Различия
Показаны различия между двумя версиями страницы.
Предыдущая версия | |||
— | klassifikator_ugroz_bezopasnosti [2025/07/06 12:39] (текущий) – внешнее изменение 127.0.0.1 | ||
---|---|---|---|
Строка 1: | Строка 1: | ||
+ | ====== Классификатор угроз безопасности Интернет (Web- приложений) ====== | ||
+ | Организация [[http:// | ||
+ | |||
+ | **Attacks (Атака)** | ||
+ | * Abuse of Functionality. [[http:// | ||
+ | * Brute Force | ||
+ | * Buffer Overflow | ||
+ | * Content Spoofing | ||
+ | * Credential/ | ||
+ | * [[CLDAP/ | ||
+ | * Improper Output Handling | ||
+ | * [[Cross-Site Scripting]]. XSS. Межсайтовый скриптинг (межсайтовое выполнение сценариев). | ||
+ | * Cross-Site Request Forgery. [[wpru> | ||
+ | * Insecure Indexing | ||
+ | * Denial of Service | ||
+ | * Fingerprinting | ||
+ | * Format String | ||
+ | * HTTP Response Smuggling | ||
+ | * HTTP Response Splitting | ||
+ | * HTTP Request Smuggling | ||
+ | * HTTP Request Splitting | ||
+ | * Integer Overflows | ||
+ | * LDAP Injection | ||
+ | * Mail Command Injection | ||
+ | * Null Byte Injection | ||
+ | * OS Commanding | ||
+ | * Path Traversal | ||
+ | * Predictable Resource Location | ||
+ | * Remote File Inclusion (RFI) | ||
+ | * Routing Detour | ||
+ | * Session Fixation | ||
+ | * SOAP Array Abuse | ||
+ | * SSI Injection | ||
+ | * [[SQL Injection]]. Внедрение операторов [[SQL]]. | ||
+ | * URL Redirector Abuse | ||
+ | * XPath Injection | ||
+ | * XML Attribute Blowup | ||
+ | * XML External Entities | ||
+ | * XML Entity Expansion | ||
+ | * XML Injection | ||
+ | * XQuery Injection | ||
+ | * Атака типа [[iframe|clickjacking]] (захват клика) | ||
+ | |||
+ | **Weaknesses (Слабые стороны; | ||
+ | * Application Misconfiguration | ||
+ | * Directory Indexing | ||
+ | * Improper Filesystem Permissions | ||
+ | * Improper Input Handling | ||
+ | * Information Leakage | ||
+ | * Insufficient Anti-automation | ||
+ | * Insufficient Authentication | ||
+ | * Insufficient Authorization | ||
+ | * Insufficient Password Recovery | ||
+ | * Insufficient Process Validation | ||
+ | * Insufficient Session Expiration | ||
+ | * Insufficient Transport Layer Protection | ||
+ | * Server Misconfiguration | ||
+ | |||
+ | ====== Аспекты безопасности ====== | ||
+ | Безопасность в среде Интернет включает в себя много различных аспектов: | ||
+ | * система защиты Web- сервера; | ||
+ | * безопасность баз данных; | ||
+ | * проверка данных, | ||
+ | * приемы и методы шифрования. Часто инструменты для шифрования информации имеют собственные уязвимости, | ||
+ | |||
+ | Что нужно проверять: | ||
+ | * **Корректность данных**, | ||
+ | * **Проверка обязательности заполнения поля** ([[PHP]]: функция empty($_POST[' | ||
+ | * **Проверка числовых значений**. Если поле предназначено для ввода только целых чисел, то самым простым способом обезопасить скрипт в PHP является обработка вводимого значения при помощи функции intval(), которая приводит любой аргумент к целому числу (или к О, если это невозможно). Или использовать регулярные выражения ([[RegExp]]). | ||
+ | * **Передача пользовательских файлов на сервер**. Нужно запрещать загрузку всех файлов кроме непосредственно разрешенных. Можно осуществлять проверку типа загружаемого файла $_FILES[' | ||
+ | * Шифрование: | ||
+ | |||
+ | |||
+ | **Примеры наиболее распространенных атак на веб-сайты**: | ||
+ | * Подмена главной страницы сайта (Content Spoofing) — одна из самых частых форм взлома. Заместо привычного содержимого на обложке сайта будет красоваться все что угодно — от имени злостного хакера до банальных оскорблений. | ||
+ | * Удаление файловой системы — вся информация попросту пропадает, | ||
+ | * Подмена информации — злоумышленники могут подменить телефон или другие данные организации. В этом случае ваши клиенты автоматически становятся клиентами злоумышленников. | ||
+ | * Размещение троянских программ — в этом случае скорее всего вы не заметите визит хакера, | ||
+ | * Рассылка спама — ваш сайт могут использовать для рассылки спама, в этом случае ваша «настоящая» корреспонденция не будет доходить до адресата, | ||
+ | * Создание высокой нагрузки — отправление в адрес веб-сервера заведомо некорректных запросов или иные действия извне, результатом которых будет затруднение доступа к сайту или падение операционной системы сервера. Такой вид атаки очень широко распространен в интернете. | ||
+ | ====== Ссылки ====== | ||
+ | * [[waf]] | ||
+ | * [[http:// | ||
+ | * [[https:// | ||
+ | * [[http:// | ||
+ | * [[http:// |
📌 Удобный подбор VPS по параметрам доступен на DIEGfinder.com - официальном инструменте проекта DIEG. Это часть единой экосистемы, созданной для того, чтобы помочь быстро найти подходящий VPS/VDS сервер для любых задач хостинга.
📌 Для тестирования скриптов, установщиков VPN и Python-ботов рекомендуем использовать надежные VPS на короткий срок. Подробнее о быстрой аренде VPS для экспериментов - читайте здесь.
💥 Подпишись в Телеграм 💥 и задай вопрос по сайтам и хостингам бесплатно!7 Самых Популярных Статей
- Как запустить скрипты и веб-приложения на Python
- Что такое страны TIER 1,2,3
- 7 способов сравнения файлов по содержимому в Windows или Linux
- Установка и тестирование веб-панели HestiaCP
- Nginx простые примеры конфигурации
- top, htop, atop определение загрузки ОС (Load average, LA)
- Использование rsync в примерах
7 Самых Популярных Обзоров
- Хостинг для Python-скриптов и приложений
- ТОП 4 лучших антидетект браузеров (Бесплатные & Платные)
- Подборка купонов (промокоды) на хостинг, антидетект браузеры
- Обзор THE.Hosting (PQ Hosting): надежный хостинг с профессиональной поддержкой
- Хостинг в России
- Хостинг в Европе
- Обзор браузера Dolphin {anty} для мультиаккаунтинга