Vijesti za svakoga

Hakeri uvijek traže logičke propuste, posebno na webu, kako bi iskoristili slabosti u primjerice online kupovini ili drugim procesima. Stranica Networkworld donosi deset logičkih propusta web aplikacija, a kao prvi navodi autentifikacijske zastavice i dobivanje većih privilegija. Iskorištavanje propusta uključuje identifikaciju imena parametara koji su u vezi s dozvolama i korištenje takozvanih fuzzing alata. Drugi je manipulacija zahtjevima HTTP GET i POST kako bi se pristupilo nezaštićenim XML datotekama. Treći je zlonamjerno rukovanje kolačićima, a četvrti identifikacija LDAP parametara te pomoću toga pristup kritičnim poslovnim infrastrukturama. Peti propust je zaobilaženje ograničenja i pregled skrivenih parametara. Web aplikacije sadrže brojna preusmjeravanja ovisno o odabiru korisnika. Preusmjeravanja kao šesti najgori propust mogu se iskoristiti za pristup osjetljivim informacijama. Sedmi propust sadržan je u korištenju potprograma na klijentskoj strani kod korištenja Javascripta, Flasha i Silverlighta koji mogu također dovesti do curenja osjetljivih podataka. Osmi propust s istim posljedicama javlja se zbog nepravilnosti u zadržavanju korisničkog identiteta tijekom rada web aplikacije. Deveti propust javlja se zbog mogućnosti spremanja ključnih podataka na računalo u obliku PDF, XLS ili CSV datoteka, ukoliko ta mogućnost nije dobro implementirana. Posljednji propust je izvođenje DoS napada putem primjerice tzv. TCP preplavljivanja koji onemogućuje rad aplikacije. Više informacija moguće je pročitati na web stranicama portala Networkworld.