Безопасность

Session Fixation (Фиксация сессии)

Фиксация сессии (Session Fixation) является методом нападения, который принудительно устанавливает идентификатор сессии (session ID) в определенное значение. В зависимости от функциональности сайта-мишени, чтобы “зафиксировать” идентификатор сессии может быть применено множество методов. Разнообразие этих методов - от применения Межсайтового программирования до забрасывания веб-сайта предварительно сформированными HTTP-запросами. Затем идентификатор пользовательской сессии фиксируется и злоумышленник ожидает тех, кто будет входить в систему. Как только пользователь сделает это, злоумышленник использует предопределенное значение идентификатора сессии, чтобы получить его онлайн идентификацию со всеми вытекающими последствиями.

Читать всю публикацию »

Insufficient Session Expiration (Незавершение сессии)

Незавершение сессии (Insufficient Session Expiration) возникает когда веб-сайт позволяет нарушителю повторно использовать старые сертификаты или идентификаторы сессий для авторизации. Незавершение сессии увеличивает незащищенность веб-сайта от нападений, похищающих или имитирующих роль других пользователей.

Читать всю публикацию »

Insufficient Authorization (Неполное ограничение доступа)

Неполное ограничение доступа (Insufficient Authorization) происходит, когда веб-сайт разрешает доступ к важному содержанию или функциональности, к которым требуется ограничение доступа. Когда пользователь авторизуется на веб-сайте, это совершенно не означает, что он должен получить полный доступ ко всем материалам и функциональности, без особых на это оснований.

Читать всю публикацию »

Credential/Session Prediction (Прогнозирование Сертификата/Сессии)

Прогнозирование Сертификата/Сессии (Credential/Session Prediction) является методом обмана или подражания пользователю веб-сайта. Вычисляется или угадывается уникальное значение, идентифицирующее индивидуальную сессию или пользователя, подвергающегося атаке.

Читать всю публикацию »

Weak Password Recovery Validation (Слабая процедура восстановления пароля)

Слабая процедура восстановления пароля (Weak Password Recovery Validation) возникает, когда веб-сайт позволяет злоумышленнику незаконно получить, изменить или восстановить пароль другого пользователя.

Читать всю публикацию »

Insufficient Authentication (Неполное ограничение полномочий)

Атака Неполное ограничение полномочий (Insufficient Authentication) может произойти, когда веб-сайт предоставляет злоумышленнику доступ к закрытым данным или функциональности, без соответствующей авторизации.

Читать всю публикацию »

Brute Force (Грубая сила)

Грубая сила (Brute Force) - автоматизированный процесс проб и ошибок для подбора логинов, паролей, номеров кредитных карт или криптографических ключей.

Читать всю публикацию »

Классификация Web-атак

Классификация атак по видам направленности нарушений:

  • Аутентификация
  • Авторизация
  • Атаки на стороне клиента
  • Выполнение команд
  • Информационное раскрытие
  • Логические атаки

Читать всю публикацию »