Tinklaraštis

Remiantis kompanijos Mitre ataskaita, daugiau nei ketvirtadalis visų pažeidžiamumų, aptiktų 2006 metais yra WEB scenarijų spragos. Kitaip nei operacinės sistemos, duomenų bazių serveriai ir taikomoji programinė įranga, naudojama korporatyvinėje aplinkoje, WEB scenarijai dažnai yra kuriami kompanijos viduje ir nepraeina griežtos kokybės kontrolės, kaip plačiai naudojami produktai. Manoma, kad maždaug 70% visų WEB scenarijų turi saugumo spragų.

Iš kitos pusės, problemas WEB scenarijuose kur kas lengviau aptikti ir išnaudoti. Dėl to „įsilaužimas per WEB serverį“ yra vienas populiariausių ginklų įsilaužėlio arsenale. Pasinaudoję klaidomis, paliktomis WEB svetainėse, įsilaužėliai gauna galimybę kopijuoti ar modifikuoti duomenis korporatyvinėse duomenų bazėse, atlikti sukčiavimo veiksmus (phishing), taip pat dažnai yra įmanoma įsibrauti gilyn į vidinį kompanijos tinklą.

Bazinis WEB scenarijų ir svetainių patikrinimas vyksta ir technologinio įsibrovimo testo metu, tačiau maksimaliam trūkumų identifikavimui reikalinga gili visų WEB sistemos realizacijos aspektų analizė. Apsaugos įvertinimas gali būti vykdomas naudojant „juodosios dėžės“ metodiką (kai auditoriams žinomas tik svetainės adresas), arba atliekant išeities kodų analizę. Antrasis būdas yra žymiai efektyvesnis ir leidžia aptikti daugiau pažeidžiamumų.

Bendra darbų atlikimo tvarka:

• Metodo, kurį yra tikslinga naudoti WEB scenarijaus ar svetainės analizei pasirinkimas
• Patikrinimų atlikimas
• Pažeidžiamumų išaiškinimas, demonstracijos
• Ataskaitos apie pažeidžiamumus formavimas ir rekomendacijų kaip pašalinti išaiškintus pažeidžiamumus formavimas

Svetainių saugumo patikrinimas, WEB sistemų auditas

Klauskite mūsų