Проверка интернет-сайтов самоуправлений

Статьи по Теме

• ЗРПК «Панцирь-С» заступили на БД в Подмосковье
• Латвийские военные на учениях в Германии
• Вертолётоносец вошёл в состав ВМС Японии

Организация CERT.LV в октябре провела тесты на взлом или проверку безопасности домашних страниц 119 самоуправлений, из которых в 21 странице была найдена критическая уязвимость.

Наиболее распространёнными видами уязвимости оказались SQL-инъекции и межсайтовый скриптинг (XSS).

SQL-инъекции используются для осуществления атак на интернетные базы данных, размещая на веб-страницезлонамеренные скрипты с целью получения полного контроля над сервером. Межсайтовый скриптинг — это тип атаки, заключающийся во внедрении в веб-страницу программы или кода для получения к ней расширенного доступа или для получения авторизационных данных пользователя.

Эксперты CERT.LV сделали вывод, что ряд самоуправлений не следит за обновлениями веб-страниц и системы управления содержимым, тем самым подвергая страницу высокому риску взлома и искажения.

Проблемы были также выявлены в веб-страницах, разработчик которых в процессе адаптации к уже известным и относительно безопасным системам управления содержимым (Joomla, Drupal, WordPress ), создал в них уязвимость.

В сотрудничестве с представителями самоуправлений и разработчиками страниц, все недостатки, выявленные CERT.LV были устранены.

В процессе устранения недостатков было констатировано, что многие разработчики имеют слабое представление о безопасности информационных технологий, всё же большая часть разработчиков были отзывчивы и оперативно устранили ошибки.

После проведения тестов на взлом CERT.LV работала индивидуально с каждым самоуправлением, чтобы по возможности быстрее устранить выявленные уязвимости и недостатки в сфере безопасности. На устранения уязвимостей потребовалось время от одного дня до месяца, в некоторых случаях, что в целом является хорошим результатом.

По сравнению с предыдущими годами ситуация в сфере безопаcности домашних страниц самоуправлений улучшилась. Самоуправления всё чаще действуют упреждающе, определяя требования по безопасности уже в процессе разработки программного обеспечения и/или в процессе закупки.

Беспокойство вызывает факт, что разработчики домашних страниц часто халатно относятся к внедрению требований по безопасности. CERT.LV напоминает, что заказчикам не следует предполагать, что разработчик выполнил правила безопасности, а необходимо самим в этом убедиться, произведя независимые тесты безопасности и аудит, выявленные в результате тестирования недостатки разработчик должен устранить в рамках договора.

Информация и фото по материалам sargs.lv