29.09.2020 @ 11:52 (не)Безопасный веб: узнаем об уязвимостях раньше злоумышленника Acunetix, BurpSuite, DirBuster, Nemesida WAF, owasp, Pentestit, SQLmap, ZAP Обеспечение безопасности веб-приложений (сайтов, интернет-магазинов, личных кабинетов) и API — не такая простая задача, как может показаться на первый взгляд. Этому есть несколько причин: веб-приложения доступны 24/7, и злоумышленник в любой момент может предпринять свою атаку; веб-приложения представляют собой стек различных технологий, взаимодействие которых порой сложно осуществить; веб-приложения часто бывают самописными и, к несчастью, это не делает их более защищенными; веб-приложения изначально разрабатываются для улучшения имиджа компании и получения экономической выгоды, а об их безопасности задумываются далеко не в первую очередь; благодаря веб-приложению можно получить различную ценную информацию, начиная от данных пользователей и заканчивая наработками компании-владельца. Конечно, веб-разработчики стараются не допускать появлению уязвимостей, но в силу причин, описанных ранее, не всегда этого удается избежать, а иногда и исправить с первого раза. Чтобы разобраться с актуальными видами уязвимостей веб-приложений достаточно обратиться к одному из самых авторитетных проектов, посвященных веб-безопасности — OWASP. Помимо прочего, на ресурсе можно найти список наиболее опасных и актуальных уязвимостей веб-приложений под названием OWASP Top Ten: А1 — Инъекции; А2 — Недостатки аутентификации; А3 — Разглашение конфиденциальных данных; А4 — Внешние сущности XML (XXE); А5 — Недостатки контроля доступа; А6 — Некорректная настройка параметров безопасности; А7 — Межсайтовое выполнение сценариев (XSS); А8 — Небезопасная десериализация; А9 — Использование компонентов с известными уязвимостями; А10 — Недостатки журналирования и мониторинга. Читать далее (не)Безопасный веб: узнаем об уязвимостях раньше злоумышленника → Hekpo 10607 Web security Читать дальше >>