Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Описание угрозы

Вне зависимости от типа публичного сервиса

Описание уязвимости

Веб-приложения и службы (размещенные в облачных средах SaaS или на локальных серверах) часто используют сеансовые файлы (cookie, куки)  для аутентификации и авторизации доступа пользователей. 
Злоумышленники могут попытаться генерировать эти файлы cookie, чтобы получить доступ к веб-ресурсам. Генерация файлов cookie не требует кражи или перехвата файлов cookie у легитимных пользователей. 
Большинство распространенных веб-приложений имеют стандартизированные и документированные значения файлов cookie, которые могут быть созданы с помощью различных инструментов. Для создания веб-файлов cookie часто требуются секретные значения, такие как пароли, закрытые ключи или другие криптографические исходные значения.
После генерации злоумышленники могут использовать эти веб-файлы cookie для доступа к ресурсам и могут обходить многофакторные и другие механизмы защиты аутентификации.

Описание типа актива

Веб-сайт это набор веб-страниц и связанного с ними контента, который идентифицируется общим доменным именем и публикуется по крайней мере на одном веб-сервере.
Все общедоступные веб-сайты вместе составляют всемирную паутину. Существуют также частные веб-сайты, к которым можно получить доступ только в частной сети, например, внутренний веб-сайт компании для ее сотрудников.
Веб-сайты обычно посвящены определенной теме или цели, например новостям, образованию, коммерции, развлечениям или социальным сетям. Гиперссылки между веб-страницами определяют навигацию по сайту, которая часто начинается с домашней страницы.
Пользователи могут получать доступ к веб-сайтам с различных устройств, включая настольные компьютеры, ноутбуки, планшеты и смартфоны. Программное обеспечение, используемое на этих устройствах, называется веб-браузером.
Классификация
Иное: НСД ? Несанкционированный доступ / Unauthorized access
Доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации.
Источники угрозы
Внешний нарушитель - Низкий потенциал ? Внешний нарушитель
Находящийся вне информационной системы на момент начала реализации угрозы.
Для реализации угроз в информационной системе внешний нарушитель должен тем или иным способом получить доступ к процессам, проходящим в информационной системе.

Связанные защитные меры

Ничего не найдено