23 Мая 2007 13:05 23 Мая 2007 13:05 |

Поделиться

Cenzic: топ-10 уязвимостей веб-приложений

Наиболее распространёнными уязвимостями оказались вложения файлов, SQL-инъекции, межсайтовые сценарии (XSS) и выход в родительские директории — 63%. Большинство уязвимостей найдено в веб-серверах, веб-приложениях и веб-браузерах.

На первом месте десятки уязвимостей стоит Adobe Acrobat Reader — в нём возможны атаки межсайтовых сценариев и удалённое выполнение произвольного кода.

Второе место занимает Google Desktop: ряд уязвимостей позволяет осуществить XSS и получить доступ к данным на компьютере пользователя.

IBM Websphere, на третьем месте, уязвим к атакам «разбиения HTTP ответов», которые приводят к внедрению постороннего кода в кэши, подстановке контента или XSS.

Lotus Domino Web Access стоит на четвертом месте: функция Active Content Filter не справляется с отфильтровкой кода сценариев, переданных пользователем внутри электронного письма. Эти сценарии выполняются в почтовом клиенте получателя.

Пятое место — за PHP: отказ в обслуживании вложенных массивов. Ошибка при рекурсивном обходе массивов позволяет осуществить DoS-атаку на пакет PHP, что приводит к аварии на сервере.

Шестое также досталось PHP: ряд уязвимостей типа переполнения буфера, позволяющих выполнить удалённо код и приводящих к DoS-атакам.

Следующим, седьмым в списке, идет IBM Rational ClearQuest Web 7.0.0.0: XSS-уязвимость в продукте позволяет встроить произвольный сценарий через вложение с целью внесения дефектов в записи журнала событий.

Дмитрий Балдин, «РусГидро»: Вынужденный переход на open source приводит к увеличению поверхности кибератак

безопасность

На восьмом месте расположился Sun Java Access Manager: ряд уязвимостей XSS, возможность повышения привилегий за счёт хищения cookies с данными о сессии и различные способы подстановки чужеродного веб-контента.

Apache Tomcat занял девятое место: переполнение буфера в Apache Tomcat JK Web Server Connector позволяет выполнить произвольный код на сервере.

Замыкает десятку BEA WebLogic: переполнение буфера, удалённое выполнение кода, отказы в обслуживании (DoS) и доступ к закрытой информации.

Специалисты Cenzic, используя данные софтверного сервиса проверки уязвимостей Cenzic ClickToSecure и исследований, проведённых в собственной лаборатории, выяснили, что более 70% проанализированных веб-приложений потенциально уязвимы к краже информации.

Фарид Нигматуллин, «ВидеоМатрикс»: У видеоаналитики в промышленности большие возможности

Цифровизация

Ошибки в архитектуре, при написании кода и ненадёжные настройки по-прежнему являются основными причинами атак.

XSS — самый распространённый вид атаки: он возможен в 70% приложений. Почти 20% приложений допускают SQL-инъекции.

Почти половина не умеет обрабатывать комплексные исключительные ситуации.

Поделиться

Подписаться на новости Короткая ссылка