этом - Xakep Online
13.07.2015 Views
Share Embed Flag

этом - Xakep Online

этом - Xakep Online

этом - Xakep Online

SHOW MORE
SHOW LESS
ePAPER READ
DOWNLOAD ePAPER
  • No tags were found...
xakep.ru

Create successful ePaper yourself

Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.

START NOW

54 ÎØÈÁÊÈ ÌÎËÎÄÎÑÒÈ ÑÏÅÖ 02-07æåñòîêàÿïðàâäàÈíòåðâüþ ñ àóäèòîðîìïî áåçîïàñòíîñòèÏÎÒÅÍÖÈÀËÜÍÎ XSS-ÓßÇÂÈÌÎÑÒÈ ÌÎÃÓÒ ÁÛÒÜÍÀ 90% ÑÀÉÒÀÕ,  ÒÎÌ ×ÈÑËÅ È ÍÀ ÒÂÎÅÌÀíäðåé Êàðîëèêandrusha@real.xakep.ruÅÂÃÅÍÈÉ ÄÎÊÓÊÈÍAKA MUSTLIVE{ID} ÈÒ-èíäóñòðèè óæå áîëåå 13 ëåò —ñ òîãî ìîìåíòà, êàê ïàïà ïîäàðèëïåðâûé êîìïüþòåð — Ïîèñê-2.Âåá-ïðîãðàììèðîâàíèåì çàíèìàåòñÿñ 2001 ãîäà. Ïóáëè÷íóþ äåÿòåëüíîñòüâ ñôåðå âåá-áåçîïàñíîñòè íà÷àëñî ñâîåãî Mustlive security pack(http://websecurity.com.ua/security-pack/).Ïîçæå áûë îíëàéíîâûéèíòåðïðåòàòîð Mustlive perl pascalprograms interpreter (http://mlfun.org.-ua/ppi/). Èçâåñòåí ìíîãèì ïî ïðîåêòówebsecurity (http://websecurity.com.ua),êîòîðûé ïîñâÿùåí èñêëþ÷èòåëüíîâåá-áåçîïàñíîñòè. Àêòèâíîçàíèìàåòñÿ ñîöèàëüíûì ñåêüþðèòèàóäèòîì— áåçâîçìåçäíûì ïîèñêîìäûð è îïîâåùåíèåìàäìèíîâ ðàçëè÷íûõ âåá-ñàéòîâî íàéäåííûõ óÿçâèìîñòÿõQ: Àóäèò áåçîïàñòíîñòè —ýòî äîðîãîå óäîâîëüñòâèå?A: Äîðîãîâèçíà óñëóã ïî àóäèòó áåçîïàñíîñòè— ýòî ìèô. Íî ýòî ñ îäíîéñòîðîíû, à ñ äðóãîé — ïîòåíöèàëüíûåçàêàç÷èêè, â îñíîâíîì, ïîôèãèñòû,â òîì ÷èñëå è ðåáÿòà, ðàáîòàþùèåâ êîìïàíèÿõ-ãèãàíòàõ. Ëþáÿò,÷òîáû èì äûðû íàõîäèëè íà õàëÿâó,ðåàãèðóþò, êîãäà èõ èëè èõ êëèåíòîâïîõàêàþò, è àóäèòû áåçîïàñíîñòèîñîáî çàêàçûâàòü íå ëþáÿò. Òàê ÷òîñàìà îòðàñëü òîëüêî â íà÷àëå ñâîåãîïóòè (ÿ èìåþ â âèäó ðó÷íîé àóäèò, òàêêàê ñêàíåðû óæå çàíÿëè ñâîþ íèøó).Êòî-òî íà÷èíàåò ïîëüçîâàòüñÿ ñêàíåðàìèáåçîïàñíîñòè (åñëè îí î íèõ,êîíå÷íî, ñëûøàë), êîòîðûå ïî-íàñòîÿùåìóäîðîãè è ïîðîé ìàëîýôôåêòèâíû,÷òî ïîäòâåðæäàþò ñîîáùåíèÿî äûðàõ íà ñàéòàõ ñåêüþðèòèêîìïàíèé,â òîì ÷èñëå ïðîèçâîäèòåëåéýòèõ ñàìûõ ñêàíåðîâ. Äà è â öåëîìàóäèò áåçîïàñíîñòè, çàêàçàííûéó ñïåöèàëèñòà, áóäåò ýôôåêòèâíååè îáîéäåòñÿ çíà÷èòåëüíî äåøåâëå.Öåíà çàâèñèò îò ñàéòà, åãî ðàçìåðîâè êîëè÷åñòâà ñåðâèñîâ íà íåì(à òàêæå êîëè÷åñòâà òèïîâ óÿçâèìîñòåéäëÿ òåñòèðîâàíèÿ). ×åì áîëüøåñàéò, òåì áîëüøå ñðîêè òåñòèðîâàíèÿè èòîãîâàÿ öåíà. Íî âñåãäà ìîæíî äîãîâîðèòüñÿè íàéòè ïðèåìëåìóþ öåíóïðîâåðêè êîíêðåòíîãî ðåñóðñà. Äëÿíåáîëüøèõ ðåñóðñîâ åå ñòîèìîñòüìîæåò áûòü â ðàéîíå íåñêîëüêèõ ñîòåíäîëëàðîâ. Äðóãèìè ñëîâàìè, öåíàäîãîâîðíàÿ. Ïðè÷åì àóäèò ìîæåòáûòü ðàçîâûì, à ïîâòîðíî îáðàùàòüñÿê íåìó ìîæíî ÷åðåç íåêîòîðîå âðåìÿóæå ïî ìåðå íåîáõîäèìîñòè.Åñëè ãîâîðèòü î ñåðüåçíûõ ïðîåêòàõ,òî íà áåçîïàñíîñòü íóæíî âûäåëÿòüäî 10% îò ñòîèìîñòè (îöåíî÷íîé)áèçíåñà. Íî ó÷èòûâàÿ íàø ìåíòàëèòåò,ëþáîâü ê õàëÿâå è ñòîéêîå æåëàíèåíå ïëàòèòü çà ñâîþ áåçîïàñíîñòü,÷àñòî âûäåëÿåìûé áþäæåò íà áåçîïàñíîñòüñòðåìèòñÿ, óâû, ê íóëþ…Q: Åñëè áû òû ñîñòàâëÿë ðåéòèíãóãðîç èçâíå, òî êàêîå ìåñòîçàíÿëè áû SQL Injection è XSSâ ýòîì «õèò-ïàðàäå»?A: Äàííûå óÿçâèìîñòè áûëè áû îäíèìèèç ïåðâûõ. Ëîãè÷íåå ðàçäåëèòü èõ«òîï» íà äâà: íàèáîëåå îïàñíàÿ è íàèáîëååðàñïðîñòðàíåííàÿ óÿçâèìîñòü. ðåéòèíãå íàèáîëåå îïàñíûõíà ïåðâîå ìåñòî ÿ ïîñòàâèë áû PHPèíêëþäèíãè óäàëåííîå èñïîëíåíèåêîäà (÷åðåç òîò æå PHP file inclusion).Äàëåå èäåò XSS, â ðàçëè÷íûõ åãîïðîÿâëåíèÿõ. Äàëåå SQL Injection. Àïîñëå — äðóãèå óÿçâèìîñòè, òàêèå êàê

logo

products

Resources

Company

Terms of service
Privacy policy
Cookie policy
Cookie settings
Imprint
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!