через озон как-то в лом покупать и поэтому скачал ее из инета... (надеюсь, что за такое признание автор на меня сильно серчать не будет)

    2). Фленов - думаю, что о его книгах серии "...глазами кого-то" слышали все...
    А кто читал, тот думаю поплевался сильно - убогий язык написания, излишний пафос, какая-то философия, флуд не по делу, ошибки в коде, куча опечаток и т.д и т.п


    ...эх, что-то я заболтался по ходу дела...
    все...выговорился...
    forum.kasperskyclub.ru

Похожие темы

  1. Радиопульты для презентаций уязвимы для хакерских атак
    От ALEX(XX) в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 06.07.2010, 16:25
  2. Сервисы пересылки SMS уязвимы для хакерских атак
    От ALEX(XX) в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 30.07.2009, 10:59
  3. Infoblox: 50% DNS-серверов уязвимы для различных атак
    От ALEX(XX) в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 22.11.2007, 09:20
  4. 28% всех популярных приложений уязвимы для хакерских атак
    От ALEX(XX) в разделе Новости компьютерной безопасности
    Ответов: 1
    Последнее сообщение: 21.05.2007, 16:37
  5. 84% DNS серверов уязвимы к различным видам атак
    От ALEX(XX) в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 27.10.2005, 09:44

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00856 seconds with 19 queries