Cenzic: топ-10 уязвимостей веб-приложений

Среда, 23 мая 2007 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

Компания Cenzic представила десятку основных уязвимостей веб-приложений в I квартале в "Докладе о тенденциях безопасности приложений". Документ определяет 1561 уязвимость в известных коммерческих и открытых приложениях. Ситуация же с доморощенными разработками обстоит гораздо хуже, поскольку в них уязвимостей больше, чем в массовых продуктах.
Наиболее распространёнными уязвимостями оказались вложения файлов, SQL-инъекции, межсайтовые сценарии (XSS) и выход в родительские директории – 63%. Большинство уязвимостей найдено в веб-серверах, веб-приложениях и веб-браузерах.
На первом месте десятки уязвимостей стоит Adobe Acrobat Reader – в нём возможны атаки межсайтовых сценариев и удалённое выполнение произвольного кода.
Второе место занимает Google Desktop: ряд уязвимостей позволяет осуществить XSS и получить доступ к данным на компьютере пользователя.
IBM Websphere, на третьем месте, уязвим к атакам "разбиения HTTP ответов", которые приводят к внедрению постороннего кода в кэши, подстановке контента или XSS.
Lotus Domino Web Access стоит на четвертом месте: функция Active Content Filter не справляется с отфильтровкой кода сценариев, переданных пользователем внутри электронного письма. Эти сценарии выполняются в почтовом клиенте получателя.
Пятое место – за PHP: отказ в обслуживании вложенных массивов. Ошибка при рекурсивном обходе массивов позволяет осуществить DoS-атаку на пакет PHP, что приводит к аварии на сервере.
Шестое также досталось PHP: ряд уязвимостей типа переполнения буфера, позволяющих выполнить удалённо код и приводящих к DoS-атакам.
Следующим, седьмым в списке идет IBM Rational ClearQuest Web 7.0.0.0: XSS-уязвимость в продукте позволяет встроить произвольный сценарий через вложение с целью внесения дефектов в записи журнала событий.
На восьмом месте расположился Sun Java Access Manager: ряд уязвимостей XSS, возможность повышения привилегий за счёт хищения cookies с данными о сессии и различные способы подстановки чужеродного веб-контента.
Apache Tomcat занял девятое место: переполнение буфера в Apache Tomcat JK Web Server Connector позволяет выполнить произвольный код на сервере.
Замыкает десятку - BEA WebLogic: переполнение буфера, удалённое выполнение кода, отказы в обслуживании (DoS) и доступ к закрытой информации.
Специалисты Cenzic, используя данные софтверного сервиса проверки уязвимостей Cenzic ClickToSecure и исследований, проведённых в собственной лаборатории, выяснили, что более 70% проанализированных веб-приложений потенциально уязвимы к краже информации.
Ошибки в архитектуре, при написании кода и ненадёжные настройки по-прежнему являются основными причинами атак.
XSS – самый распространённый вид атаки: он возможен в 70% приложений. Почти 20% приложений допускают SQL-инъекции.
Почти половина не умеет обрабатывать комплексные исключительные ситуации.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 652
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2018, 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003

Rating@Mail.ru