Крупные корпоративные сайты все чаще становятся объектами атаки хакеров. Взлом корпоративного веб-сайта компании, являющегося ее представительством в Сети, это удар по репутации и имиджу компании. Результатом большинства подобных взломов является замена заглавной страницы, либо страницы со списком услуг или новостей компании, страницей с произвольным содержанием. Часто в результате взлома сайта происходит потеря данных, информации о клиентах, финансовой информации, что является прямыми убытками компаний. И чем серьезнее компания и известнее ее имя и продукты, тем существеннее риски и возможные убытки от взлома корпоративного сайта.
Проведенный специалистами компании «Белсек» анализ безопасности сайтов в зоне .by выявил наличие уязвимостей у 42% сайтов. Для проведения анализа была сделана произвольная выборка для тестирования 100 сайтов по запросу site:by в поисковой системе google. Данные получены в ходе работ по тестированию на проникновение и оценки защищенности сайтов и основаны на результатах автоматизированного сканирования узлов и ручного анализа.
Наиболее распространена уязвимость «Межсайтовое выполнение сценариев» (Cross-Site Scripting, XSS). Эта ошибка средней степени риска может использоваться для выполнения в браузере клиента произвольного кода на языках сценариев с целью кражи идентификационных данных, подмены содержимого страниц, проведения атак типа «фишинг» и т.д. Количество идентифицированных XSS составляет до 52% всех обнаруженных уязвимостей.
На втором месте находятся разнообразные уязвимости, приводящие к утечке важной информации с сервера, так называемый «Information Leakage». На них приходится 27% всех ошибок. В данную статистику включались только те из них, которые могут быть отнесены к средней и высокой степени риска.
Третья по популярности уязвимость — «Внедрение операторов SQL» (SQL Injection) на которую приходится 16% общего количества ошибок. С помощью данной уязвимости злоумышленники получают возможность читать, а иногда и модифицировать информацию в базе данных, используемой web-приложением. В некоторых случаях эксплуатация SQL Injection может привести к получению полного контроля над сервером. В связи с этим, уязвимости данного типа классифицируются как имеющие высокую степень риска.
Иные уязвимости встречаются значительно реже (5% от обнаруженных ошибок), и среди них были обнаружены следующие: «Предсказуемое расположение ресурсов» (Predictable Resource location), «Выполнение shell-команд» (Command Execution), «Легкий перебор пароля» (Brute Force), «Недостаточная аутентификация» (Insufficient Authentication), «Просмотр служебных директорий» (Directory Indexing).
Если рассматривать распределение ошибок по степени риска, то на критичные уязвимости приходится 21%, на ошибки средней и низкой степени риска — 38% и 41% соответственно.
Основные проблемы, связанные с безопасностью функционирования публично доступного web-сайта, возникают по следующим причинам:
-неправильная конфигурация или другое некорректное действие над web-сервером, которое может привести к раскрытию или изменению информации,
— уязвимости ПО web-сервера,
— неадекватные механизмы защиты web-сервера, предусмотренные в его окружении,
— ПО на стороне сервера (скрипты, JSP, ASP и т.п.), которое содержит ошибки, позволяющие атакующим компрометировать безопасность web-сервера.
По словам специалистов компании «Белсек», основной предпосылкой отсутствия должного внимания к вопросу безопасности корпоративного web-сайта является неадекватная оценка экономического эффекта от стабильной работы сайта предприятия.
Источник: www.naviny.by
Новости по теме:
12.01.2008 Обзор новостей и событий интернета с 7 по 13 января
12.01.2008 «АэроСвит» начал продажу билетов через Интернет
04.12.2007 Кибертерроризм: угроза виртуальная или реальная?
03.12.2007 Информационные технологии с деловым уклоном
18.11.2007 IP-телефония для DeskTop
20.11.2007 МТС на PTS’ 2007: «Качество жизни. Больше возможностей»
