Pourquoi XSS affecte-t-il tant de sites Web?
Selon un article que j'ai lu 65% de tous les sites Web souffrent globalement de XSS. Pourquoi les développeurs ne peuvent-ils pas trouver et le réparer?
S'il vous plaît aidez-moi à comprendre. Je ne suis pas d'un fond de sécurité ou de technologie.
D'autres ont abordé les problèmes classiques autour des systèmes conçus par les humains pour d'autres humains: la réalité est la paresse et parfois-stupidité associée à "Pourquoi cela me arriverait-il?" arrogance.
Oh, combien d'heures de ma vie ont été consacrées à des systèmes de correction et de combats plus important avec la direction pour obtenir le temps/les ressources allouées aux systèmes de correctifs afin qu'ils puissent être "épreuve de balle".
Et j'ai de la chance à cet égard: alors que je suis frustré qui se battait avec la direction lors d'une organisation pour obtenir un système corrigé, de nombreux avions embauchent des développeurs pour développer un système, mais ne considérons alors pas de maintenance de base (et ennuyeuse) pour être quelque chose qui vaut la peine d'être investi. En. Pourquoi payer une technologie un retenue mensuelle pour maintenir un système lorsqu'il est souvent moins cher à laisser le système jusqu'à ce qu'il s'effondre puis chasser une solution au milieu d'une violation?
Une once de prévention étant meilleure qu'une livre de guérison prend souvent un dos au dos aux gens étant pennishwise, pénéficiant.
Cela dit, la meilleure chose que toute personne administrant un système puisse faire est d'avoir un plan de récupération de désastre solide (ou de non-catastrophe) en place. Demandez à la version de code contrôlée, demandez à la configuration du déploiement du serveur automatisé dans un script de provisioning et que des sauvegardes de bases de données. De cette façon si/quand un système diminue, le nettoyage est rapide au lieu d'être une catastrophe fastidieuse.
La détection précise des vulnérabilités de sécurité dangereuses telles que SQLI et XSS pendant la phase de mise en œuvre du code de SDLC est toujours limitée au type de langage de programmation.
- L'analyse statique pour ces vulnérabilités est la plus largement réalisée en PHP.
- Certaines méthodes dynamiques utilisent des techniques floues pendant la phase de test ou de déploiement.
Malheureusement, les deux méthodes sont encore assez limitées dans leur taux d'accusades. En outre, les vulnérabilités XSS et SQLI ciblent des applications informatiques et peuvent apparaître dans de nombreux formulaires déguisés inconnus des développeurs de logiciels. En tant que tel, je ne pense pas que ce soit une question de stupidité. Je peux assurer que certaines entreprises ont déjà formé leurs développeurs pour une programmation sécurisée, mais ne peuvent pas totalement bloquer ces vulnérabilités. Je conviendrais qu'il y a beaucoup plus à faire pour éviter de telles attaques critiques.