logo search
5 модуль

18.5. Уязвимости уровня приложений

Уязвимости веб-приложений, относящиеся непосредственно к используемому программному обеспечению, можно условно разделить на пять групп:

  1. уязвимости, связанные с недостаточной проверкой данных, приходящих от клиента;

  2. уязвимости, связанные с недостаточной реализацией (настройкой) политик безопасности;

  3. уязвимости, связанные с недостаточным противодействием автоматизации (пример — спам на форуме);

  4. уязвимости, связанные с получением или возможностью получения клиентом любой, кроме необходимой ему информации;

  5. уязвимости используемого стороннего программного обеспечения.

Консорциумом по безопасности веб-приложений (Web Application Security Consortium, WASC) была предложена классификация классов атак на веб-приложения, изложенная в соответствующей спецификации. Рассмотрим некоторые из них.