מאמר מצויין בנושא פגיעות אתרי אינטרנט
בעקבות גל הכתבות שאני נתקל בו בארץ לגבי פגיעות אתרי אינטרנט , ובהמשך לתקופה בה גם אני וגם גיא מזרחי נוטים לפרסם מידי פעם פגיעות אחר פגיעות באתרי אינטרנט . חשוב לי להביא קצת מעבר .
לצורך העניין אשתמש במאמר שחובר על ידי ג'רמיה גרוסמן מחברת Whitehatsec אשר פרסם את המאמר הבא ( לחץ על הקישור ) באתר שלהם , המתאר את הטעיות הנפוצות של חברות עסקיות בנוגע לבנית אתרי האינטרנט הארגוניים שלהם והלוגירה השגויה המלווה את התהליך . הערת ביניים - Whitehatsec מתמחים בניהול סיכונם עבור אתרי אינטרנט.
למזלי , המאמר מספר מידע רב , ואין לי כלכך מה להוסיף עליו בשלב זה , המאמר בנוי על 7 הטעויות הנפוצות בגישה לפיתוח ותחזוקת אתרי אינטרנט אשר גורמים להם להיות חשופים להתקפות מצד האקרים. השפה היא שפה יומיומית ונוחה ואני מאמין שיש תועלת רבה שניתן להפיק מקריאה שלו.
המאמר מראה גם את אחת הפריצות היותר יפות שאני זוכר ( אם כי הפשוטות ) בה האקר השתמש בלוח הודעת שהופיע באתר רשת חדשות , והיה מקושר לאותו מסד נתונים אשר משמש את מערכת הטלויזיה. ההודעות עברו אישור מערכת ואז הוכנסו ללוח השידורים - אותו האקר הכניס הודעות לגיטמיות , ולאחר שאושרו , שינה אותן כרצונו. , הן כמובן הוקרנו בטלויזיה ( יש תמונות )
תהנו.
[ פוסט תוקן ב27.9.07 ]
Labels: consulting, managment, technology, vulnerability
| Link 
בדוגמה שבמאמר, לוח ההודעות לא נפרץ, אלא הלוגיקה של המערכת היתה שגויה:
הודעות שאושרו ע"י המערכת היו ניתן לשינוי, וכך אותו בחור הכניס הודעות לגיטימיות, ואחרי שאושרו, הוא שינה אותן, והן הופיעו בטלביזיה.
בכלל - המאמר מתייחס לא לטעיות קוד או פריצות, אלא לניצול לוגיקה שגויה של האתרים.
Posted by
Anonymous |
9:18 PM
I Stand Corrected.
אכן מדובר בשבירת הלוגיקה עצמה.
Posted by
barry |
10:07 PM