Webapplikasjoner inkluderer selvfølgelig nettsider, så vel som forretnings og logikk interne applikasjoner, intranett, ekstranett, portaler Det er et faktum: flere og flere bedrifter og administrasjoner har en tendens til å webize deres IT infrastructure.But det er kolleger: å være åpne bringer farer og trusler som ofte er undervurdert Web protokoller er ikke secureMore enn 80% av all malware som dukket opp i det siste året fokus på program-nivå sårbarheter (ulike kilder, 2006).
I juni 2006, 92 SQL-injeksjon og 34 cross-site scripting (XSS) nye sårbarheter ble registrert på vår database (Secunia) Disse reelle trusler resultere i: private data tyveri, ulovlig bruk av nettstedet (for eksempel å være vert forbudt innhold eller spam releer), nettside defacement, e-handel misbruk, utilgjengelighet, Major trusler inkluderer: Cross-site scripting (XSS) - vilkårlig kode injeksjon i skript SQL-injeksjon - lesing eller endre databaser Command injeksjon - uautorisert kommandoen kjøres Parameter /skjema manipulering - sending falske argumenter til søknaden Cookie /header manipulering - HTTP felt bruke til å sende falske verdier til webserveren Buffer overflow - fylte bufferminne Directory traversering /kraftfulle surfing - tilgang utenfor programmet "Attack tåkelegging" - angrep maskert, for eksempel via URL encodingVery kjente sikkerhetsprinsipper er konfidensialitet, tilgjengelighet, integritet og revisjon.
HTTP og HTTPS-protokoller gi dårlig resultat på disse aspektene. Webprotokoller neppe godkjenne, bare delvis garantere konfidensialitet og integritet, og skadelig SSL-trafikk vil fortsatt være ulovlig når behandles av nettstedet Husk at en URL som sendes av en nettleser er en kommandolinje til webserveren din: for eksempel en URL generere en SQL kommando eller aktivere et CGI script.
At siste, webprotokoller ikke pålegge input validering, er dette den viktigste årsaken til deres usikkerhet! Koding sikre webapplikasjoner er et h