25.03.2003 НовостиСтатья только в электронной версии журнала Статья только в электронной версии журнала Мне удалось проникнуть на сайт eWeek OpenHack, однако с помощью нескольких несложных шагов это вполне можно было бы предотвратить. Главный вывод таков: безопасность приложения - реальная вещь, но при условии последовательно предпринимаемых мер и методичной проверки их эффективности. Поутит: “Разработчикам надо быть внимательными при повторном использовании программ”Я не стал концентрировать внимание на какой-то одной мишени из пяти предложенных eWeek и попытался нащупать потенциальные проблемы безопасности этого сайта.Моя попытка нападения началась с беглого знакомства с приложением OpenHack в вариантах Microsoft и Oracle, чтобы получить общее представление об их возможностях и архитектуре.Первым делом я решил выяснить, какое из этих приложений более уязвимо.Регистрируясь в качестве пользователя, я обратил внимание, что в версии Oracle имеются кое-какие несообразности, так как обращение к необязательным пунктам учетной информации, например персональному “титулу”, вызывало неожиданные сообщения об ошибке. Проблемой безопасности это само по себе не является, однако говорит об отсутствии согласованности ПО, что, по моему мнению, указывало на наиболее вероятный путь к уязвимости испытуемого приложения, которую мне предстояло найти.Поиграв с приложением Oracle OpenHack еще несколько минут, я выяснил, что в нем используется общая процедура проверки корректности заполнения полей ввода. Я начал ...
читать далее.