Защищенность правительственных сайтов10.08.2009
В процессе подготовки к семинару про тестирование защищенности веб-приложений, который состоится в ближайший четверг, решил пройтись по сайтам министерств, федеральных агентств и служб, чтобы посмотреть, как там обстоят дела с защищённостью. При этом я не обращал внимания на то, можно ли атаковать сервер целиком, проверял только сами сайты на наличие базовых уязвимостей – XSS, SQL-инъекции, инъекции команд. Просмотрел не все, штук сорок, то есть около половины. Из них: - 5 сайтов подвержены пассивному XSS, - 1 сайт подвержен слепой SQL-инъекции, - 1 сайт подвержен SQL-инъекции с возможностью внедрения UNION, - 3 сайта раскрывают некоторые детали внутреннего устройства, из них 2 предоставляют доступ к phpinfo, а 1 выдаёт сообщения об ошибках с отладочной информацией, - 1 сайт подвержен внедрению команд, это наиболее серьёзная проблема из всех, что мне встретились. В общем, я бы не сказал, что всё плохо, несмотря на наличие отдельных проблем. Тематики: Ключевые слова: веб-сайт, информационная безопасность
|