Недостаточная авторизация

💸 Как сделать бизнес проще, а карман толще?

Тот, кто работает в сфере услуг, знает — без ведения записи клиентов никуда. Мало того, что нужно видеть свое раписание, но и напоминать клиентам о визитах тоже. Проблема в том, что средняя цена по рынку за такой сервис — 800 руб/мес или почти 15 000 руб за год. И это минимальный функционал. Нашли самый бюджетный и оптимальный вариант: сервис VisitTime.
⚡️ Для новых пользователей первый месяц бесплатно. А далее 290 руб/мес, это в 3 раза дешевле аналогов. За эту цену доступен весь функционал: напоминание о визитах, чаевые, предоплаты, общение с клиентами, переносы записей и так далее.
✅ Уйма гибких настроек, которые помогут вам зарабатывать больше и забыть про чувство «что-то мне нужно было сделать».
Сомневаетесь? нажмите на текст, запустите чат-бота и убедитесь во всем сами!

Сюда можно отнести атаки, направленные на легкость перебора реквизитов доступа или использование каких-либо ошибок при проверке доступа к системе. Кроме техник Подбора (BruteForce) сюда входит Угадывания доступа (CredentialandSessionPrediction) и Фиксация сессии (SessionFixation).

Защита от атак этой группы предполагает комплекс требований к надежной системе авторизации пользователей.

Сюда входят все техники изменить содержимое веб-сайта без какого-либо взаимодействия с сервером, обслуживающим запросы — т.е. угроза реализуется за счет браузера пользователя (но при этом обычно сам браузер не является «слабым звеном»: проблемы заключаются в фильтрации контента на стороне сервера) или промежуточного кэш-сервера. Виды атак: Подмена содержимого (ContentSpoofing), Межсайтовые запросы (XSS, Cross-SiteScripting), Злоупотребление перенаправлениями (URL RedirectorAbuse), Подделка межсайтовых запросов (Cross-SiteRequestForgery), Расщепление HTTP-ответа (HTTP ResponseSplitting, Контрабанда HTTP-ответа (HTTP ResponseSmuggling), а также Обход маршрутизации (RoutingDetour), Расщепление HTTP-запроса (HTTP RequestSplitting) и Контрабанда HTTP-запроса (HTTP RequestSmuggling).

Значительная часть указанных угроз может быть блокирована еще на уровне настройки серверного окружения, но веб-приложения должны также тщательно фильтровать как поступающие данные, так и ответы пользователя.

Атаки на выполнение кода являются классическими примерами взлома сайта через уязвимости. Злоумышленник может выполнить свой код и получить доступ к хостингу, где расположен сайт, отправив определенным образом подготовленный запрос на сервер. Атаки: Переполнение буфера (BufferOverflow), Форматирование строки (FormatString), Целочисленное переполнение (IntegerOverflows), LDAP внедрение (LDAP Injection), Mail внедрение (MailCommandInjection), Нулевой байт (NullByteInjection), Выполнение команд ОС (OS Commanding), Исполнение внешнего файла (RFI, RemoteFileInclusion), Внедрение SSI (SSI Injection), Внедрение SQL (SQL Injection), Внедрение XPath (XPathInjection), Внедрение XML (XML Injection), Внедрение XQuery (XQueryInjection) и Внедрение XXE (XML ExternalEntities).

Не все из указанных типов атак могут касаться вашего сайта, но корректно они блокируются только на уровне WAF (WebApplicationFirewall) или фильтрации данных в самом веб-приложении.