Cross-Site Scripting - найперша загроза безпеки
18:24 12.11.2006Компанія Acunetix, розробники популярного секюріті сканера, в своєму повідомленні Cross-Site Scripting ranks first in top security risks звертає вашу увагу на те, що в даний час XSS уразливості стали серйозною і поширеною загрозою безпеки. Раніше я згадував, що XSS набирає обертів (і секюріті компанії все більше звертають увагу на даний тип уразливостей).
Сама компанія займається розробкою секюріті сканера та регулярно проводить аудити проти разноманітних загроз безпеки, в тому числі XSS. Я вже розповідав про статистику веб атак.
І як показують дослідження компанії, зараз хакери відходять від атак переповнення буфера (які раніше були найпопулярнішими), і в даний час Cross-Site Scripting та SQL Injection є самими популярними атаками (котрі дозволяють дістатися зловмисникам до конфеденційної інформації).
Проект Common Vulnerabilities and Exposures (CVE) по власній статистиці за 2006 також підтвержує дану ситуацію: Cross-Site Scripting - 21,5%, SQL Injection - 14%, PHP includes - 9,5% (при тому, що Buffer overflows лише 7,9%).
Збільшення поширенності XSS уразливостей показує, що вектор атак зараз зміщується в напрямку веб додатків (з мов программування таких як C, до веб орієнтованих мов, таких як PHP, Perl, Java та платформи .Net). Зловмисники все більше використовують веб орієнтовані атаки. Тому потрібно приділяти увагу захисту ваших веб сайтів, веб додатків та веб систем.
