Gmail
Viber
WhatsApp
Telegram
Gmail
Viber
WhatsApp
Telegram
Gmail
Viber
WhatsApp
Telegram

Классификация уязвимостей

Если рассматривать уязвимость, можно охарактеризовать ее таким понятием в web безопасности, как те или другие недостатки, которые существуют в коде файла определенного ресурса. Дело в том, что такие недостатки можно использовать, и этим нарушить нормальную работу сайта.

Подобные уязвимости позволяют обойти определенное приложение сети интернет и «втайне» совершить действие, на которое не имеется прав. Подобные процессы осуществляются с помощью запуска в программе нужного кода, в результате чего программа воспринимает их как нормальные и далее работает уже с ними.

Обычно вышеуказанные ошибки появляются из-за того, что пользователь недостаточно четко или часто осуществляет проверку данных.

Итак, рассмотрим самые популярные:

  1. Injection (Представляет собой инъекции)
  2. Broken Authentication and Session Management (Это ошибки, которые представлены в обходе аутентификации)
  3. Cross-Site Scripting (XSS)
  4. Insecure Direct Object References (В случае отсутствия защиты ресурсов и объектов)
  5. Security Misconfiguration (Конфигурация окружения лишена безопасности)
  6. Sensitive Data Exposure (Прямой доступ критичных данных)
  7. Missing Function Level Access Control (Представлена в том, что у пользователя нет функций контроля доступа)
  8. Cross-Site Request Forgery (CSRF) (Подделка запроса между ресурсами)
  9. Using Components with Known Vulnerabilities (При использовании компонентов с уязвимостями)
  10. Unvalidated Redirects and Forwards (Осуществление переадресации и пересылок без их проверки)

А теперь стоит рассмотреть вышеперечисленные угрозы более подробно и охарактеризовать их. Кроме того, распишем их в форме рейтинга:

— RCE — Remote code execution (При удаленном выполнении кода на сервере)

— PHP — инъекции. Активация PHP кода.

— SQL — инъекции. Внедрение кода в SQL запрос.

— XPath — инъекции. Активация кода в XPath запросе.

Список инклудов.

— RFI Remote file include. Процесс активации удаленного файла.

— LFI — Local file include. Подключение, выполнение или, в иных случаях, чтение локальных файлов.

— PHP include. Включение удаленного PHP.

Некорректная публикация сайта на сервере. Ошибки публикации.

— Открытые директории с файлами системы.

— Открытый доступ и возможность выполнения системных файлов, взаимодействующих с файловой системой или базами данных.

— Системные архивы, бэкапы сайта, находящиеся в открытом доступе.

— Файлы дампа баз данных в открытом доступе.

— Открытый доступ к .svn или .git индексным файлам.

Клиентские атаки. Атаки на администраторов и посетителей сайта.

— XSS атака. Сross Site Sсriрting — это скриптинг между сайтами.

Comments

Если рассматривать уязвимость, можно охарактеризовать ее таким понятием в web безопасности, как те или другие недостатки, которые существуют в коде файла определенного ресурса. Дело в том, что такие недостатки можно использовать, и этим нарушить нормальную работу сайта.

Подобные уязвимости позволяют обойти определенное приложение сети интернет и «втайне» совершить действие, на которое не имеется прав. Подобные процессы осуществляются с помощью запуска в программе нужного кода, в результате чего программа воспринимает их как нормальные и далее работает уже с ними.

Обычно вышеуказанные ошибки появляются из-за того, что пользователь недостаточно четко или часто осуществляет проверку данных.

Итак, рассмотрим самые популярные:

  1. Injection (Представляет собой инъекции)
  2. Broken Authentication and Session Management (Это ошибки, которые представлены в обходе аутентификации)
  3. Cross-Site Scripting (XSS)
  4. Insecure Direct Object References (В случае отсутствия защиты ресурсов и объектов)
  5. Security Misconfiguration (Конфигурация окружения лишена безопасности)
  6. Sensitive Data Exposure (Прямой доступ критичных данных)
  7. Missing Function Level Access Control (Представлена в том, что у пользователя нет функций контроля доступа)
  8. Cross-Site Request Forgery (CSRF) (Подделка запроса между ресурсами)
  9. Using Components with Known Vulnerabilities (При использовании компонентов с уязвимостями)
  10. Unvalidated Redirects and Forwards (Осуществление переадресации и пересылок без их проверки)

А теперь стоит рассмотреть вышеперечисленные угрозы более подробно и охарактеризовать их. Кроме того, распишем их в форме рейтинга:

— RCE — Remote code execution (При удаленном выполнении кода на сервере)

— PHP — инъекции. Активация PHP кода.

— SQL — инъекции. Внедрение кода в SQL запрос.

— XPath — инъекции. Активация кода в XPath запросе.

Список инклудов.

— RFI Remote file include. Процесс активации удаленного файла.

— LFI — Local file include. Подключение, выполнение или, в иных случаях, чтение локальных файлов.

— PHP include. Включение удаленного PHP.

Некорректная публикация сайта на сервере. Ошибки публикации.

— Открытые директории с файлами системы.

— Открытый доступ и возможность выполнения системных файлов, взаимодействующих с файловой системой или базами данных.

— Системные архивы, бэкапы сайта, находящиеся в открытом доступе.

— Файлы дампа баз данных в открытом доступе.

— Открытый доступ к .svn или .git индексным файлам.

Клиентские атаки. Атаки на администраторов и посетителей сайта.

— XSS атака. Сross Site Sсriрting — это скриптинг между сайтами.

Comments

Go to Top