5

Сайт-
визитка:

Сайт-визитка – это небольшой по размеру сайт (объем до 10 страниц), на котором размещается информация например о вашей компании.

0

Корпоративный сайт:

Это, веб-интерфейс определенной компании, который создан для доступа сотрудника к корпоративным данным и приложениям.

8

Интернет-магазин:

сайт, позволяет пользователям онлайн, в своём браузере, сформировать заказ на покупку, выбрать способ оплаты и доставки заказа.

Разработчики не уделяют должного внимания уязвимостям в приложениях

Несмотря на то что главной целью злоумышленников являются уязвимости в приложениях, ПО-разработчики уделяют куда больше внимания проблемам безопасности не в программах, а в операционных системах.

Ах, вот как это происходит… (Фото Images.com.)

Об этом свидетельствует отчет The Top Cyber Security Risks, подготовленный усилиями аналитиков SANS Institute, TippingPoint и Qualys.

Группа исследователей изучила связанные с онлайновыми атаками данные, собиравшиеся в течение полугода в шести тысячах организаций, которые используют систему противодействия вторжению TippingPoint. Кроме того, в расчет принималась информация, полученная по результатам 100 млн сканирований среди 9 тысяч подписчиков сервиса компании Qualys, который оценивает наличие уязвимостей.

Выяснилось, что в течение 60 дней закрывается 80% уязвимостей в операционных системах Microsoft и только 40% «дыр» в приложениях. Вместе с тем большинство хакерских атак направлено именно на приложения, особенно клиентские, включая Adobe PDF Reader, Apple QuickTime, Adobe Flash и Microsoft Office.

Более 60% отслеженных TippingPoint атак имели целью веб-приложения; злоумышленники надеялись превратить привычные ресурсы в опасные, распространяющие вредоносный код для заражения уязвимых клиентских программ.

Основными способами атаки выступали внедрение SQL-кода и межсайтовый скриптинг. К самым популярным методикам взлома исследователи отнесли полный перебор паролей, направленный на серверы FTP, SSH и Microsoft SQL.

Наконец, чаще всего эксплуатировались проблемы с безопасностью в Apple QuickTime 7.6 (CVE-2009-0007), удаленное исполнение кода из-за уязвимости в Microsoft WordPad и текстовом конвертере Office (MS09-010), а также множественные «дыры» в Sun Java. Кроме того, не обошлось без так называемых атак нулевого дня, когда нападения совершаются до того, как обнаруженные уязвимости будут закрыты.

Comments are closed.