Опрос
Вы участвуете в программе Windows Insider?
Популярные новости
Обсуждаемые новости

20.10.2008 11:05 | Zloy Kak Pё$

Приветствую, меня зовут Русс МакРии (Russ McRee) и я являюсь сотрудником команды Online Services Security & Compliance Incident Management. Моя команда обслуживает обработчики случаев разных типов атак, с которыми сталкиваются наши сервисы. Первые строчки в этом списке занимают атаки с использованием межсайтового скриптинга.

Бытует мнение, что XSS-атаки менее эффективны, чем остальные типы атак, поэтому реализуются они чаще теорически, нежели практически. И я считаю, что данное предубеждение только увеличивает степень риска, которым подвергаются интернет пользователи. Я хотел бы поделиться с вами кое-какой информацией, показывающей, почему я считаю внедрение XSS-фильтра в Internet Explorer настолько существенным.

Web Application Security Consortium (WASC) недавно опубликовл результаты исследования Web Application Security Statistics Project 2007. Данные, представленные в данном отчете, являются дополнением к статистике, которую я приводил в статье The Anatomy of an XSS Attack в журнале ISSA Journal от июня 2008 года.

Некоторые выдержки из исследования WASC:

  • Из самых распространенных уязвимостей, куда входят SQL-инъекции, утечки информации и межсайтовый скриптинг, XSS-атаки являются наиболее часто используемыми - 41%.
  • На 10 297 сайтов, проверенных в рамках исследования WASC, было обнаружено 28 796 XSS-уязвимостей, которые присутствовали на 31% изученных сайтов.



Дополнительная статистика:

  • Согласно отчету Internet Security Threat Report от Symantec, за последние 6 месяцев 2007 года было документировано 11 253 уязвимостей межсайтового скриптинга, тогда как в период между февралем и июнем того же года это число составило всего 6 691 уязвимостей - рост числа уязвимостей между полугодиями составил 62%.
  • Согласно WhiteHat Security Statistics Report, 90% сайтов имеют хотя бы одну уязвимость, а 70% уязвимы для XSS-атак.



Статистика всегда может быть использована для того, чтобы доказать свою точку зрения, но сами понимаете, что более важны действия, которые принимаются для решения проблемы. Так как количество XSS-уязвимостей растет в геометрической прогрессии, то XSS-фильтр в IE8, призванный защитить пользователей от этого типа атак, является отличным решением.

Дэвид Росс (David Ross), инженер по безопасности программного обеспечения в команде SWI, разработал инструмент, который обнаруживает вероятные XSS-атаки в межсайтовых запросах, идентифицирует и нейтрализует атаку, если она совершается в ответ на запрос сервера. Пользователю не задаются вопросы, на которые он не может ответить - IE просто блокирует вредоносный скрипт от исполнения.

Проще говоря, XSS-фильтр в IE8 призван обеспечить глубокую защиту путем автоматического обнаружения и предотвращения наиболее распространенных XSS-атак, с которыми пользователи сталкиваются на просторах Интернета, без потери производительности или совместимости.

Если обращаться к статистике, которая приведена выше, то это 70% возможных угроз, с которыми могут столкнуться пользователи IE8, и предотвращены XSS Filter. Я действительно возбужден той работой, которую делают команды Internet Explorer и SWI, чтобы предоставить новый уровень безопасности для пользователей.

Русс МакРии (Russ McRee),
разработчик группы Online Services Security & Compliance Incident Management в команде Internet Explorer


Источник: http://blogs.msdn.com/ie
Перевод: Zloy Kak Pё$

Комментарии

Не в сети

Если бы еще этот при попытке XSS атаки сообщал админу уязвимого сайта об уязвимости, цены бы ему не было )

20.10.08 14:44
0
Для возможности комментировать войдите в 1 клик через

По теме

Акции MSFT
420.55 0.00
Акции торгуются с 17:30 до 00:00 по Москве
Все права принадлежат © ms insider @thevista.ru, 2022
Сайт является источником уникальной информации о семействе операционных систем Windows и других продуктах Microsoft. Перепечатка материалов возможна только с разрешения редакции.
Работает на WMS 2.34 (Страница создана за 0.028 секунд (Общее время SQL: 0.015 секунд - SQL запросов: 55 - Среднее время SQL: 0.00027 секунд))
Top.Mail.Ru