Nekomercinė organizacija „Open Web Application Security Project“ pristatė 10 pavojingiausių programinės įrangos ir serverių spragų sąrašą.
Nekomercinė organizacija
Open Web Application Security Project (OWASP) pateikė dešimties pavojingiausių programinės įrangos ir serverių spragų sąrašą. OWASP duomenimis, į šias spragas verta itin rimtai atkreipti dėmesį visoms organizacijoms, norinčioms apsisaugoti pačioms ir apsaugoti savo klientus nuo kompiuterių piratų atakų. Visos nurodytos spragos gana plačiai paplitę. Jomis naudotis gali net nelabai patyrę kompiuterių piratai, nes įsilaužimo priemones lengva surasti pasauliniame tinkle.
Pirmojoje OWASP sąrašo vietoje nurodoma spraga, susijusi su parametrų patikrinimo nebuvimu http užklausoje. Naudodamas ypatingus parametrus, hakeris gali prieiti prie serverio per tinklą.
Antrojoje vietoje – taisyklių nesilaikymas valdant prieigą prie duomenų. Tai leidžia piktadariams naudoti uždarus išteklius arba prieiti prie kitų vartotojų duomenų.
Trečiojoje pozicijoje – valdymo taisyklių nesilaikymas tvarkant duomenis. Šis pažeidžiamumas susijęs, visų pirma, su tuo, kad nepakankamai apsaugoti vartotojų duomenys (prisijungimo vardas, slaptažodis). Tai leidžia piktadariams perimti kitų vartotojų duomenis ir naudotis sistema jų vardu.
Ketvirtoje vietoje – pažeidžiamumas, susijęs su klaidomis „Cross-Site Scripting“ (CSS arba XSS) mechanizme, naudojamam vartotojui patenkant į kitus tinklapius. Šiuo atveju hakeris gauna leidimą prie vartotojo duomenų arba įsilaužia į vietinį kompiuterį.
Penktuoju atveju kalbama apie klaidas pakartotinai paleidžiant buferį, esantį daugiausiai programiniuose produktuose – nuo tvarkyklių iki operacinių sistemų ir serverio. Kai kuriuose parametruose patikrinimo stoka gali sukelti buferio perleidimą, o hakeris tuo metu perima kompiuterio valdymą. Pranešimai apie surastas klaidas gaunami gana dažnai.
Šeštoje vietoje skelbiamos spragos, susijusios su parametrų kontrolės trūkumu. Jeigu hakeris sugebės įvesti į šiuos parametrus savo komandas, pasekmės gali būti labai liūdnos.
Septintoje vietoje nurodomos programinės įrangos spragos, susijusios su neteisingu klaidų apdorojimu. Kai kuriais atvejais atsirandant klaidoms, hakeris gali gauti informacijos apie sistemą ir net priėjimą prie jos.
Aštuntojoje pozicijoje yra netinkamas kriptografijos naudojimas. OWASP pabrėžia, kad priemonės informacijai koduoti dažnai turi spragų, todėl duomenų šifravimas praranda prasmę.
Devintoje vietoje nurodomas pažeidžiamumas, susijęs su nutolusio administravimo posistemės apsaugos stoka. Sąsaja leidžia administratoriui valdyti sistemą iš kiekvieno prie tinklo prijungto kompiuterio, bet jei apsauga neužtikrinta, ta patį gali daryti ir hakeris. Ryškiausias pavyzdys – įsilaužimas į JAV garso įrašų asociacijos RIAA tinklapį praėjusių metų gruodžio pabaigoje.
Pagaliau į dešimtąją sąrašo vietą OWASP įtraukė netinkamą programinės įrangos serverio konfigūravimą.
Apie įvairiapusę tinklo apsaugą skaitykite apsaugos portale
http://security.5ci.lt>>
Apie patikimą tinklo įrangą informacijos rasite
„ZyXEL“ firmos interneto svetainėje>>