Автор: Пользователь скрыл имя, 24 Января 2012 в 21:24, доклад
На дворе век информационного общества. Телекоммуникационные и компьютерные системы стали неотъемлемой частью всех сфер деятельности людей и государства. Однако, разработав глобальную компьютерную сеть и службы телекоммуникации для своих нужд, люди даже не предполагали, что со временем это станет объектом злоупотребления и начнет причинять им вред.
XSS-атаки
Сущность атак межсайтового скриптинга (XSS) – непроверяемые данные. С этой точки зрения каждое приложение, которые выводит входные данные является потенциально уязвимым и может быть эксплуатировано атакующим для кражи идентификаторов сессий, принуждения пользователей к злонамеренным действиям, сбора важной информации и т.д.
XSS атаки могут быть
хранимыми и отраженными.
В этой статье мы опишем новый вектор XSS атак, который хоть и относится к отраженным атакам, но на самом деле является более опасным, чем хранимый XSS. Данный метод может использоваться для обхода почтовых фильтров, XSS фильтров, межсетевых экранов и функций проверки данных. Более того, если вы просматриваете злонамеренное сообщение с помощью уязвимого к XSS просмотрщика RSS каналов, вы можете нажать на следующую ссылку и увидеть результат работы функции alert().
Название самодостаточный XSS полностью объясняет тип атаки. Эта атака не требует наличия XSS уязвимости в web приложении. Все, что требуется для ее проведения содержится в одном URL. После выполнения URL ресурс будет автоматически ассемблирован.
Злонамеренная ссылки должна начинаться с data: протокола и специально сформированной строки. В современных браузерах существует поддержка множества протоколов: http:, https:,ftp: и about:, но протокол data: является самым функциональным, поскольку позволяет AJAX приложениям генерировать PDF, DOC, MP3 и другие форматы без нужды в серверной поддержке сценариев. Спецификация этого протокола описана в RFC2397.
Заключение.
Развитие информационных и телекоммуникационных технологий привело к тому, что современное общество в огромной мере зависит от управления различными процессами посредством компьютерной техники: электронной обработки, хранения, доступа и передачи информации.
Использование информационных технологий расширяет свое действие на все новые сферы человеческой деятельности: от контроля за воздушным и наземным транспортом до решения проблем национальной безопасности. Информация, как один из основных элементов данного процесса, играет все более существенную роль как в жизни отдельного человека, так и в жизни всего общества и каждого государства. В связи с этим информационная безопасность является одной из составляющих безопасности государства.
Фактически, к сожалению, развитие научно-технического прогресса, связанное с внедрением современных информационных технологий, привело к появлению новых видов преступлений, в частности, к незаконному вмешательству в работу электронно-вычислительных машин, систем и компьютерных сетей, хищению, присвоению, вымогательству компьютерной информации, опасному антисоциальному явлению, получившим распространенное название – «киберпреступность».
Многие эксперты отмечают, что использование информационных систем в преступных целях по своим последствиям может сравниться с действием оружия массового поражения (Приложение I). Поэтому в настоящее время киберпреступность рассматривается как стремительно нарастающая угроза безопасности, как для отдельных государств, так и для мирового сообщества в целом.
А, следовательно, проблема борьбы с киберпреступлениями и практика рассмотрения судами дел этой категории выдвигаются на одно из первых мест.
Информация о работе Киберпреступление и девиантное поведение в виртуальной среде