WhiteHat Security: 8 из 10 сайтов уязвимы
8 из 10 самых популярных веб-сайтов содержат уязвимости, позволяющие устраивать фишерские атаки, похищать данные и проводить другие виды вредоносных действий, утверждает компания WhiteHat Security в докладе об исследовании веб-ресурсов с 1 января 2006 года по 1 марта 2007.
Компания регулярно сканирует на наличие уязвимостей "очень популярные, очень многолюдные сайты" для своих клиентов, сказал основатель WhiteHat Security Джеремиа Гроссман (Jeremiah Grossman). "Скорее всего, вы делали там покупки или переводили деньги", - говорит он. Почти каждый третий сайт, 30%, нуждается в срочном устранении уязвимостей, поскольку эксплуатация этих уязвимостей может привести к хищению клиентской базы. Две трети сайтов содержат одно или более мест, где можно реализовать атаку межсетевых сценариев (XSS), например, с целью фишинга. Недавний инцидент с eBay был реализован именно через такую уязвимость.
Почти треть сайтов содержат дополнительную информацию, которую хакер может использовать против них. И почти каждый четвёртый сайт позволяет подставлять на страницы посторонний контент – ещё одно средство для атаки фишеров.
Распространены уязвимости в сценариях сайтов, позволяющие совершить так называемую "SQL-иньекцию" - встроить в URL запрос к базе данных. Сайтов с такими уязвимостями – менее 20%.
Атаки через веб-сайты стали одними из самых популярных за последние 2 года, утверждает директор команды быстрого реагирования iDefense при Verisign Кен Данхем (Ken Dunham). Особенно уязвимыми становятся сайты с приложениями технологии Web 2.0, написанные на AJAX. Они позволяют перезагружать участки страницы без перезагрузки всей, и предоставляют интерфейс, подобный обычным приложениям. Такие сайты позволяют эксплуатировать уязвимости незаметно. С другой стороны, исправление уязвимости в веб-приложении происходит намного легче, чем в обычном: отпадает необходимость рассылки и установки обновлений, говорит Гроссман.
Компания регулярно сканирует на наличие уязвимостей "очень популярные, очень многолюдные сайты" для своих клиентов, сказал основатель WhiteHat Security Джеремиа Гроссман (Jeremiah Grossman). "Скорее всего, вы делали там покупки или переводили деньги", - говорит он. Почти каждый третий сайт, 30%, нуждается в срочном устранении уязвимостей, поскольку эксплуатация этих уязвимостей может привести к хищению клиентской базы. Две трети сайтов содержат одно или более мест, где можно реализовать атаку межсетевых сценариев (XSS), например, с целью фишинга. Недавний инцидент с eBay был реализован именно через такую уязвимость.
Почти треть сайтов содержат дополнительную информацию, которую хакер может использовать против них. И почти каждый четвёртый сайт позволяет подставлять на страницы посторонний контент – ещё одно средство для атаки фишеров.
Распространены уязвимости в сценариях сайтов, позволяющие совершить так называемую "SQL-иньекцию" - встроить в URL запрос к базе данных. Сайтов с такими уязвимостями – менее 20%.
Атаки через веб-сайты стали одними из самых популярных за последние 2 года, утверждает директор команды быстрого реагирования iDefense при Verisign Кен Данхем (Ken Dunham). Особенно уязвимыми становятся сайты с приложениями технологии Web 2.0, написанные на AJAX. Они позволяют перезагружать участки страницы без перезагрузки всей, и предоставляют интерфейс, подобный обычным приложениям. Такие сайты позволяют эксплуатировать уязвимости незаметно. С другой стороны, исправление уязвимости в веб-приложении происходит намного легче, чем в обычном: отпадает необходимость рассылки и установки обновлений, говорит Гроссман.
Ещё новости по теме:
18:20