Стандарты безопасности при разработке интернет-сайтов и веб приложений, OWASP

При разработке проектов для зарубежных Заказчиков требуется соблюдение стандартов безопасности.

На наш взгляд, следует брать стандартизированные документы международных компаний. OWASP для этих целей подходит идеально.

Вкратце опубликуем список стандартов при разработке интернет-сайтов и веб приложений.

OWASP.

10 наиболее опасных и распространенных дыр:

1. Отсутствие проверки параметров в http-запросах: используя особые параметры, хакер может получить доступ к ресурсам сервера через веб-приложение.
2. Несоблюдение политик управления доступом к ресурсам. Это позволяет злоумышленнику использовать закрытые ресурсы или получать доступ к учетным записям других пользователей.
3. Несоблюдение правил управления учетными записями и пользовательскими сессиями. Эта уязвимость связана, прежде всего, с отсутствием надежной защиты пользовательских данных (логина, пароля) и идентификаторов сессий, таких как файлы cookie. Это позволяет хакерам перехватывать данные других пользователей и пользоваться системой от их имени.
4. Уязвимости, связанные с ошибками в механизме Cross-Site Scripting (CSS или XSS), используемом для перенаправления пользователя на другие сайты. В этом случае атака может привести к получению хакером доступа к пользовательским данным или взлому локального компьютера.
5. Ошибки переполнения буфера, имеющиеся во многих программных продуктах — от скриптов и драйверов до операционных систем и серверного ПО. Отсутствие проверки некоторых параметров может приводить к переполнению буфера, а хакер при этом захватывает управление компьютером. Сообщения об обнаружении ошибок переполнения появляются чрезвычайно часто.
6. Дыры, связанные с отсутствием надлежащего контроля за параметрами, передаваемыми компьютерами при доступе к внешним ресурсам. Если хакер сумеет ввести в эти параметры свои команды, последствия могут быть самыми печальными.
7. Уязвимости, связанные с неправильной реализацией обработки ошибок в программном обеспечении. В некоторых случаях при возникновении ошибок хакер может получить информацию о системе или даже доступ к ней.
8. Неудачное использование криптографии. В OWASP отмечают, что часто инструменты для шифрования информации имеют собственные дыры, из-за чего применение сильной криптографии теряет всякий смысл.
9. Уязвимости, связанные с отсутствием надлежащей защиты подсистем удаленного администрирования. И хотя наличие веб-интерфейса удобно, поскольку позволяет администратору управлять системой с любого подключенного к Сети компьютера, при отсутствии надежной защиты то же самое может делать и хакер.
10. Неправильное конфигурирование серверного ПО, многие настройки которого серьезно влияют на безопасности системы.

Читайте также

Бесплатная проверка большого количества слов сайтов GoRank! ShopCMS отзывы. Отзыв о скрипте интернет-магазина Shop Cms Стоимость ссылок с внутренних страниц сайтов Успешные результаты продвижения сайтов