|
|
|
| Корпорация Symantec опубликовала данные ежегодного отчета об угрозах интернет-безопасности. |
|
|
|
| Банки всё чаще отказывают клиентам в возмещении убытков, если у них украли карту или взломали их счёт. |
|
|
|
| «Я недавно пошутил, мол, это всё равно что положить кучу денег в картонную коробку, а потом поставить вокруг неё толпу охраны. Это же не меняет того факта, что деньги в коробке, а не в сейфе!» |
 |
Где расположена ваша информационная инфраструктура?
|
 |
|
|
Главная  Путь к Соответствию PCI DSS |
Программный код приложений должен быть исследован на наличие потенциальных уязвимостей, предоставляющих возможность реализации инъекций, в особенности, SQL-инъекций. Также следует учесть LDAP и Xpath инъекции.
Проверяйте правильность входящих данных для подтверждения того, что данные пользователя не могут модифицировать значения команд и запросов. Инъекции, в частности SQL-инъекции, очень распространены в веб-приложениях. Инъекция происходит, когда данные, предоставленные пользователем, посылаются в преобразователь как часть команды или запроса. Данные взломщика обманывают преобразователь, вследствие чего он неумышленно выполняет команды или изменяет данные, тем самым позволяя взломщику атаковать компоненты внутри сети через приложение, инициировать атаки, например, путем переполнения буфера, или обнаруживать конфиденциальную информацию вместе с функционалом серверного приложения. SQL-инъекции также широко используются для произведения мошеннических операций на сайтах оплаты. Необходимо контролировать достоверность информационных запросов из интернета до того, как они будут переданы приложению - например, путем проверки всех символов альфа, смесь альфа и цифровых символов и т.д.
|
|
|
|
15 мая 2012
Алина Оприско
