• В Беларуси
  • Наука
  • Интернет и связь
  • Гаджеты
  • Игры
  • Офтоп
  • Оружие
  • Архив новостей
    ПНВТСРЧТПТСБВС
  1. Лукашенко подписал декрет о переходе власти в случае его гибели
  2. «Мама горевала, что не дождалась Ивана». Спустя 80 лет семья узнала о судьбе брата, пропавшего в 1941-м
  3. В Минске все-таки запустили в небо тысячи красных и зеленых шариков, против которых подписывали петицию
  4. Эксперт рассказал, что можно посадить в длинные выходные, а что еще рано сажать
  5. Как белорусские сигареты оказываются в опломбированных вагонах с удобрениями? Попытались найти ответ
  6. «Ці баяўся? Канешне, баяўся». Дзесяць цытат Васіля Быкава пра Вялікую Айчынную вайну
  7. «Поняли, у собаки непростая судьба». Минчане искали брошенному псу дом и узнали, что он знаменит
  8. Арина Соболенко выиграла турнир в Мадриде, одолев первую ракетку мира
  9. Инфекционист — о поставках в Беларусь вакцины от Pfizer и BioNTech и реакциях на прививку от COVID-19
  10. Ведущий химиотерапевт — о причинах рака у белорусов, влиянии ковида и о том, сколько фруктов есть в день
  11. «Всех разобрали, а я стою. Ну, думаю, теперь точно расстреляют». История остарбайтера Анны, которая потеряла в войну всех
  12. «Баявая сяброўка». Як украінка набыла танк, вызваляла на ім Беларусь ад фашыстаў і помсціла за мужа
  13. Колючая проволока и бронетранспортер. Каким получился «Забег отважных» в парке Победы
  14. Властям в апреле удалось пополнить резервы валютой. Белорусы отвернулись от доллара?
  15. «1700 рублей, СМС о зачислении пришло ночью». Какие выплаты в этом году к 9 Мая получают ветераны
  16. 76 лет назад закончилась Великая Отечественная война. В Беларуси празднуют День Победы
  17. «Пленные взбунтовались — врача похоронили с оркестром». История и артефакты из лагеря в Масюковщине
  18. «Хочу проехать по тем местам». Актер Алексей Кравченко — об «Иди и смотри» и съемках в Беларуси
  19. Пяць палацаў, якія можна купіць у Беларусі (ёсць і за нуль рублёў)
  20. Позывной «Птица». Удивительная история разведчицы Базановой, которая создала в оккупированном Бресте свою резидентуру
  21. Автозадачка на выходные. Загадка про легендарный автомобиль эпохи 70-х
  22. Сколько людей пришло в ТЦ «Экспобел», где бесплатно вакцинируют от коронавируса
  23. Какую из вакцин от ковида, которыми прививают в Беларуси, одобрил ВОЗ? Главное о здоровье за неделю
  24. Лукашенко: «Мы несколько перенапрягли наше общество»
  25. Белгидромет предупредил о заморозках в ночь на 10 мая
  26. «Когда войну ведут те, кто уже проиграл». Чалый объясняет «красные линии» и угрозы Лукашенко
  27. За сутки в стране 1214 новых случая COVID-19, десять скончавшихся
  28. Нарколог рассказала, почему стоит обращать внимание на состав алкоголя
  29. Участвовавший в испытании «Спутника V» минчанин спустя полгода проверил, что ему вкололи
  30. Бабарико, Тихановская и Цепкало о том, как для них началась избирательная кампания в прошлом году


Домены .by | Коллаж IT.TUT.BYКрупные корпоративные сайты все чаще становятся объектами атаки хакеров. Взлом корпоративного веб-сайта компании, являющегося ее представительством в сети, это удар по репутации и имиджу компании. Результатом большинства подобных взломов является замена заглавной страницы, либо страницы со списком услуг или новостей компании, страницей с произвольным содержанием. Часто в результате взлома сайта происходит потеря данных – в том числе, информации о клиентах, финансовой информации, т.е. нанесению компании прямого ущерба. Чем серьезнее компания и чем известнее ее бренд, тем существеннее риски и возможные убытки от взлома корпоративного сайта.
 
Проведенный специалистами компании Белсек анализ безопасности сайтов в зоне .by выявил наличие уязвимостей у 42% сайтов. Для проведения анализа была сделана произвольная выборка для тестирования 100 сайтов по запросу site:by в поисковой системе Google. Данные получены в ходе работ по тестированию на проникновение и оценки защищенности сайтов и основаны на результатах автоматизированного сканирования узлов и ручного анализа.

Наиболее распространена уязвимость “Межсайтовое выполнение сценариев” (Cross-Site Scripting, XSS). Эта ошибка средней степени риска может использоваться для выполнения в браузере клиента произвольного кода на языках сценариев с целью кражи идентификационных данных, подмена содержимого страниц, проведения атак типа "фишинг" и т.д. Количество идентифицированных XSS составляет до 52% всех обнаруженных уязвимостей.

На втором месте находятся разнообразные уязвимости, приводящие к утечке важной информации с сервера, так называемый “Information Leakage”. На них приходится 27% всех ошибок. В данную статистику включались только те из них, которые могут быть отнесены к средней и высокой степени риска.

Третья по популярности уязвимость – “Внедрение операторов SQL” (SQL Injection) на которую приходится 16% общего количества ошибок. С помощью данной уязвимости злоумышленники получают возможность читать, а иногда и модифицировать информацию в базе данных, используемой web-приложением. В некоторых случаях эксплуатация SQL Injection может привести к получению полного контроля над сервером. В связи с этим, уязвимости данного типа классифицируются как имеющие высокую степень риска.

Иные уязвимости встречаются значительно реже (5% от обнаруженных ошибок), и среди них были обнаружены следующие: “Предсказуемое расположение ресурсов” (Predictable Resource location), “Выполнение shell-команд” (Command Execution), “Легкий перебор пароля” (Brute Force), “Недостаточная аутентификация” (Insufficient Authentication), “Просмотр служебных директорий” (Directory Indexing).

Если рассматривать распределение ошибок по степени риска, то на критичные уязвимости приходится 21%, на ошибки средней и низкой степени риска – 38% и 41% соответственно.

Основные проблемы, связанные с безопасностью функционирования публично доступного web-сайта, возникают по следующим причинам:

• Неправильная конфигурация или другое некорректное действие над web-сервером, которое может привести к раскрытию или изменению информации;
• Уязвимости ПО web-сервера;
• Неадекватные механизмы защиты web-сервера, предусмотренные в его окружении;
• ПО на стороне сервера (скрипты, JSP, ASP и т.п.), которое содержит ошибки, позволяющие атакующим компрометировать безопасность web-сервера.

По словам специалистов, основной предпосылкой отсутствия должного внимания к вопросу безопасности корпоративного web-сайта является неадекватная оценка экономического эффекта от стабильной работы сайта предприятия.

Александр ВАСИЛЕВСКИЙ, СООО "Белсек"

P.S. По данной теме рекомендуем также ознакомиться с видеозаписью доклада Дмитрия Мартинкевича, сделанного на конференции "Деловой Интернет".


-10%
-20%
-10%
-90%
-30%
-5%
-80%
-10%
0073023