Если внутрикорпоративный портал доступен для просмотра только из внутренней сети организации (за брэндмауэром), то, безусловно, он менее уязвим для атак извне, чем корпоративный сайт.
Но внутри компании существует гораздо более существенная проблема – возможные инсайдеры. Недобросовестные сотрудники могут воспользоваться уязвимостями в программном обеспечении портала и заполучить секретные сведения, нарушить целостность документов, либо вызвать отказ в обслуживании.
На портале может лежать важная информация, начиная от финансовой отчетности компании до личной переписки между директорами подразделений и обсуждения организационных вопросов. Нельзя допустить, чтобы кто-то получил к ней несанкционированный доступ.
Кроме этого, часто сеть настраивают так, что в ряде случаев портал может быть доступен и извне компании, например, для работы сотрудников в командировках или внештатных служащих. В этом случае требования по защите портала существенно возрастают и справедливы все рекомендации по защите традиционного веб-сайта.
Уязвимости веб-приложений
Существует целый класс уязвимостей, которым подвержены веб-приложения. Но очень часто проблемы информационной безопасности остаются за рамками бюджета или вообще не фигурируют в этапах разработки.
Перечислим некоторые из наиболее часто встречающихся проблем:
- Cross Site Scripting
- SQL- injection
- PHP- injection
- HTTP Response Splitting
- HTML code injection
- File Inclusion
- Directory traversal и некоторые другие.
Перечисленные типы уязвимостей могут встречаться во всех веб-приложениях, независимо от того, разработаны они одним специалистом или известной компанией. Только системное проектирование, продумывание вопросов безопасности на всех этапах разработки и детальное тестирование готового приложения могут позволить исключить появления уязвимостей.
