ugrás a tartalomhoz

Webalkalmazás férgek: mítosz vagy valóság?

Bártházi András · 2004. Már. 31. (Sze), 16.21
Vajon lehetséges automatizált (és sikeres) támadások kivitelezése egy ismeretlen forrású oldal ellen? Milyen módszereik lehetnek a betörőknek? Készül a következő generációs féreg, mely az alkalmazási réteget és nem az infrastruktúrát támadja? Bizony, nem árt odafigyelnünk a biztonságra alkalmazásaink fejlesztésénél, ennek egy másik oldalát, a használható technológiákat (és ezzel a védekezési pontokat) mutatja be az Imperva weblapján megjelent írás.

Naponta hallunk róla, hogy a biztonsági résekkel teli operációs rendszereket férgek támadnak, a "Web Application Worms: Myth or Reality?" című tanulmány viszont az OSI modell legtetején álló alkalmazásréteg támadhatóságát járja körül. Mivel 100%-os biztonság nem létezik, nem árt, ha ismerjük ezeket a lehetőségeket.

Általában a férgek konkrét, ismert biztonsági réseket szoktak támadni, melyekre még a gépek tulajdonosai nem tették fel a biztonsági frissítéseket. A web alkalmazásoknál azonban olyan általánosan tesztelhető, kihasználható, támadható biztonsági rések elképzelhetőek, melyek egy részének felfedése automatizálható. A letölthető PDF dokumentum az automatizált web férget anatómiáját, a biztonsági rések keresési módszereit, a támadás eredményességének felismerését járja körül.