• В Беларуси
  • Наука
  • Интернет и связь
  • Гаджеты
  • Игры
  • Оружие
  • Архив новостей
    ПНВТСРЧТПТСБВС
  1. На продукты рванули цены. Где сейчас выгоднее закупаться — на рынках, в гипермаркетах, дискаунтерах?
  2. Как Беларусь зарабатывает на реэкспорте цветов в Россию
  3. Приговор по делу о «ноль промилле»: полгода колонии журналистке TUT.BY и два года с отсрочкой врачу
  4. Был боссом Дудя, построил крутой бизнес в России, а сейчас помогает пострадавшим за позицию в Беларуси
  5. Светлана Тихановская прокомментировала видео СК по ее делу
  6. «Утром ломились в подъезд». Что известно о массовых задержаниях блогеров и админов телеграм-чатов в Минске
  7. Кризис и волны релокейта не помеха? Резидент ПВТ пошел развивать технологические проекты в регионах
  8. Суд за надпись «3%» и пять лет колонии за «изготовление ежей». Что происходит в Беларуси 3 марта
  9. Двухлетний ребенок полгода не видел папу. Посмотрите, как сын встречает политзаключенного
  10. Водители жаловались, что после поездки по М10 не могут отмыть машины. Вот что рассказали дорожники
  11. «Предложили снять, я отказался». Житель «Пирса» повесил на балконе БЧБ-флаг, а его авто забрал эвакуатор
  12. Какой будет погода весной и стоит ли прятать теплые пуховики в марте
  13. Виктор Лукашенко получил звание генерал-майора запаса. Предыдущее его известное звание — капитан
  14. Беларусбанк начал выдавать потребительские кредиты. Какую сумму дадут при зарплате в 1000 рублей
  15. Все магазины Bigzz и «Копилка» не работают. Компания ушла в ликвидацию
  16. «Радуюсь „мягкому“ приговору для невиновных людей». Известные белорусы — о приговоре врачу и журналисту
  17. Кирилл Рудый — о жизни после госслужбы и проектах с Китаем. «Cперва кажется, ничего нельзя, а оказывается — все можно»
  18. Жуткое ДТП в Волковысском районе: погибли три человека, в том числе новорожденный ребенок
  19. Протестировали, как работает оплата проезда в метро по лицу, и рассказываем, что из этого вышло
  20. В Витебске увольняют Владимира Мартова — реаниматолога, который первым в Беларуси честно говорил о ковиде
  21. Для водителя, который прокатил на капоте гаишника, запросили 11 лет колонии усиленного режима
  22. «Малышке был месяц, они ее очень ждали». Что известно о троих погибших в страшной аварии под Волковыском
  23. Перенес жуткое сотрясение, но вернулся и выиграл два Кубка Стэнли. Хоккеист, которым восхищается весь мир
  24. «Деревня умирает! Здесь живут 4 человека — и все». История Анатолия, который работает в автолавке
  25. «Пары начинались в 3 утра». Белорусы, которые учатся в Китае, не могут вернуться в вуз
  26. «За полтора месяца мое душевное рвение ушло в минус». Минчанка продала квартиру и купила синагогу
  27. «В детстве комплексовала и боялась, что нет будущего». Глухой автоинструктор — о жизни и работе
  28. Нет ни документов, ни авто. В правительстве объяснили, как снять с учета такую машину, чтобы не платить налог
  29. Родители не пускали дочь на учебу из-за ковида — и ее отчислили. Колледж: все законно
  30. Вот почему он стоит больше 100 тысяч евро. В Минск привезли первый Mercedes S-класса нового поколения


Домены .by | Коллаж IT.TUT.BYКрупные корпоративные сайты все чаще становятся объектами атаки хакеров. Взлом корпоративного веб-сайта компании, являющегося ее представительством в сети, это удар по репутации и имиджу компании. Результатом большинства подобных взломов является замена заглавной страницы, либо страницы со списком услуг или новостей компании, страницей с произвольным содержанием. Часто в результате взлома сайта происходит потеря данных – в том числе, информации о клиентах, финансовой информации, т.е. нанесению компании прямого ущерба. Чем серьезнее компания и чем известнее ее бренд, тем существеннее риски и возможные убытки от взлома корпоративного сайта.
 
Проведенный специалистами компании Белсек анализ безопасности сайтов в зоне .by выявил наличие уязвимостей у 42% сайтов. Для проведения анализа была сделана произвольная выборка для тестирования 100 сайтов по запросу site:by в поисковой системе Google. Данные получены в ходе работ по тестированию на проникновение и оценки защищенности сайтов и основаны на результатах автоматизированного сканирования узлов и ручного анализа.

Наиболее распространена уязвимость “Межсайтовое выполнение сценариев” (Cross-Site Scripting, XSS). Эта ошибка средней степени риска может использоваться для выполнения в браузере клиента произвольного кода на языках сценариев с целью кражи идентификационных данных, подмена содержимого страниц, проведения атак типа "фишинг" и т.д. Количество идентифицированных XSS составляет до 52% всех обнаруженных уязвимостей.

На втором месте находятся разнообразные уязвимости, приводящие к утечке важной информации с сервера, так называемый “Information Leakage”. На них приходится 27% всех ошибок. В данную статистику включались только те из них, которые могут быть отнесены к средней и высокой степени риска.

Третья по популярности уязвимость – “Внедрение операторов SQL” (SQL Injection) на которую приходится 16% общего количества ошибок. С помощью данной уязвимости злоумышленники получают возможность читать, а иногда и модифицировать информацию в базе данных, используемой web-приложением. В некоторых случаях эксплуатация SQL Injection может привести к получению полного контроля над сервером. В связи с этим, уязвимости данного типа классифицируются как имеющие высокую степень риска.

Иные уязвимости встречаются значительно реже (5% от обнаруженных ошибок), и среди них были обнаружены следующие: “Предсказуемое расположение ресурсов” (Predictable Resource location), “Выполнение shell-команд” (Command Execution), “Легкий перебор пароля” (Brute Force), “Недостаточная аутентификация” (Insufficient Authentication), “Просмотр служебных директорий” (Directory Indexing).

Если рассматривать распределение ошибок по степени риска, то на критичные уязвимости приходится 21%, на ошибки средней и низкой степени риска – 38% и 41% соответственно.

Основные проблемы, связанные с безопасностью функционирования публично доступного web-сайта, возникают по следующим причинам:

• Неправильная конфигурация или другое некорректное действие над web-сервером, которое может привести к раскрытию или изменению информации;
• Уязвимости ПО web-сервера;
• Неадекватные механизмы защиты web-сервера, предусмотренные в его окружении;
• ПО на стороне сервера (скрипты, JSP, ASP и т.п.), которое содержит ошибки, позволяющие атакующим компрометировать безопасность web-сервера.

По словам специалистов, основной предпосылкой отсутствия должного внимания к вопросу безопасности корпоративного web-сайта является неадекватная оценка экономического эффекта от стабильной работы сайта предприятия.

Александр ВАСИЛЕВСКИЙ, СООО "Белсек"

P.S. По данной теме рекомендуем также ознакомиться с видеозаписью доклада Дмитрия Мартинкевича, сделанного на конференции "Деловой Интернет".


-20%
-35%
-30%
-10%
-13%
-35%
-33%
-40%
-20%
0072641