-
70% сайтов уязвимы для XSS-атак
По сообщению White Hat Security, 9 из 10 популярных сайтов имеют уязвимости. В результате сканирования разных публичных веб-ресурсов было обнаружено в среднем по 7 уязвимостей на каждом. ИБ-специалисты из White Hat Security отмечают, что, несмотря на развитие индустрии защиты данных защиты от атак, владельцы сайтов часто не думают о защите своих ресурсов, несмотря на то, что они несут убытки от взломов сайтов и утечек данных клиентов. Самой распространенной уязвимостью оказалась XSS (Cross-Site Scripting) – она обнаружена на 70% сайтов. Вторая по распространенности уязвимость связана с утечкой служебных данных – 45% сайтов «уличены» в ее наличии. Под этой уязвимостью White Hat Security подразумевает доступ к информации служебного характера: информация пользователей, исходные коды скриптов, данные о серверном ПО, а также об ошибках в нем. На 25 % сайтов обнаружены уязвимости, позволяющие спамерам эксплуатировать веб-ресурсы в своих целях. Чаще эта проблема касается блогов и чатов. Кроме того, в отчете ИБ-компании говорится о таких распространенных уязвимостях, как размещение на публичных страницах закрытых данных, SQL-инъекций, публичный доступ к файлам, отвечающим за работу сайта и т. д. Интересно, что самое большое количество уязвимостей обнаружено на веб-сайтах продавцов, страховых компаний, ИТ-компаний и организаций здравоохранения.
Источник
uinc.ru
Left home for a few days and look what happens...
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
о!...интересная тема)
сейчас попробую ее адаптировать для РФ 
По сообщению White Hat Security, 9 из 10 популярных сайтов имеют уязвимости.
команда буржуйская (забугорная т.е) и разговор идет также про их сайты, т.е про их сайты с более-менее норм посещаемостью...
...теперь особенности: такие же русские сайты - это сайты на нуленых двигах брендов (вобла, дле, ипб) ..ну или ненуленых (пример - вирусинфо) ... у вас же лицензия на скрипт?
Именно поэтому подобная статистика для рус. сайтов подобного типа - намного меньше (за бугром просто любят юзать самописные двиги, а у нас - нет).
Самой распространенной уязвимостью оказалась XSS (Cross-Site Scripting) – она обнаружена на 70% сайтов
если переводить на нас - если рассматривать самописные двиги сайтов, чатов или просто сторонние скрипты - то картина намного печальнее - думаю, что 95% таких самописных скриптов страдают этой язвой
Вторая по распространенности уязвимость связана с утечкой служебных данных – 45% сайтов «уличены» в ее наличии.
а это - просто тупо лень админов и их нежелание юзать гугл и читать форума, посвященные двигу, который они юзают...
(это раскрытие путей, версии двига, неверный роботс.тхт, склероз о том, что надо кидать пустой индекс.пхп в папки, которые сами создают, версия сервера... короче, это ясно...)
На 25 % сайтов обнаружены уязвимости, позволяющие спамерам эксплуатировать веб-ресурсы в своих целях.
как пример - отсутствие каптчи - у нас такое редко встретишь...
очень редко
да, вот она больная тема - отсутствие фильтрации в самописных двигах (чаще всего)
маленький вывод:
от чего это происходит? ну прежде всего от лени человека и от малого опыта...
например - лень почитать побольше, лень погуглить, лень прочитать инструкцию и т.д
малый опыт - прочитали один учебник по пхп и думают, что все знают и пошли клепать двиги - а потом еще удивляются почему их хекают...
*в учебниках по пхп, безопасности вообще уделяется самое последнее место, поэтому лучше всего после прочтения нескольких учебников по пхп почитать статьи на эту тему и обратить особое внимание на те немногие строки, что уделены безопасности в учебниках...
Просто часто встречаются в инете пхп-кодеры, которые в мозге носят чуть ли не весь php.net, но безопасности не уделяют внимание...
Правда это исправляется просто - достаточно им написать (если он админ) письмо с указанием дыры, как на следующий день уже все будет закрыто
Также нельзя поплакаться о том, что рынок комп. литературы начинает наводнять литература, написанная людьми, в чьей компетентности стоит засомневаться... - приведу пару примеров (я просто интересуюсь новыми книгами по ИБ и программированию):
1). Колисниченко - читал у него три книги (одна по пхп, вторая по линуху и третья про руткиты) - в принципе - почитать можно, но лучше найти что-то получше... - в книгах достаточно много ошибок, неточностей и вообще - на роль учебников или настольных книг они не подходят... если сравнивать его книгу с аналогичной книгой Зайцева, то тут и говорить думаю нечего...
Хочется только еще раз сказать спасибо Олегу за хорошую книгу - написано без пафоса, обычно присущему подобным книгам про хакинг/иб ... по языку написания и по тому ЧТО и КАК описывается виден гигантский опыт...
К сожалению в магазинах книгу не нашел, а через озон как-то в лом покупать и поэтому скачал ее из инета... (надеюсь, что за такое признание автор на меня сильно серчать не будет
)
2). Фленов - думаю, что о его книгах серии "...глазами кого-то" слышали все...
А кто читал, тот думаю поплевался сильно - убогий язык написания, излишний пафос, какая-то философия, флуд не по делу, ошибки в коде, куча опечаток и т.д и т.п
...эх, что-то я заболтался по ходу дела...
все...выговорился...
-
Ответить с цитированием
