Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Описание угрозы

Вирусное заражение или иначе заражение вредоносным программным обеспечением (ВПО) является наиболее обширным и актуальным видом угроз. Включает в себя выполнение злоумышленниками вредоносного кода или произвольных команд для управления или выполнения злонамеренных действий.

Описание уязвимости

Злоумышленник может разместить вредоносный код (сценарий) на сайте, посещаемом жертвой, таким образом, чтобы браузер на стороне жертвы выполнил сценарий с уровнем привилегий пользователя. Веб-браузеры имеют некоторые простые элементы управления безопасностью, но если веб-сайту разрешено выполнять сценарии на стороне пользователя, то эти элементы управления могут быть обойдены.

Описание типа актива

Веб-сайт это набор веб-страниц и связанного с ними контента, который идентифицируется общим доменным именем и публикуется по крайней мере на одном веб-сервере.
Все общедоступные веб-сайты вместе составляют всемирную паутину. Существуют также частные веб-сайты, к которым можно получить доступ только в частной сети, например, внутренний веб-сайт компании для ее сотрудников.
Веб-сайты обычно посвящены определенной теме или цели, например новостям, образованию, коммерции, развлечениям или социальным сетям. Гиперссылки между веб-страницами определяют навигацию по сайту, которая часто начинается с домашней страницы.
Пользователи могут получать доступ к веб-сайтам с различных устройств, включая настольные компьютеры, ноутбуки, планшеты и смартфоны. Программное обеспечение, используемое на этих устройствах, называется веб-браузером.
Объекты атаки
Классификация
КЦД: Конфиденциальность ? Конфиденциальность / confidentiality Свойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов. Целостность ? Целостность / integrity Свойство сохранения правильности и полноты активов. Доступность ? Доступность / availability Свойство быть доступным и готовым к использованию по запросу авторизованного субъекта.
STRIDE: Искажение ? Искажение / Незаконное изменение / Tampering Вредоносное изменение данных, будь то данные в состоянии покоя (файлы, базы данных) или данные в процессе их переда... Раскрытие информации ? Раскрытие информации / Information disclosure Раскрытие сведений лицам которые к этой информации не должны иметь доступа. Защищаемое свойство - конфиденциальнос... Отказ в обслуживании ? Отказ в обслуживании / Denial of service Выход из строя активов или нарушение их работоспособности приводящее к невозможности использования. Защищаемое свойство... Повышение привилегий ? Повышение привилегий / Elevation of privilege Предоставление пользователю прав и полномочий больших чем ему предназначено. В том числе в результате нарушений де...
Источники угрозы
Внешний нарушитель - Низкий потенциал ? Внешний нарушитель Находящийся вне информационной системы на момент начала реализации угрозы. Для реализации угроз в информационной системе внешний нарушитель...
Внутренний нарушитель - Низкий потенциал ? Внутренний нарушитель Находящийся внутри информационной системы на момент начала реализации угрозы. К внутренним нарушителям относят инсайдеров, несмотря на то...

Каталоги угроз

БДУ ФСТЭК:
УБИ.041 Угроза межсайтового скриптинга
Угроза заключается в возможности внедрения нарушителем участков вредоносного кода на сайт дискредитируемой системы таким образом...

Связанные защитные меры

Ничего не найдено