.jpg)
Academia Română a fost creată în 1866 pentru a cristaliza cele mai înalte valori intelectuale din provinciile românești într-o societate erudită menită să consolideze identitatea națională pe baza a patru componente esențiale: limbă și literatură, istorie, etnografie și cultură. La...
Technology >> Securitate >> Stiri si comunicate
Audit de securitate pentru aplicaţii web şi site-uri, prin GECAD NET
23 Iunie 2008
GECAD NET anunţă lansarea unui nou serviciu de auditare a aplicaţiilor web şi site-urilor de companie, menit să identifice breşe de securitate în acestea şi să ofere recomandări pentru remedierea vulnerabilităţilor.
„Serviciul se adresează agenţiilor de dezvoltare web care au ca obiectiv să furnizeze clienţilor aplicaţii certificate din perspectiva securităţii IT, magazinelor online dar şi altor companii care doresc să verifice dacă website-urile sau aplicaţiile web proprii sunt vulnerabile la atacuri informatice. Toate companiile care lucrează cu date confidenţiale şi au prezenţă online ar trebui să treacă printr-un astfel de audit”, explică Alexandru Molodoi, CTO la GECAD NET.
Durata unui audit este variabilă, ca şi costul acestuia, cele două elemente fiind determinate de complexitatea site-ului sau a aplicaţiilor web analizate, dar şi de numărul de servere care le găzduiesc şi numărul de puncte de acces în aplicaţie sau site. „Spre exemplu, un site poate avea o zonă de acces pentru administrare, alta pentru clienţi şi alta pentru partenerii de afaceri. Fiecare astfel de zonă trebuie analizată separat”, adaugă Alexandru Molodoi.
Serviciul furnizat de GECAD NET porneşte de la analizarea situaţiei existente la client, include scanarea aplicaţiilor web cu tehnologii IBM de ultima oră, analizarea datelor colectate de către echipa de specialişti în securitate IT a companiei şi elaborarea, în finalul proiectului, a unui raport de audit. Raportul este structurat în funcţie de audienţă - management, responsabili cu securitatea IT, dezvoltatorii aplicaţiei - şi poate ajunge la câteva sute de pagini. Raportul conţine categoriile de vulnerabilităţi descoperite, ameninţările la care website-ul sau aplicaţia web auditate sunt expuse şi recomandări pentru remedierea vulnerabilităţilor.
Cele mai frecvente ameninţări la care sunt expuse site-urile web sunt XSS (cross-site scripting) şi injecţii de query-uri SQL. Prin XSS atacatorii introduc cod maliţios în site-ul vulnerabil iar executarea acestuia la vizitatori, în procesul de navigare pe pagini, facilitează furtul de date de confidenţiale, în acelaşi timp punând în discuţie credibilitatea site-ului vulnerabil şi periclitând imaginea acestuia. Prin injecţii cu cod SQL se pot obţine informatii din bazele de date ale aplicaţiei sau website-ului vulnerabil sau chiar se pot modifica sau şterge cu totul datele sau obţine controlul asupra aplicaţiei, de exemplu prin crearea unui utilizator şi acordarea de drepturi de administrare pe aplicaţia vulnerabilă.
„Serviciul se adresează agenţiilor de dezvoltare web care au ca obiectiv să furnizeze clienţilor aplicaţii certificate din perspectiva securităţii IT, magazinelor online dar şi altor companii care doresc să verifice dacă website-urile sau aplicaţiile web proprii sunt vulnerabile la atacuri informatice. Toate companiile care lucrează cu date confidenţiale şi au prezenţă online ar trebui să treacă printr-un astfel de audit”, explică Alexandru Molodoi, CTO la GECAD NET.
Durata unui audit este variabilă, ca şi costul acestuia, cele două elemente fiind determinate de complexitatea site-ului sau a aplicaţiilor web analizate, dar şi de numărul de servere care le găzduiesc şi numărul de puncte de acces în aplicaţie sau site. „Spre exemplu, un site poate avea o zonă de acces pentru administrare, alta pentru clienţi şi alta pentru partenerii de afaceri. Fiecare astfel de zonă trebuie analizată separat”, adaugă Alexandru Molodoi.
Serviciul furnizat de GECAD NET porneşte de la analizarea situaţiei existente la client, include scanarea aplicaţiilor web cu tehnologii IBM de ultima oră, analizarea datelor colectate de către echipa de specialişti în securitate IT a companiei şi elaborarea, în finalul proiectului, a unui raport de audit. Raportul este structurat în funcţie de audienţă - management, responsabili cu securitatea IT, dezvoltatorii aplicaţiei - şi poate ajunge la câteva sute de pagini. Raportul conţine categoriile de vulnerabilităţi descoperite, ameninţările la care website-ul sau aplicaţia web auditate sunt expuse şi recomandări pentru remedierea vulnerabilităţilor.
Cele mai frecvente ameninţări la care sunt expuse site-urile web sunt XSS (cross-site scripting) şi injecţii de query-uri SQL. Prin XSS atacatorii introduc cod maliţios în site-ul vulnerabil iar executarea acestuia la vizitatori, în procesul de navigare pe pagini, facilitează furtul de date de confidenţiale, în acelaşi timp punând în discuţie credibilitatea site-ului vulnerabil şi periclitând imaginea acestuia. Prin injecţii cu cod SQL se pot obţine informatii din bazele de date ale aplicaţiei sau website-ului vulnerabil sau chiar se pot modifica sau şterge cu totul datele sau obţine controlul asupra aplicaţiei, de exemplu prin crearea unui utilizator şi acordarea de drepturi de administrare pe aplicaţia vulnerabilă.
„Dintre toate site-urile româneşti pe care le-am studiat în ultimul an, cu ocazia auditării sistemelor informatice ale companiilor ce le deţin, mai mult de 80% aveau cel puţin o vulnerabilitate importantă. Piaţa online începe să se maturizeze şi tot mai multe fime realizează că nu pot supravieţui în acest mediu decât dacă furnizează servicii web de calitate şi, mai ales, sigure”, precizează Alexandru Molodoi.
Mai multe detalii puteţi găsi la: www.gecadnet.ro; www.gecadshop.ro
G
Mai multe detalii puteţi găsi la: www.gecadnet.ro; www.gecadshop.ro
Parerea ta conteaza: 
Catalogul DataCenter 2012
