Cenzic: топ-10 уязвимостей веб-приложений

Discussion in 'Мировые новости. Обсуждения.' started by le_san, 23 May 2007.

  1. le_san

    le_san Elder - Старейшина

    Joined:
    21 Apr 2007
    Messages:
    15
    Likes Received:
    42
    Reputations:
    0
    Компания Cenzic представила десятку основных уязвимостей веб-приложений в I квартале в «Докладе о тенденциях безопасности приложений». Документ определяет 1561 уязвимость в известных коммерческих и открытых приложениях. Ситуация же с доморощенными разработками обстоит гораздо хуже, поскольку в них уязвимостей больше, чем в массовых продуктах.

    Наиболее распространёнными уязвимостями оказались вложения файлов, SQL-инъекции, межсайтовые сценарии (XSS) и выход в родительские директории – 63%. Большинство уязвимостей найдено в веб-серверах, веб-приложениях и веб-браузерах.

    На первом месте десятки уязвимостей стоит Adobe Acrobat Reader – в нём возможны атаки межсайтовых сценариев и удалённое выполнение произвольного кода.

    Второе место занимает Google Desktop: ряд уязвимостей позволяет осуществить XSS и получить доступ к данным на компьютере пользователя.

    IBM Websphere, на третьем месте, уязвим к атакам «разбиения HTTP ответов», которые приводят к внедрению постороннего кода в кэши, подстановке контента или XSS.

    Lotus Domino Web Access стоит на четвертом месте: функция Active Content Filter не справляется с отфильтровкой кода сценариев, переданных пользователем внутри электронного письма. Эти сценарии выполняются в почтовом клиенте получателя.

    Пятое место – за PHP: отказ в обслуживании вложенных массивов. Ошибка при рекурсивном обходе массивов позволяет осуществить DoS-атаку на пакет PHP, что приводит к аварии на сервере.

    Шестое также досталось PHP: ряд уязвимостей типа переполнения буфера, позволяющих выполнить удалённо код и приводящих к DoS-атакам.

    Следующим, седьмым в списке идет IBM Rational ClearQuest Web 7.0.0.0: XSS-уязвимость в продукте позволяет встроить произвольный сценарий через вложение с целью внесения дефектов в записи журнала событий.

    На восьмом месте расположился Sun Java Access Manager: ряд уязвимостей XSS, возможность повышения привилегий за счёт хищения cookies с данными о сессии и различные способы подстановки чужеродного веб-контента.

    Apache Tomcat занял девятое место: переполнение буфера в Apache Tomcat JK Web Server Connector позволяет выполнить произвольный код на сервере.

    Замыкает десятку - BEA WebLogic: переполнение буфера, удалённое выполнение кода, отказы в обслуживании (DoS) и доступ к закрытой информации.

    Специалисты Cenzic, используя данные софтверного сервиса проверки уязвимостей Cenzic ClickToSecure и исследований, проведённых в собственной лаборатории, выяснили, что более 70% проанализированных веб-приложений потенциально уязвимы к краже информации.

    Ошибки в архитектуре, при написании кода и ненадёжные настройки по-прежнему являются основными причинами атак.

    XSS – самый распространённый вид атаки: он возможен в 70% приложений. Почти 20% приложений допускают SQL-инъекции.

    Почти половина не умеет обрабатывать комплексные исключительные ситуации.
    cnews.ru​
     
    #1 le_san, 23 May 2007
    Last edited: 23 May 2007
    2 people like this.
  2. Undernative

    Undernative DesigneR

    Joined:
    16 May 2006
    Messages:
    325
    Likes Received:
    272
    Reputations:
    14
    Хм....а я думал сюда ie войдет :/ либо я просто не заметилЮлибо не вкурил...
     
  3. Y.Dmitriy

    Y.Dmitriy Banned

    Joined:
    14 Mar 2007
    Messages:
    208
    Likes Received:
    85
    Reputations:
    16
    гы я дума ИЕ на первом месте а его даже в десятке нет... а как акробат в список ВЕБ! приложений попал?
     
  4. le_san

    le_san Elder - Старейшина

    Joined:
    21 Apr 2007
    Messages:
    15
    Likes Received:
    42
    Reputations:
    0
    ие: может быть из-за того, что на момент тестирования, в основном, дыры прикрыты? все-таки сколько патчей то выпущено...
    а насчет акробата хз) я тож не понял))
     
  5. tat1642

    tat1642 Elder - Старейшина

    Joined:
    27 Mar 2007
    Messages:
    73
    Likes Received:
    40
    Reputations:
    0
    вы недооцениваете мелкософт Ie защищен не так уж и плохо
     
    1 person likes this.
  6. Y.Dmitriy

    Y.Dmitriy Banned

    Joined:
    14 Mar 2007
    Messages:
    208
    Likes Received:
    85
    Reputations:
    16
    никто не спорит, но среди пары-тройки бразёров он защищен менее всего...
     
  7. OptimaPrime

    OptimaPrime Banned

    Joined:
    30 Mar 2007
    Messages:
    307
    Likes Received:
    588
    Reputations:
    -61
    Согласен
     
  8. tat1642

    tat1642 Elder - Старейшина

    Joined:
    27 Mar 2007
    Messages:
    73
    Likes Received:
    40
    Reputations:
    0
    Просто мелкософт сделал Виндовс, самый популярный браузер который есть у всех и вообще на мой взгялд 50% используемого нами софта из мелкософта поетому кактока к нам залетает вирус или трой всем лень что-то выяснять и все сразу обвиняют Билла Гейтса во всех смертных грехах
     
    1 person likes this.
  9. Y.Dmitriy

    Y.Dmitriy Banned

    Joined:
    14 Mar 2007
    Messages:
    208
    Likes Received:
    85
    Reputations:
    16
    за весь этот топик ктонить хоть раз Гейтса вспоминал?
     
  10. tat1642

    tat1642 Elder - Старейшина

    Joined:
    27 Mar 2007
    Messages:
    73
    Likes Received:
    40
    Reputations:
    0
    чуваг я говорю вообще)))
     
    1 person likes this.
  11. Xex

    Xex Banned

    Joined:
    10 Jul 2005
    Messages:
    108
    Likes Received:
    41
    Reputations:
    7
    Re:"Почти половина не умеет обрабатывать комплексные исключительные ситуации." - кто нибудь объясните на примере - что это значит?
     
  12. XHTTP

    XHTTP Elder - Старейшина

    Joined:
    24 Feb 2007
    Messages:
    180
    Likes Received:
    133
    Reputations:
    65
    Ie, Шмадье... Стань люнех также популярен как винда и все ополчатся на юниксовые платформы, думать надо..., а потом Билла Будите Бить Безпробудно )))))))))))))))))))
    \
    А вот на счёт Php - херова, бл... Одно радует - Перла пака нет в этом списке...
     
  13. Thanat0z

    Thanat0z Негрин

    Joined:
    6 Dec 2006
    Messages:
    627
    Likes Received:
    498
    Reputations:
    311
    просмотрев рейтинг, могу сказать лишь одно, в конторе Cenzic работают дятлы
     
Loading...