Video: Web Security: Active Defense, by Luciano Arango 2024
Sistemele bazate pe Web conțin multe componente, inclusiv codul de aplicație, sistemele de gestionare a bazelor de date, sistemele de operare, middleware și software-ul serverului web. Aceste componente pot avea, în mod individual și colectiv, defecte de proiectare sau de implementare a securității. Unele dintre defectele prezente includ următoarele:
- Nerespectarea blocării atacurilor de injectare. Atacurile precum injecția JavaScript și injectarea SQL pot permite unui atacator să determine o aplicație web să funcționeze defectuos și să expună date sensibile stocate intern.
- Autentificare defectuoasă. Există multe, multe moduri în care un site web poate implementa autentificarea - sunt prea numeroase pentru a le prezenta aici. Autentificarea este esențială pentru obținerea dreptului; multe site-uri nu reușesc să facă acest lucru.
- Management defect al sesiunilor. Serverele Web creează "sesiuni" logice pentru a urmări utilizatorii individuali. Multe mecanisme de gestionare a sesiunilor de site-uri web sunt vulnerabile la abuz, în special care permit unui atacator să preia ședința altui utilizator.
- Eșecul de a bloca atacurile de scripting încrucișate. Site-uri Web care nu reușesc să examineze și să dezinstaleze datele introduse. Ca urmare, atacatorii pot crea, uneori, atacuri care trimit un conținut rău intenționat utilizatorului.
- Eliminarea blocării atacurilor de tip "forgery" din cadrul site-ului. Site-urile care nu utilizează gestionarea corectă a sesiunilor și a sesiunilor pot fi vulnerabile la atacuri în care utilizatorii sunt înșelăciți în trimiterea de comenzi către site-uri web care le pot provoca daune.
Un exemplu este în cazul în care un atacator înșală un utilizator să facă clic pe un link care duce de fapt utilizatorul la o adresă URL ca acesta:
// bank. com / transfer? tohackercount: suma = 99999. 99
. - Nerespectarea referințelor directe ale obiectelor. Site-urile Web pot fi uneori înșelătoare în ceea ce privește accesarea și trimiterea datelor către un utilizator care nu este autorizat să îl vizualizeze sau să-l modifice.
- Includerea securității în ciclul de viață al dezvoltării
- Utilizarea aplicației dinamice și statice instrumente de scanare