Websecurity - Веб безпека

Чимала частина власників сайтів, яким я повідомляю про уразливості на їх веб сайтах, та взагалі велика частина усіх власників сайтів, в наш час мало обізнані стосовно такої проблеми як Cross Site Scripting. І навіть якщо чули про наявність даної загрози і зокрема про наявність XSS на власному сайті (по інформації від мене), дані власники сайтів не переймаються цією проблемою - або не виправляють уразливості зовсім, або виправляють неякісно, або відповідають, що мовляв це не серйозна проблема і вони не бачать ніяких ризиків пов’язаних з даними уразливостями (і що адмінів навряд чи похакають, а стосовно юзерів їх сайтів їм байдуже).

Причому подібне відношення до уразливостей (і зокрема до XSS) існує давно - нагадаю, що Cross Site Scripting уразливості як окремий напрямок веб безпеки існує вже багато років (з 2000 року). І кількість похаканих сайтів щоденно зростає, але їх власники так і не почали замислюватися над проблемами безпеки своїх веб сайтів. В результаті своєї дослідницької діяльності стосовно уразливостей, я регулярно стикаюся з подібним відношенням власників до своїх сайтів, до їх безпеки і до XSS уразливостей.

Стосовно останніх, то зазначу, що окрім безпосереднього ризику для адмінів і користувачів даних веб сайтів (на яких знайдені XSS уразливості), уразливі сайти також небезпечні для будь-яких інших інтернет користувачів, навіть тих, хто про ці сайти і не чув взагалі. Це явище я називаю сайти зомбі.

Сайти, які мають XSS уразливості, і котрі я називаю сайтами зомбі - це сайти, котрі завдяки своїй уразливості можуть бути використані зловмисниками для своєї зловмисної діяльності. Використані як зомбі, котрі будуть виконувати роботу (команди), які дасть зловмисник, і завдяки чому жертва попаде у підготовлену пастку. Сайти зомбі можуть використовуватися для обдурення інтернет користувачів, фішингу та інших діянь, зокрема для редирекції на нехороший веб сайт (зі зловмисним кодом) або на інший уразливий сайт.

Я вже писав про фішинг за допомогою Yahoo та Google і таких прикладів можна привести чимало. І з кожним днем ситуація погіршується і небезпека зростає, що або власний сайт користувача, або відомий сайт, може бути використаний проти самого ж інтернет користувача.

P.S.

Вже в 2010 році я створив програму DDoS attacks via other sites execution tool (DAVOSET) для використання сайтів зомбі. DAVOSET - це інструмент для використання Abuse of Functionality та XML External Entities уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

This entry was posted on 14:42 11.09.2006 and is filed under Новини сайту, Статті. You can follow any responses to this entry through the RSS 2.0 feed.