|
ponedeljek, januar 22, 2007 12:01
Kar nekaj časa je minilo (leto 2004) od prve objave OWASP ( Open Web Application Security Project ) Top 10 varnostnih slabosti. Prihaja nova različica za leto 2007. Kratek povzetek:
A1. Cross-site scripting
A2. Injections
A3. Insecure Remote File Include
A4. Insecure direct object reference
A5. Cross-site request forgeries
A6. Information leakage and improper error handling
A7. Malformed input
A8. Broken authorization
A9. Insecure cryptography and communication
A10. Privilege escalation
Po novem pisci obljubljajo novo različico na začetku vsakega leta. Vsekakor je vredna ogleda tudi OWASP domača stran. Veliko uporabnih dokumentov in orodij za vse tiste, ki pišete spletne aplikacije.
Kategorije: Varnostne slabosti, Uporabne strani
|
|
2 Responses to “OWASP Top 10 varnostnih slabosti web aplikacij”
Prepričan sem bil, da se lahko (večini) client-side ranljivostim izogneš z disejblanjem JavaScripta/Active Scriptinga/Jave/Piškotkov ter različnih vtičnikov (plug-ins). How wrong I was:
hxxp://users.volja.net/database/crash.html
Preden se odpravite na gornji link preberite naslednje:
http://users.volja.net/database/README.TXT
Aren’t Cross Site Scripting vulnerabilities lame? All they can do is display annoying popups that say ‘xss’ in them. Oh, and hijack your HTTP sessions… and detect every website you have visited… and port scan and fingerprint your internal network… and reconfigure your routers… and brute force usernames and passwords… and capture all the words you search Google for. And I almost forgot, they can self propagate too. Wait, maybe XSS isn’t so lame after all.
One word to rule them all ….. Jikto!
Care to comment?