Защити свой компьютер на 100% от вирусов и хакеров. Олег Михайлович Бойцев

Чтение книги онлайн.

СКАЧАТЬ постараемся внести ясность и создать некое подобие современной классификации веб-угроз. Предпосылки к созданию подобной классификации очевидны. За последние несколько лет индустрия безопасности веб-приложений адаптировала немалое количество не совсем точных терминов, описывающих уязвимости. Такие названия уязвимостей, как "подделка параметров" (Parameter Tampering), "меж-сайтовое выполнение сценариев" (Cross-site Scripting) и "отравление печений" (Cookie Poisoning) (да-да, именно так), мягко говоря, не совсем точно определяют суть проблемы и возможные последствия атак. Отсутствие четкости в определениях часто вызывает проблемы и взаимонепонимание, даже если стороны согласны с основной идеей.

      Когда начинающий специалист безопасности веб-приложений приступает к обучению, его быстро вводит в заблуждение отсутствие стандартного языка. Подобная ситуация не только не способствует профессиональному овладению предметом, но и замедляет понимание картины в целом. Появление классификации угроз безопасности веб-приложений является исключительно важным событием в мире IT.

      По известным причинам только система знаний, а не ее разрозненный, дискретный вариант, может служить показателем высшей квалификации разработчиков приложений, специалистов в области безопасности, производителей программных продуктов. На основе классификации в дальнейшем могут быть созданы методики обследования приложений, рекомендации по разработке приложений с учетом безопасности, требования к продуктам и службам. Следующая классификация есть результат проработки различных книг, десятков статей и презентаций. У ее истоков стоит Web Application Security Consortium, представители которой создали базу для разработки и популяризации стандартной терминологии описания подобных проблем (www.webappsec.org).

      Представленная классификация окажется полезной прежде всего специалистам, хотя в целом материал направлен на широкий круг читателей, интересующихся проблемами компьютерной безопасности.

      Классы атак

      Современная классификация имеет иерархическую структуру. Классы атак разбиты по пунктам (1; 2 и т. д.) с соответствующими подпунктами (1); 2) и т. д.). Название класса атаки представлено как в русском варианте, так и в английском.

      1. Аутентификация (Authentication):

      1) подбор (Brute Force);

      2) недостаточная аутентификация (Insufficient Authentication);

      3) небезопасное восстановление паролей (Weak Password Recovery Validation).

      2. Авторизация (Authorization):

      1) предсказуемое значение идентификатора сессии (Credential/Session Prediction);

      2) недостаточная авторизация (Insufficient Authorization);

      3) отсутствие тайм-аута сессии (Insufficient Session Expiration);

      4) фиксация сессии (Session Fixation).

      3. Атаки на клиентов (Client-side Attacks):

      1) подмена содержимого (Content Spoofing);

      2) межсайтовое выполнение сценариев (Cross-site Scripting, XSS);

      3) расщепление HTTP-запроса (HTTP Response Splitting).

      4. Выполнение кода (Command Execution):

      1) переполнение буфера (Buffer Overflow);

      2) СКАЧАТЬ