(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

Статистическое подтверждение XSS-фильтра IE8

Источник: thevista

Приветствую, меня зовут Русс МакРии (Russ McRee) и я являюсь сотрудником команды Online Services Security & Compliance Incident Management. Моя команда обслуживает обработчики случаев разных типов атак, с которыми сталкиваются наши сервисы. Первые строчки в этом списке занимают атаки с использованием межсайтового скриптинга.

Бытует мнение, что XSS-атаки менее эффективны, чем остальные типы атак, поэтому реализуются они чаще теорически, нежели практически. И я считаю, что данное предубеждение только увеличивает степень риска, которым подвергаются интернет пользователи. Я хотел бы поделиться с вами кое-какой информацией, показывающей, почему я считаю внедрение XSS-фильтра в Internet Explorer настолько существенным.

Web Application Security Consortium (WASC) недавно опубликовл результаты исследования Web Application Security Statistics Project 2007. Данные, представленные в данном отчете, являются дополнением к статистике, которую я приводил в статье The Anatomy of an XSS Attack в журнале ISSA Journal от июня 2008 года.

Некоторые выдержки из исследования WASC:

  • Из самых распространенных уязвимостей, куда входят SQL-инъекции, утечки информации и межсайтовый скриптинг, XSS-атаки являются наиболее часто используемыми - 41%.
  • На 10 297 сайтов, проверенных в рамках исследования WASC, было обнаружено 28 796 XSS-уязвимостей, которые присутствовали на 31% изученных сайтов.

Дополнительная статистика:

  • Согласно отчету Internet Security Threat Report от Symantec, за последние 6 месяцев 2007 года было документировано 11 253 уязвимостей межсайтового скриптинга, тогда как в период между февралем и июнем того же года это число составило всего 6 691 уязвимостей - рост числа уязвимостей между полугодиями составил 62%.
  • Согласно WhiteHat Security Statistics Report, 90% сайтов имеют хотя бы одну уязвимость, а 70% уязвимы для XSS-атак.

Статистика всегда может быть использована для того, чтобы доказать свою точку зрения, но сами понимаете, что более важны действия, которые принимаются для решения проблемы. Так как количество XSS-уязвимостей растет в геометрической прогрессии, то XSS-фильтр в IE8, призванный защитить пользователей от этого типа атак, является отличным решением.

Дэвид Росс (David Ross), инженер по безопасности программного обеспечения в команде SWI, разработал инструмент, который обнаруживает вероятные XSS-атаки в межсайтовых запросах, идентифицирует и нейтрализует атаку, если она совершается в ответ на запрос сервера. Пользователю не задаются вопросы, на которые он не может ответить - IE просто блокирует вредоносный скрипт от исполнения.

Проще говоря, XSS-фильтр в IE8 призван обеспечить глубокую защиту путем автоматического обнаружения и предотвращения наиболее распространенных XSS-атак, с которыми пользователи сталкиваются на просторах Интернета, без потери производительности или совместимости.

Если обращаться к статистике, которая приведена выше, то это 70% возможных угроз, с которыми могут столкнуться пользователи IE8, и предотвращены XSS Filter. Я действительно возбужден той работой, которую делают команды Internet Explorer и SWI, чтобы предоставить новый уровень безопасности для пользователей.

Русс МакРии (Russ McRee),
разработчик группы Online Services Security & Compliance Incident Management в команде Internet Explorer

Ссылки по теме


 Распечатать »
 Правила публикации »
  Обсудить материал в конференции Microsoft »
Обсудить материал в конференции Дизайн, графика, обработка изображений »
Написать редактору 
 Рекомендовать » Дата публикации: 03.12.2009 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
Microsoft Office 365 для Дома 32-bit/x64. 5 ПК/Mac + 5 Планшетов + 5 Телефонов. Подписка на 1 год.
Microsoft Office 365 Персональный 32-bit/x64. 1 ПК/MAC + 1 Планшет + 1 Телефон. Все языки. Подписка на 1 год.
Microsoft Visual Studio Professional w/MSDN AllLng License/Software Assurance Pack OLP 1 License No Level Qualified
Microsoft Windows Home 10 Russian Academic OLP 1 License No Level Legalization GetGenuine
Microsoft SQL CAL 2017 Sngl OLP 1License NoLevel DvcCAL
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
 
Другие предложения...
 
Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Безопасность компьютерных сетей и защита информации
Новости ITShop.ru - ПО, книги, документация, курсы обучения
Программирование на Microsoft Access
CASE-технологии
Краткие описания программ и ссылки на них
Проект mic-hard - все об XP - новости, статьи, советы
 
Статьи по теме
 
Новинки каталога Download
 
Исходники
 
Документация
 
Обсуждения в форумах
3D редакторы, плюсы и минусы (2)
Одно из многих сотен бестолковых обобщений. Прости их господи, Васей Пупкиных
 
Программист более не звучит гордо (15)
Согласен. Но никак это не относится к тем, кто программирует на ассемблере. Мы - редкость....
 
Где можно найти «Пакет анализа» для Excel ? (57)
Коллеги, подскажите, где можно скачать надстройку к Excel под названием «Пакет анализа», после...
 
Как изменить шрифт Wordpad? (3)
Как изменить шрифт Wordpad по умолчанию? Там Таймс, а мне, допустим, Ариал нужен. Можно ли...
 
Уроки по JavaScript для новичков (2)
Всем привет! Вот хочу поделиться классным сайтом для начинающих изучать программирование на ...
 
 
 



    
rambler's top100 Rambler's Top100