Консалтинговая фирма @stake (www.atstake.com) изучила 45 популярных приложений э-бизнеса, с помощью которых в 2001 г. совершено сделок на общую сумму 3,5 млрд. долл., и выявила в этих приложениях около 500 недоработок. Одна из наиболее типичных - реализация системы авторизации и контроля за доступом в виде надстройки над системой, а не на уровне ядра. Во многих продуктах пароли передаются по сети незашифрованными, а 27% систем легко взламываются с помощью технологий грубого перебора вариантов. Треть проблем пришлась на некорректное завершение пользовательских сессий, когда удавалось перехватывать идентификатор подключенного пользователя и с его помощью общаться с системой. В 71% случаев уязвимости были связаны с непродуманной структурой сценариев. Когда анализ и предварительная обработка введенных в форму браузера данных выполняются на стороне клиента, хакер может модифицировать соответствующие сценарии, вывести из строя сервер системы или получить несанкционированный доступ к ней. Эксперты @stake рекомендуют продумывать технологии аутентификации на этапе проектирования продукта, шифровать все пользовательские сессии и обрабатывать получаемые от пользователя данные только на стороне сервера.
Версия для печати
