К основным проблемам исследователи DSecRG отнесли:
- Межсайтовые запросы (CSRF)
- Межсайтовый скриптинг (XSS)
- SQL-Injection
- Переполнение буфера
- Ошибки авторизации
- Архитектурные проблемы
В общем-то этот список перекликается со списком OWASP Top 10 (можно посмотреть тут), поэтому я все же склонен считать что ситуация с нашими системами ДБО соответствует общемировым тенденциям в безопасности веб-приложений. Но это не значит, что я считаю, что это нормально. Банковские системы безусловно должны показывать более высокие уровни защиты, т.к. для любого банка (на мой взгляд) безопасность и надежность должны быть основными приоритетами при работе с клиентами.
Немного критики авторам отчета. Я не очень понял на какую аудиторию он рассчитан. Если на бизнес-аудиторию, т.е. на представителей руководства банков, то он изобилует большим количеством технических терминов и будет для них полностью непонятен. В такой ситуации надо было бы писать проще, приводить живые примеры возможных атак и пр. Если этот отчет рассчитан на аудиторию специалистов по информационной безопасности или разработчиков, то тогда в нем слишком мало информации. Хотелось бы, чтобы результаты исследований были расписаны более подробно. С примерами уязвимых кодов приложений, эксплоитов и т.п. Предлагаю авторам подготовить детальную статью и опубликовать ее в каком-нибудь отечественном журнале по информационной безопасности, или в том же (IN)SECURE.
Facebook
==> Связаться со мной <==
