Вернуться на все новости от 23 сентября 2009 г.
Разработчики Web-приложений часто не уделяют должного внимания их безопасности. Вице-президент HP, директор по технологиям HP Worldwide Калеб Сима, выступая на форуме Программные миры HP-2009, показал, насколько уязвимы бывают Web-сайты к взлому. Он привел примеры ошибок в сайте самой HP, а также в сайте отеля, в котором проводилось мероприятие. С помощью так называемой SQL-инъекции злоумышленник может, передавая команды через стандартные интерфейсы, выгрузить все содержимое базы данных. Разработчики многих приложений на Flash не трудятся шифровать пароли, и декомпилировав код входной страницы сайта, можно легко найти способ проникнуть внутрь. Принцип SQL-инъекции известен уже не один год.
Программное средство HP AMP упрощает поиск уязвимостей в Web-приложениях, однако сделать его полностью автоматическим невозможно, так что лучше проектировать безопасные приложения с самого начала. Сима рекомендует разработчикам никогда не пренебрегать проверкой корректности входных данных. Соблюдение этого правила позволяет исключить до 80% уязвимостей.
