`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Что для вас является метрикой простоя серверной инфраструктуры?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Миллионы смартфонов и планшетов уязвимы для взлома web API

+11
голос

Миллионы смартфонов и планшетов уязвимы для взлома web API

Доктор Гуофэй Гу (Guofei Gu) с кафедры компьютерной науки и техники Техасского университета A&M, являющийся также заведующим лабораторией SUCCESS, вместе со своими сотрудниками проанализировал 10 тысяч мобильных приложений и обнаружил, что многие из них открыты для взлома web API. Такая уязвимость ставит под угрозу приватность и безопасность десятков миллионов пользователей планшетов и смартфонов во всем мире.

Проблема вызвана несоответствиями в логике прикладного и серверного ПО, часто возникающими при использовании web API в мобильных приложениях.

Команда Гу разработала фреймворк WARDroid для автоматического выявления подобных несоответствий с помощью статического анализа и проверки, какие типы HTTP-запросов принимаются сервером. Обладая этой информацией, хакер может выполнять собственные действия, изменяя несколько параметров.

В качестве примера, доктор Гу рассказал, как можно использовать такую уязвимость, для бесплатной покупки товаров онлайн. Для этого в корзине покупателя цены товаров делают отрицательными (подбором ряда параметров HTTP). Торговое приложение не должно допускать такой возможности, но, к сожалению, сервер может принимать такой запрос.

Исследовательская статья техасских учёных была опубликована в Трудах симпозиума IEEE по безопасности и приватности (S&P’18).

+11
голос

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT