Что такое уязвимости ?

Классификация уязвимостей.

Классификация уязвимостей и угроз для сайтов.

Что такое уязвимость сайта

В web безопасности, термин уязвимость (англ. vulnerability) используется для обозначения недостатков в коде сайта или программном обеспечении сервера, используя которые, можно нарушить целостность системы и вызвать неправильную работу.
Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании сайтов, ненадежных паролей, возможности проведения скриптовых и SQL - инъекций, а также атак на сайт.
Обычно уязвимость позволяет атакующему «обмануть» интернет - приложение — заставить его совершить действие, на которое у того не должно быть прав.
Это делается путем внедрения каким-либо образом в программу данных или кода в такие места, что программа воспримет их как «свои».
В большинстве случаев уязвимости появляются из-за недостаточной проверки данных, вводимых пользователем, и позволяют вставить в интерпретируемый код произвольные команды.
Многие уязвимости появляются из-за более сложных проблем, таких как запись данных в буфер без проверки его границ (переполнение буфера).
Одни уязвимости известны только теоретически, но большинство уязвимостей уже активно используются и имеют известные эксплойты.


10 самых популярных веб-уязвимостей по версии OWASP (Open Web Application Security Project ) Top Ten for 2013

  • A1 Injection (Инъекции)
  • A2 Broken Authentication and Session Management (Ошибки, обход аутентификации)
  • A3 Cross-Site Scripting (XSS) (Межсайтовый скриптинг)
  • A4 Insecure Direct Object References (Незащищенные ресурсы и объекты)
  • A5 Security Misconfiguration (Небезопасная конфигурация окружения)
  • A6 Sensitive Data Exposure (Незащищенность критичных данных)
  • A7 Missing Function Level Access Control (Отсутствие функций контроля доступа)
  • A8 Cross-Site Request Forgery (CSRF) (Межсайтовая подделка запроса)
  • A9 Using Components with Known Vulnerabilities (Использование компонентов с известными уязвимостями)
  • A10 Unvalidated Redirects and Forwards (Непроверенные переадресации и пересылки)

OWASP Top Ten — это серьезный документ, осведомляющий о безопасности веб-приложений и представляющий собой единый источник всех наиболее критичных уязвимостей веб-технологий.


Мы составили свой рейтинг угроз, исходя из статистики обращений в нашу компанию с проблемой взлома сайтов:

  • Инъекции.

  • Инклуды.
    • RFI Remote file include. Включение удаленного файла.
    • LFI - Local file include. Подключение, выполнение или чтение локальных файлов на сервере.
    • PHP include. Включение удаленного PHP файла.

  • Некорректная публикация сайта на сервере. Ошибки публикации.
    • Открытые директории с системными файлами.
    • Открытый доступ и возможность выполнения системных файлов, взаимодействующих с файловой системой или базами данных.
    • Системные архивы, бэкапы сайта, находящиеся в открытом доступе.
    • Файлы дампа баз данных в открытом доступе.
    • Открытый доступ к .svn или .git индексным файлам.

  • Клиентские атаки. Атаки на администраторов и посетителей сайта.
    • XSS атака. - Cross Site Sсriрting - межсайтовый скриптинг.
    • CSRF атака. - Сross Site Request Forgery - межсайтовая подделка запроса.


Сканер уязвимостей сайтов онлайн Проверьте, наколько устойчив к взлому Ваш сайт