Zabezpečení aplikací

Naše aplikace dodáváme odladěné, ošetřené a zabezpečené proti hrozbám zvenčí. Důkladně ověřujeme vstupy a testujeme aplikace proti hrozbám.

 

Cross-site scripting (XSS) je metoda narušení obsahu WWW stránek zneužitím chyb a neošetřených vstupů. Útočníkovi je tak doslova umožněno podstrčení svého vlastního javascriptového kódu do obsahu stránky, např. u diskuzního fóra, což má za následek poškození vzhledu Vaší stránky, možnému znefunkčnění, přesměrování jinam anebo dokonce k získávání citlivých údajů návštěvníků stránek.

 

Obdobou je neošetření vstupních dat do databáze. SQL Injection je napadením databázové vrstvy vsunutím také hodnoty, která, pokud je neošetřena, pozmění SQL dotaz a vykoná vlastní. Následky mohou být katastrofální pro celou databázi. Nejenže ji lze takto téměř zcela ovládnout, získat z ní citlivá data či si nechat zobrazit skryté údaje, může dojít i k úplnému vymazání všech dat.

 

Podvržení požadavku mezi různými stránkami se nazývá Cross-Site Request Forgery (CSFR). Útoky CSRF nejsou tolik známé, jako např. o XSS nebo SQL Injection. Útok může být snadno veden proti aplikacím, které pro uchování informace o přihlášení uživatele používají cookie (tedy typicky i session proměnné PHP) a útočník je zná (např. známé redakční systémy). Přiměje uživatele vstoupit na útočníkovu stránku a pak třeba i pomocí src v obrázku vyvolat akci v jinak přihlášené aplikaci, např. akci typu smaž vše (GET), aniž by o tom uživatel věděl. Nebo typem POST, pokud se odešle formulář bez vědomí uživatele (díky JS).

 

 

Bezpečnost dat především

 

 

 


© BrusTech 2016

Mapa stránek Vytiskni tuto stránku Poslat odkaz na tuto stránku   BrusTech IT » Služby » Služby k portálům » Zabezpečení aplikací sql injection, XSS cross site scripting, CSRF