Главная » Блоги Экспертов И ИТ-Компаний » СОИБ. Анализ. Серьезные недостатки защищенного соединения с web приложениями

СОИБ. Анализ. Серьезные недостатки защищенного соединения с web приложениями

Есть сложно выявляемые уязвимости и недостатки безопасности web приложений, которые приходится искать в рамках дорогостоящих аудитов или пентестов.  А есть такие, в которые вляпываешься зайдя один раз обычным браузером на сайт. Ко второму случаю относится неправильный SSL / TLS-сертификат для обеспечения для обеспечения защищенного взаимодействия между сервером и клиентом по протоколу HTTPS или неправильная конфигурация группы протоколов SSL / TLS на сервере.

 

Хотелось бы показать, что проблема актуальна, но не светить при этом конкретных заказчиков, поэтому я сделал отдельный экспресс анализ публично доступной информации (та информация, которую сервис выдает каждому клиенту) о сертификате и настройках SSL / TLS 24-х для таких важных с точки зрения ИБ-шника сайтов, как: личные кабинеты и профили в сообществах по ИБ, русскоязычные партнерские/клиентские разделы ИБ вендоров, личные кабинеты у операторов связи,  учебных центров, порталы гос. органов, торговые площадки, интернет банки, интернет магазины.

 

Анализ проблем с сертификатами и вариант их решения приводится в отдельной статье, а ниже анализ по ошибкам конфигурации SSL / TLS

 


 

С одной стороны, использование протокола HTTPS – это де факто стандарт при защите взаимодействия с клиентов и его надо использовать, с другой стороны, при неверных настройках HTTPS, мы получаем лишь иллюзию защищенного взаимодействия.

 

Приложение. Форумы / площадки для общения ИБшников

Надо отметить что такие площадки как Securitylab.ruclub.cnews.ru не поддерживают https в принципе. Да и судя по настройкам SSL / TLS остальных порталов – сапожники без сапог.

 

 

 

 


 

 

 


 

 


 

 

 

 

 

 

Приложение. Производители ИБ решений. Учебные центры по ИБ

Надо отметить что порталы таких вендоров и учебных центров как Securitycode.ruinfosystems.ruacademy.it.ru не поддерживают https в принципе.

 

 

 

 

 



 

 

 

 

 

Приложение. Торговые площадки, фонды, интернет магазины

 

 

 

 

 





Приложение. Банки

 


 

 

 

Приложение. Операторы связи

 

 

 

 

 

 

 

 

 

Приложение. Гос. органы и ГИСы

 

 

 

 

 

 

 

 

 

 

 

 

 


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Краснодар
https://sborisov.blogspot.com/, https://www.ussc.ru/
Информационные технологии



Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>