Проблемы информационной безопасности by-нета

визитки и заканчивая интернет порталом)
Экономия на разработке приложений
Некомпетентность разработчиков в вопросах безопасности
Ошибки в ПО (движок, уязвимости в скриптах)
Неудачно спроектированные оборудование и программы
Неправильное распределение прав доступа между пользователями
Ошибки при настройке
Отсутствие информации об уязвимостях
Использование оборудования или программ не по назначению
Сбои оборудования
"Секретные" недокументированные функции в программах, оставленные разработчиками

клиентов на качество веб ресурса
Воровство финансовой информации, денежных средств
Нелегальное использование ресурсов рабочих серверов

сценариев
Переполнение буфера
Выполнение команд ОС
Злоупотребление функциональными возможностям

автоматизированных средств;
• вероятность обнаружения критичной ошибки в динамическом Web-приложении при ручном анализе составляет 65%;
• корректное применение автоматизированных средств анализа уязвимостей позволяет идентифицировать до 80% всех недочетов;
• ряд критичных уязвимостей не может быть обнаружен
с помощью автоматизированных средств.

Наиболее распространенными уязвимостями являются «Межсайтовое выполнение сценариев», «Внедрение операторов SQL» и различные варианты утечки информации.

протестированы 100 сайтов по запросу site:by.
(выборка была произвольной)

У 76% сайтов были обнаружены уязвимости различной степени риска.
XSS – 81%
SQL – injection - 36%
Information Leakage - 70%
Predictable Resource location – 40%
Command Execution – 18%
Brute Force – 7%
Insufficient Authentication 12%
Directory Indexing - 15%

заключается в недостаточной проверке входных данных поля
date в сценарии E:\INETPUB\ www.dyriavyi_sapog.by\ww\main.inc, в строке 238.
Требуется усовершенствование механизма фильтрации
входных данных.
Уязвимости в системе поиска по сайту.
Отображение ASP-кода. (Information leakage)
В ситуации с запросом, содержащим в себе определенные строки, в результатах
поиска можно увидеть ASP-код страницы.
Решение: Требуется усовершенствование механизма поиска.
Уязвимость в системе поиска по сайту. (Подверженность DoS-атакам).
С каждым поисковым запросом система выдает сообщение о просмотре 745 документов, т.е. используется рекурсивный поиск с просмотром всех документов в контексте web-сервера.
Решение: Использование вместо рекурсивного поиска индексации контента.
Уязвимость в системе опросов пользователей. (SQL – injection)
Система опроса пользователей и ведения статистики подвержена атакам SQL-injection из-за недостаточной проверки входных данных во всех полях. Решением будет реализация проверки входных данных в lib/oprosnik_engines.asp.

Сайт: www.dyriavyi_sapog.by

данный вид сканирования на практике выявляет до 80% процентов уязвимостей.
Имитация направленных внешних атак
Данный вид анализа и поиска уязвимостей является наиболее полным, т.к.в данной ситуации специалист ИБ проводит полное обследование определенных параметров используя всевозможные варианты атак.
Анализ исходного кода – наиболее трудоёмкий, но самый эффективный способ поиска уязвимостей. Проверка исходных кодов веб приложения является часто более эффективной в идентификации слабых мест. Во время тестирования эксперты проверяют каждую строчку исходного текста.

соседей, и их уязвимости
Корректная конфигурация сервера
наличие mod_rewrite
Пароли отвечающие критериям безопасности
Сложность подбора
Различные пароли для отдельных сервисов
Рабочий ресурс
Пароли отвечающие критериям безопасности
При использовании систем управления контентом (CMS), гостевых, чатов, форумов с открытым исходным кодом требуется постоянное исследование на появление уязвимостей в скриптах (просмотр bug track-ов).
При использовании собственных разработок - тестирование ПО на наличие уязвимостей.