Tipuri de atacuri asupra aplicatiilor web - Securitatea Informatica

Tipuri de atacuri asupra aplicatiilor web

Cross Site Scripting (XSS) Vulnerabilitatile XSS au loc cand serverul ia datele de la utilizator si le trimite inapoi browserului, fara ca acestea sa fie validate. XSS permite atacatorilor să redirectioneze paginile victimei, sa execute scripturi în browserul victimei, acestia putand ulterior sa intercepteze sesiuni de utilizator, să introducă viermi, etc.
Injection Flaws Injection Flaws în special SQL inject, sunt comune în aplicaţiile web. Injectarea se produce atunci când datele furnizate de utilizator sunt trimise la un interpret ca parte a unei comenzi sau a unei interogari. Atacatorul pacaleste interpretorul facandu-l sa execute comenzi sau schimbarea de date neintentionat.
Executia malitioasa a fisierelor Codul vulnerabil la includerea externa a fisierelor – remote file inclusion (RFI) permite atacatorilor sa includa cod si date ostile, rezultand in atacuri devastatoare. Executia malitioasa a fisierelor afecteaza scripturile PHP, XML si orice framework care accepta fisiere (sau nume de fisiere) de la utilizator.
Expunerea referintelor directe O referinţă directa la un obiect are loc atunci când un dezvoltator expune o referinţă la un obiect intern cum ar fi un fişier, director, record de baze de date, sau cheie, un URL sau parametru dintr-un form. Atacatorii pot manipula aceste referinţe pentru a accesa alte obiecte fără autorizaţie.
Cross Site Request Forgery (CSRF) Un atac CSRF forţează browser-ul victimei autentificate deja sa trimita o cerere de pre-autentificate la o aplicatie web vulnerabila, care apoi forteaza browserul victimei sa efectueze o acţiune ostilă în beneficiul al atacatorului. CSRF poate fi la fel de puternic ca aplicatia web pe care o atacă.
Scurgerile de informaţii şi manipularea necorespunzatoare a erorilor Aplicatiile pot scurge, fara sa vrea, informatii despre configurare, modul intern de lucru, etc. Atacatorii pot folosi aceste informatii pentru a fura date de pe serverul in cauza sau pentru a lansa atacuri mai importante.
Spargerea autentificarii si managementul sesiunii Conturile si sesiunile sunt de multe ori protejate insuficient. Atacatorii pot compromite parole, chei, sau sesiuni pentru a-şi asuma identitatea altor utilizatori.
Stocarea nesigura a datelor criptografice Aplicatii web folosesc rar funcţiile criptografice în mod corespunzător pentru a proteja datele şi conturile. Atacatorii folosesc datele slab protejate pentru furt de identitate şi alte infracţiuni, cum ar fi fraudarea cărţilor de credit.
Comunicatii nesigure In mod frecvent aplicatiile nu encripteaza traficul din retea pentru a proteja comunicatiile sensibile. Aceasta deschide posibilitatea ca sesiunea sa fie interceptata (cu ajutorul unui sniffer de exemplu).
Imposibilitatea de a restricţiona accesul URL Frecvent, o aplicatie protejează numai funcţionalitatea sensibila prin prevenirea afişarii de link-uri sau URL-uri pentru accesul utilizatorilor neautorizaţi. Atacatorii pot utiliza această slăbiciune pentru a accesa şi de a efectua operaţiuni neautorizate prin accesarea acelor adrese URL in mod direct.

Sursa: securitatea-informatica.ro

Twitter Digg Delicious Stumbleupon Technorati Facebook


Nici un comentariu inca... Fii primul care lasa un comentariu!

Lasa un raspuns

This site is protected by Comment SPAM Wiper. This site is protected by WP-CopyRightPro