MorePC - Главная страница


О сайте

Регистрация

Обратная связь

Реклама на сайте

Публикации на сайте

Карикатуры
  Категории СВТ     Тесты и методики испытаний     Новости СВТ     Проблемы информатизации     Форум     Опросы     Словарь     Поиск  

     Средства защиты информации : Новости раздела  

Предлагаем Вашему вниманию статьи по информационной безопасности.

Опубликован русский вариант Классификации угроз безопасности Web-приложений

08.12.2005

Опубликован русский вариант Классификации угроз безопасности Web-приложений (Threats Classification) Консорциума Безопасности Web-приложений (Web Application Security Consortium).

Классификация представляет собой совместную попытку собрать воедино и организовать угрозы безопасности Web-приложений. Члены Web Application Security Consortium создали этот проект для разработки и популяризации стандартной терминологии описания подобных проблем. Наличие такого документа дает возможность разработчикам приложений, специалистам в области безопасности, производителям программных продуктов и аудиторам использовать единый язык для взаимодействия.

Распространенные уязвимости Web-приложений организованны в структурированный список, состоящий из шести классов:

  • Аутентификация (Authentication).
  • Авторизация (Authorization).
  • Атаки на клиентов (Client-side Attacks).
  • Выполнение кода (Command Execution).
  • Разглашение информации (Information Disclosure).
  • Логические атаки (Logical Attacks).

Для каждого из классов приведено подробное описание входящих в него разновидностей атак. Описания содержат примеры уязвимостей, приводящих к возможности реализации атаки, а так же ссылки на дополнительные материалы.

Предпосылкой создания документа являлось отсутствие единой терминологии описания уязвимостей в Web-приложении. Классификация угроз может использоваться для понимания и разъяснения рисков, связанных с безопасностью Web-приложений, повышения уровня разработки продуктов для предотвращения возникновения уязвимостей на этом этапе. Кроме того, Классификация может выступать в качестве руководства при оценке того, были ли учтены все угрозы при проектировании, разработке и проверке безопасности сайтов и помогать в оценке возможностей и выборе решений для защиты Web-приложений.

Русский вариант Классификации был разработан специалистами лаборатории сетевой безопасности Учебного центра "Информзащита" в рамках работ по обновлению курса «Анализ и оценка защищенности Web-приложений». Русские наименования уязвимостей согласованы с ведущими Российскими информационно-справочными системами по уязвимостям компьютерных систем SECURITY.NNOV.RU и securitylab.ru.

Текущая версия Классификации угроз доступна для загрузки на сайте консорциума: Источник: www.securitylab.ru



вверх
  Copyright by MorePC - обзоры, характеристики, рейтинги мониторов, принтеров, ноутбуков, сканеров и др. info@morepc.ru  
разработка, поддержка сайта -Global Arts