`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Внешние субдомены могут создавать угрозу безопасности веб-сайтов

0 
 

Внешние субдомены могут создавать угрозу безопасности веб-сайтов

У крупных веб-сайтов иногда есть субдомен, который указывает на другой веб-сайт, физически размещённый на совершенно других серверах. Но если однажды эта ссылка (например, на внешний блог) станет недействительной, она будет указывать на более несуществующую страницу. Подобные «висячие записи» являются слабым звеном веб-сайта и идеальными точками для атаки.

«Если такие висячие записи своевременно не удалить, злоумышленники могут создать там свою страницу», — говорит Мауро Темпеста (Mauro Tempesta) из Технического университета Вены (TU Wien).

Веб-сайты могут рассматривать свои субдомены как «безопасные», даже если они фактически контролируются извне. Например, файлы cookie, размещаемые пользователями на основном веб-сайте, могут быть перезаписаны и потенциально доступны из любых субдоменов: в худшем случае злоумышленник может выдать себя за другого пользователя и выполнять незаконные действия от его имени.

Группа из отдела исследований безопасности и конфиденциальности TU Wien в сотрудничестве с итальянским университетом Ca ’Foscari проанализировала, насколько широко распространена данная проблема. Были изучены 50 000 самых посещаемых веб-сайтов в мире (включая cnn.com или harvard.edu). У 887 из этих сайтов было обнаружено 1520 уязвимых субдоменов.

Исследователи связались со всеми людьми, ответственными за уязвимые сайты. Тем не менее, спустя 6 месяцев проблема была исправлена только у 15% этих субдоменов.

«В принципе, исправить эти уязвимости нетрудно. Мы надеемся, что нашей работой мы сможем повысить осведомленность об этой угрозе безопасности», — заявил Марко Скварцина (Marco Squarcina) из Института логики и вычислений TU Wien.

Его команда была приглашена на 30-й симпозиум по безопасности USENIX, одну из самых престижных научных конференций в области кибербезопасности. Результаты работы также опубликованы онлайн.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

0 
 

Напечатать Отправить другу

Читайте также

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT