Chyby v ochraně

Deset nejčastějších problémůSeznam deseti největších rizik v oblasti bezpečnosti webových aplikací a webových slu...


Deset nejčastějších problémůSeznam deseti největších rizik v oblasti
bezpečnosti webových aplikací a webových služeb zveřejnilo sdružení Open Web
Application Security Project (OWASP).
Popsané chyby zveřejněné na adrese www.owasp.org jsou sice známé, ale řada
správců se prý jimi z nějakého důvodu nezabývá, a vystavuje tak servery všanc
útočníkům.
Neověřené parametry informace z webových dotazů nejsou vyhodnocovány předtím,
než jsou používány webovou aplikací. Hackeři mohou díru použít k útoku na
back-endovou komponentu prostřednictvím webové aplikace.
Narušení kontroly přístupu omezení práv autentizovaných uživatelů není řádně
prosazováno. Útočníci díky tomu mohou přistupovat k účtům jiných uživatelů,
prohlížet senzitivní soubory nebo používat nepovolené funkce.
Narušení správy účtů a session informace o účtech a tokeny vztahující se k
jednotlivým session nejsou řádně chráněné. Hackeři se tak mohou dostat k
heslům, cookies v rámci session či mohou získat cizí identitu.
Cross-site skriptování webové aplikace mohou být použity jako mechanismus pro
transport útoku na uživatelův browser. Úspěšný útok může odhalit session token,
zaútočit na uživatelův systém či odeslat uživateli falešná data.
Přetečení bufferu komponenty webových aplikací v některých programovacích
jazycích správně nevyhodnocují vstupy, takže je lze vyřadit z činnosti či v
některých případech získat kontrolu nad procesem.
Vložení příkazu hacker může do parametrů, které webové aplikace používají k
přístupu k externím systémům nebo k operačnímu systému, vložit vlastní kód,
který je také vykonán.
Ošetření chyby chyby a výjimky, které nastanou během normálních operací, nejsou
řádně obslouženy. Pokud hacker zapříčiní chybu, kterou webová aplikace nebude
schopna obsloužit, může získat například detailní informace o systému či
způsobit zhroucení systému.
Nespolehlivé používání kryptografie webové aplikace často používají
kryptografické funkce k ochraně informací a osobních údajů. Tyto funkce a
jejich náročná integrace do systému ovšem často vedou ke slabé ochraně.
Vzdálená správa mnoho webových aplikací umožňuje administrátorům přistupovat k
nastavení přes webové rozhraní. Pokud není tento způsob správy dostatečně
chráněn, může hacker získat plný přístup k celé síti.
Špatná konfigurace serveru správná konfigurace serveru, a to i aplikačního a
webového, spolu s pravidelnou instalací bezpečnostních záplat je pro
zabezpečení webových aplikací kritická. Tyto servery mají mnoho konfiguračních
voleb, které bezpečnost ovlivňují a jejichž špatné nastavení může ovlivnit celý
systém.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.