Веб-системы

Веб-системы и их уязвимости

Веб-приложения — это программы, написанные на скриптовом языке (Perl, PHP и др.) или написанные на языке высокого уровня и откомпилированные под соответствующую ОС (С, С + + и другие), работающих на стороне веб-сервера и предназначены для создания интерфейса между пользователем и сайтом.

Веб-системы — это мощные веб-приложения, состоящие из нескольких (или немалого количества) веб-программ, имеющих систему разграничения прав доступа и предназначены для предоставления персонализированного доступа к веб-ресурса большому количеству пользователей.
Виды веб-приложений и веб-систем
Веб-приложения и системы распределяются на следующие виды:
Счетоводы;
Рейтинги;
Формы отправки сообщений;
Формы регистрации;
Гостевые книги;
Форумы;
Формы загрузки (upload);
Системы голосования;
Поисковые системы (по сайту или по Интернет);
Движки сайта;
Content Managment System (CMS);
Баннерные движки и системы (локальные и глобальные);
Веб-почта.

Персонализированные веб-системы различной направленности, предоставляющих комплекс услуг свои пользователям. К основным уязвимостей вышеприведенной классификации веб-приложений и веб-систем относятся:

Полное отсутствие проверки входных данных (в веб-формах любых систем) или только частичная проверка данных;
Некорректная обработка входных данных (нулевой байт, символы уровня директорий);
Переполнение буфера;
Неосторожная работа программы с файлами, в случае если имя файла передается программе извне (GET или POST);
Не учет особенностей GET и POST запросов;
Некорректная работа с паролями (при хранении, передачи и обработки);
Неправильные права доступа;
Неправильные права программ на сервере;
Не учет особенностей работы программ загрузки файлов на сервер;
Некорректная логика работы веб-программы, которая при некоторых допустимых входных данных приводит к непредсказуемым последствиям;
Вывод информации при ошибках программы или доступа к Базе Данных, когда выводится дополнительная служебная информация, не предназначенная для посторонних глаз;
Некорректная работа по Базами Данных (пароли, вывод служебной информации, завышено количество запросов к БД);
Уязвимости недостаточной обработки входных данных при работе с БД (SQL-injections);
Неоптимизированный программный код, который приводит к значительным нагрузкам на веб-сервер (при своей обычной работе и особенно в случае сбоя при передаче некорректных входных данных);
Уязвимость веб-приложений и систем к DoS и DDoS атак.