Vulnerabilidades de segurança em sistemas baseados na web
sistemas baseados na web contêm muitos componentes, incluindo o código do aplicativo, sistemas de gerenciamento de banco de dados, sistemas operacionais, middleware, eo próprio software de servidor web. Esses componentes podem, individual e coletivamente, têm um design de segurança ou defeitos de implementação. Alguns dos defeitos presentes incluem as seguintes:
Conteúdo
Video: Vídeo 12 - Descobrindo vulnerabilidades em serviços WEB
- A falta de bloquear ataques de injeção. Ataques como javascript injeção e injeção SQL pode permitir que um atacante para causar uma aplicação web a funcionar mal e expor sensíveis dados armazenados internamente.
- autenticação com defeito. Há muitas, muitas maneiras em que um web site pode implementar a autenticação - eles são numerosos demais para listar aqui. A autenticação é essencial para obter direito; muitos sites não conseguem fazê-lo.
- gerenciamento de sessão com defeito. servidores Web criar “sessões” lógicas para manter o controle de usuários individuais. mecanismos de gestão de sessão Muitos sites’ são vulneráveis ao abuso, mais notavelmente que permitir a um invasor assumir sessão de outro usuário.
- A falta de bloquear ataques cross-site scripting. Web sites que não conseguem examinar e higienizar os dados de entrada. Como resultado, os atacantes podem às vezes criar ataques que enviam conteúdo malicioso para o usuário.
- A falta de bloquear ataques cross-site request forgery. Web sites que não conseguem empregar sessão adequada e gerenciamento de contexto sessão pode ser vulnerável a ataques em que os usuários são levados a enviar comandos para web sites que podem causar-lhes danos.
Um exemplo é quando um intruso truques um usuário a clicar em um link que realmente leva o usuário para uma URL como esta:https://bank.com/transfer?tohackeraccount:amount=99999.99
. - Incapacidade de proteger referências objetos diretos. Os sites podem às vezes ser enganado e acessar e enviar dados para um usuário que não está autorizado a ver ou modificá-lo.
Essas vulnerabilidades podem ser mitigados em três formas principais:
- formação desenvolvedor sobre as técnicas de desenvolvimento de software mais seguro
- Incluindo a segurança no ciclo de vida de desenvolvimento
- Uso de ferramentas de verificação de aplicação dinâmica e estática