Злоупотребление функциональными возможностями
-
Отказ в обслуживании: атаки данного класса могут быть проведены не только на сетевом уровне (рассматривалась ранее), но и используя непосредственно функциональность приложения и направлены на исчерпание системных ресурсов, таких как оперативная память, дисковое пространство, вычислительные мощности. При этом может быть задействована любая подсистема приложения — подсистема аутентификации, СУБД и т. д.
-
Недостаточное противодействие автоматизации: некоторые функции приложения, например, система регистрации учетных записей, должны быть защищены от автоматизированного использования. Автоматизированным способом можно генерировать тысячи запросов в минуту, что может отразиться на производительности приложения в целом. Недостаточное противодействие автоматизации — прекрасная возможность для организации атаки класса «отказ в обслуживании».
-
Недостаточная проверка процесса: уязвимости этого класса возникают, когда приложение недостаточно проверяет последовательность выполнения бизнес-операций. Например, при покупке двух товаров в системе электронной торговли предусмотрено получение скидки. Предположим, что при ручной корректировке формы возможно удаление из заказа второй товар. Если при этом система не пересчитает цену первого, то товар будет приобретен со скидкой.
- Раздел 16. Многоуровневые и многослойные приложения. Шаблон проектирования Модель-Представление-Контроллер
- 16.1. Многоуровневые приложения
- 16.2. Многослойные приложения
- 16.3. Шаблон проектирования Модель-Представление-Контроллер
- 16.4. Реализация шаблона Модель-Представление-Контроллер в веб-приложениях
- Раздел 17. Базы данных в веб-приложениях
- 17.1. Основные понятия баз данных
- 17.2. Системы управления базами данных
- 17.3. Язык запросов sql
- Транзакции
- 17.4. Доступ к базам данных из Java
- Пример: база данных студентов
- Поддержка транзакций
- 17.5. Объектно-реляционная проекция
- Лекция 18. Безопасность Интернет-приложений
- 18.1. Аутентификация и авторизация
- 18.2. Понятие безопасности Интернет-приложений
- 18.3. Классы атак сетевого уровня Сниффинг пакетов
- Подмена ip-адреса
- Отказ в обслуживании
- Сетевая разведка
- 18.4. Криптографические технологии
- 18.5. Уязвимости уровня приложений
- Уязвимости системы аутентификации
- Уязвимости системы авторизации
- Атаки на стороне клиента
- Выполнение кода на сервере
- Разглашение информации
- Злоупотребление функциональными возможностями
- Наиболее распространенные уязвимости
- 18.6. Резюме