атаковать внутренние компоненты службы через Web-приложение); несовершенство контроля доступа (может предоставить доступ к чужим учетным записям); несовершенство управления учетными записями и сеансами (позволяет атакующему получить пароли сеанса); уязвимость межсайтовых сценариев (использования Web-служб в качестве механизма извлечения конфиденциальной информации из систем конечных пользователей); уязвимость ошибок переполнения буфера; уязвимость манипуляции параметрами (отсутствие блокировки возможности внедрения посторонних команд в параметры, передаваемые Web-службами внешним ресурсам или локальной операционной системе); несовершенство механизма обработки ошибок (предоставляет атакующему возможность вызвать отказ в обслуживании); несовершенство криптосистемы (использование слабых алгоритмов или коротких ключей); неправильное конфигурирование (игнорирование «заплаток», сохранение учетных записей, предусмотренных по умолчанию, и т.п.).

Поделитесь материалом с коллегами и друзьями