Тестирование Безопасности Web проэктов


Убытки, связанные с киберпреступностью за прошлый год составили около $113 миллиардов долларов в год. Этих денег хватило бы на проведение 10 олимпиад, сопоставимых в олимпиадой в Лондоне в 2012 году.



Топ компаний, которые платят за найденные уязвимости:
— Microsoft. Средняя стоимость бага в Internet Explorer – $4 500
— Facebook. Минимальная стоимость бага — $500
— Google. Ошибка в Chrome стоит около $1 000
— Вконтакте выплатил украинским хакерам по $5 000 за найденную XSS-уязвимость
— Yahoo! $12.5 за уязвимость, платят купонами (на покупку кепок, ручек и маек в интернет-магазине Yahoo)

Основные типы атак на Web приложения:
— SQL Injection
— XSS (Cross Browser Scripting)

SQL Injection — Один из наиболее распространенных способов взлома, который основан на внедрении в SQL запрос своего произвольного SQL кода

Что можно сделать с помощью SQL Injection?
-С помощью инъекции злоумышленник может украсть любую информацию из базы данных, не имея доступа к ней

XSS — Cross Site Scripting — Тип атаки на веб-приложения путем внедрения клиентских скриптов
Существуют два вида:
-Reflected XSS
-Stored XSS

Что можно сделать с помощью XSS?
-Кража Cookies
-Кража аутентификационных данных
-Перенаправления пользователя на страницы злоумышленников


0 комментариев