Недостаточная авторизация

Сюда можно отнести атаки, направленные на легкость перебора реквизитов доступа или использование каких-либо ошибок при проверке доступа к системе. Кроме техник Подбора (BruteForce) сюда входит Угадывания доступа (CredentialandSessionPrediction) и Фиксация сессии (SessionFixation).

Защита от атак этой группы предполагает комплекс требований к надежной системе авторизации пользователей.

Подмена содержания (атаки на клиентов)

Сюда входят все техники изменить содержимое веб-сайта без какого-либо взаимодействия с сервером, обслуживающим запросы — т.е. угроза реализуется за счет браузера пользователя (но при этом обычно сам браузер не является «слабым звеном»: проблемы заключаются в фильтрации контента на стороне сервера) или промежуточного кэш-сервера. Виды атак: Подмена содержимого (ContentSpoofing), Межсайтовые запросы (XSS, Cross-SiteScripting), Злоупотребление перенаправлениями (URL RedirectorAbuse), Подделка межсайтовых запросов (Cross-SiteRequestForgery), Расщепление HTTP-ответа (HTTP ResponseSplitting, Контрабанда HTTP-ответа (HTTP ResponseSmuggling), а также Обход маршрутизации (RoutingDetour), Расщепление HTTP-запроса (HTTP RequestSplitting) и Контрабанда HTTP-запроса (HTTP RequestSmuggling).

Значительная часть указанных угроз может быть блокирована еще на уровне настройки серверного окружения, но веб-приложения должны также тщательно фильтровать как поступающие данные, так и ответы пользователя.

Выполнение кода

Атаки на выполнение кода являются классическими примерами взлома сайта через уязвимости. Злоумышленник может выполнить свой код и получить доступ к хостингу, где расположен сайт, отправив определенным образом подготовленный запрос на сервер. Атаки: Переполнение буфера (BufferOverflow), Форматирование строки (FormatString), Целочисленное переполнение (IntegerOverflows), LDAP внедрение (LDAP Injection), Mail внедрение (MailCommandInjection), Нулевой байт (NullByteInjection), Выполнение команд ОС (OS Commanding), Исполнение внешнего файла (RFI, RemoteFileInclusion), Внедрение SSI (SSI Injection), Внедрение SQL (SQL Injection), Внедрение XPath (XPathInjection), Внедрение XML (XML Injection), Внедрение XQuery (XQueryInjection) и Внедрение XXE (XML ExternalEntities).

Не все из указанных типов атак могут касаться вашего сайта, но корректно они блокируются только на уровне WAF (WebApplicationFirewall) или фильтрации данных в самом веб-приложении.


3923280025138823.html
3923334962551777.html
    PR.RU™