Организация WASC (Web Application Security Consortium) пытается стандартизировать термины описания угроз безопасности Web- приложений, что дает возможность разработчикам, специалистам в области безопасности, производителям программных продуктов и аудиторам использовать единый язык при своем взаимодействии. В настоящее время существует вторая версия классификатора от WASC, она доступна по ссылке The WASC Threat Classification v2.0 или в виде PDF файла WASC-TC-v2_0.pdf.

Attacks (Атака)

• Abuse of Functionality. DoS атаки через Abuse of Functionality уразливості. Редиректори на популярних сайтах №3
• Brute Force
• Buffer Overflow
• Content Spoofing
• Credential/Session Prediction
• Атака CLDAP/DNS-Amplification
• Improper Output Handling
• Уязвимость Cross-site Scripting (XSS). XSS. Межсайтовый скриптинг (межсайтовое выполнение сценариев).
• Cross-Site Request Forgery. CSRF. Використання сайтів для атак на інші сайти
• Insecure Indexing
• Denial of Service
• Fingerprinting
• Format String
• HTTP Response Smuggling
• HTTP Response Splitting
• HTTP Request Smuggling
• HTTP Request Splitting
• Integer Overflows
• LDAP Injection
• Mail Command Injection
• Null Byte Injection
• OS Commanding
• Path Traversal
• Predictable Resource Location
• Remote File Inclusion (RFI)
• Routing Detour
• Session Fixation
• SOAP Array Abuse
• SSI Injection
• Что такое SQL Injection защита. Внедрение операторов SQL.
• URL Redirector Abuse
• XPath Injection
• XML Attribute Blowup
• XML External Entities
• XML Entity Expansion
• XML Injection
• XQuery Injection
• Атака типа clickjacking (захват клика)

Weaknesses (Слабые стороны; Слабость защитных механизмов)

• Application Misconfiguration
• Directory Indexing
• Improper Filesystem Permissions
• Improper Input Handling
• Information Leakage
• Insufficient Anti-automation
• Insufficient Authentication
• Insufficient Authorization
• Insufficient Password Recovery
• Insufficient Process Validation
• Insufficient Session Expiration
• Insufficient Transport Layer Protection
• Server Misconfiguration

Безопасность в среде Интернет включает в себя много различных ас­пектов:

• система защиты Web- сервера;
• безопасность баз данных;
• проверка данных, вводимых пользователями;
• приемы и методы шифрования. Часто инструменты для шифрования информации имеют собственные уязвимости, из-за чего применение сильной криптографии теряет смысл.

Что нужно проверять:

• Корректность данных, вводимых пользователем (например, удаление пробельных символов - PHP: trim()).
• Проверка обязательности заполнения поля (PHP: функция empty($_POST['pid'])
• Проверка числовых значений. Если поле предназначено для ввода только целых чисел, то самым простым способом обезопасить скрипт в PHP является обработка вводимого значения при помощи функции intval(), которая приводит любой аргумент к целому числу (или к О, если это невозможно). Или использовать регулярные выражения (Шпаргалка RegExp: Метасимволы, Максимализм квантификатора, Алфавиты и блоки).
• Передача поль­зовательских файлов на сервер. Нужно запрещать загрузку всех файлов кроме непосредственно разрешенных. Можно осуществлять проверку типа загружаемого файла $_FILES['attachement']['type']. Указать серверу Apache рассматривать все загруженные пользовательские файлы как текстовые, для этого в директории где хранятся пользовательские файлы создается файл Настройка .htaccess в котором переопределяются обработчики для PHP и Perl.
• Шифрование: Алгоритм MD5. В БД должны храниться зашифрованные пользовательские данные (например пароли).

Примеры наиболее распространенных атак на веб-сайты:

• Подмена главной страницы сайта (Content Spoofing) — одна из самых частых форм взлома. Заместо привычного содержимого на обложке сайта будет красоваться все что угодно — от имени злостного хакера до банальных оскорблений.
• Удаление файловой системы — вся информация попросту пропадает, что становится провальным в случае отсутствия сохраненной копии ресурса. Стоит отметить, что пропасть может и база клиентских паролей, а также прочие данные, имеющие критичную ценность.
• Подмена информации — злоумышленники могут подменить телефон или другие данные организации. В этом случае ваши клиенты автоматически становятся клиентами злоумышленников.
• Размещение троянских программ — в этом случае скорее всего вы не заметите визит хакера, по крайней мере все будет на это нацелено. Вредоносные программы могут выполнять разнообразные функции — осуществлять переадресацию на сайт злоумышленников, воровать персональные данные клиентов, заражать посетителей вирусами и так далее.
• Рассылка спама — ваш сайт могут использовать для рассылки спама, в этом случае ваша «настоящая» корреспонденция не будет доходить до адресата, так как домен вашей организации практически сразу будет внесен в централизованную базу данных спамеров.
• Создание высокой нагрузки — отправление в адрес веб-сервера заведомо некорректных запросов или иные действия извне, результатом которых будет затруднение доступа к сайту или падение операционной системы сервера. Такой вид атаки очень широко распространен в интернете.

• Что такое WAF? Защита веб-приложений с помощью WAF
• WASC (Web Application Security Consortium).
• OWASP (Open Web Application Security Project). Cheat Sheets from OWASP.
• Классификация угроз безопасности Web-приложений - существует часть переводов на русский язык WASC.
• CERT-UA Рекомендації щодо підвищення рівня захищеності інформаційно-телекомунікаційних систем та інформаційних ресурсів державних органів і установ від несанкціонованих дій зі сторони мережі Інтернет