08.04.2003 НовостиСамые распространенные ошибки в системах безопасности Web-приложенийНа сайте OWASP (Open Web Application Security Project - открытый проект безопасности Web-приложений; www.owasp.org) опубликован список десяти наиболее часто встречающихся брешей в системе безопасности Web-приложений. В нем четко и довольно полно представлены реальные проблемы вместе с возможными средствами их устранения. Ниже мы приводим этот список, дополнив его рекомендациями eWeek Labs. 1. Отсутствие проверки входных параметровАбсолютно все, что клиентский компьютер пересылает в Web-приложение, должно проходить входной контроль. Поступающий трафик следует сканировать дважды. Во-первых, нужно провести низкоуровневую чистку входящих строк на основе стандартных выражений либо списка стандартных значений. Второй этап проверки входных данных проводится на уровне приложений. 2. Небрежный контроль доступаКак только пользователь вошел в систему, его привилегии должны учитываться при обращении к каждой странице сайта. При этом нельзя полагаться только на характеристики потока данных - для контроля доступа следует применять и проверку на прикладном уровне. А избежать несанкционированного повторного использования блоков данных поможет их шифрование. К тому же перед выполнением критически важных задач целесообразно производить повторную аутентификацию - это станет еще одним рубежом защиты от перехвата сеанса злоумышленниками. 3. Вторжение в учетные записи и в управление сеансомЕсли хакер сумеет перехватить ...
читать далее.