Научная статья на тему 'Анализ актуальных угроз безопасности веб-приложений'

Анализ актуальных угроз безопасности веб-приложений Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
860
137
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
защита информации / информационная безопасность / аудит безопасности / защита веб-приложений / information security / information security / security audit / protection of web applications

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — М Ю. Быков, А В. Звягинцева

В статье рассматриваются основные проблемы безопасности в веб-приложениях.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

ANALYSIS OF CURRENT SECURITY THREATS OF WEB APPLICATIONS

The article deals with the main security problems in web applications.

Текст научной работы на тему «Анализ актуальных угроз безопасности веб-приложений»

альтернатив из имеющегося спектра вариантов решения. В экстремальной ситуации принятие решения затрудняется еще и отсутствием опыта действовать в подобных условиях, недостатком времени, дефицитом людских и материальных ресурсов.

Особым классом задач принятия решений являются задачи с учетом факторов риска и безопасности. Факторы риска, понимаемого как вероятность потерь, существенно влияют на процесс выработки решений.

Это обусловливает необходимость формирования у будущих пожарных, начальников караула системы знаний и умений, необходимых для профессионально грамотного анализа рисков и принятия управленческих решений в ситуации риска и неопределенности. Это особенно важно, учитывая, что от принятого решения зачастую зависят жизни людей - как пострадавших в результате ЭС, так и самих пожарных и спасателей.

Решение - это выбор альтернативы. Принятие решений - связующий процесс, необходимый для выполнения любой управленческой функции.

Условия неопределенности существуют, когда руководитель не знает точно, какой результат последует за тем или иным выбором. В условиях недостаточной информации, неопределенности руководитель на основе собственного суждения должен установить вероятность возможных последствий.

Каждое решение сопряжено с возможным негативным результатом, трудно прогнозируемыми побочными эффектами, значение которых руководитель должен соотнести с ожидаемой пользой. Все решения, как запрограммированные, так и не запрограммированные, должны быть основаны не только на суждениях, интуиции и прошлом опыте, но и на рациональном подходе к принятию решений.

Требуется специально организованная теоретически и эмпирически обоснованная подготовка будущих сотрудников силовых ведомств, которые задействуются в предупреждении и ликвидации последствий ЧС, к профессионально грамотному принятию управленческих решений в подобного рода ситуациях.

СПИСОК ЛИТЕРАТУРЫ

1. Ромашов О.В. Социология и психология управления : учебное пособие для вузов / О.В. Ромашов, Л.О. Ромашова. - М.: Издательство «Экзамен», 2002. - 512с.

УДК 004.056

1 2 М.Ю. Быков , А.В. Звягинцева

1ФГКВОУ ВПО «Военный учебно-научный центр Военно-воздушных сил «Военно-воздушная академия имени профессора Н.Е. Жуковского и Ю.А. Гагарина», г. Воронеж, Россия

ФГБОУ ВО «Воронежский государственный технический университет, г. Воронеж, Россия АНАЛИЗ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ВЕБ-ПРИЛОЖЕНИЙ

В статье рассматриваются основные проблемы безопасности в веб-приложениях.

Ключевые слова: защита информации, информационная безопасность, аудит безопасности, защита веб-приложений.

1 2 M.Yu. Bykov , A.V. Zvyagintseva

ANALYSIS OF CURRENT SECURITY THREATS OF WEB APPLICATIONS

The article deals with the main security problems in web applications

Keywords: information security, information security, security audit, protection of web applications

Всемирная паутина уже давно стала неотъемлемой частью современного общества и несёт тысячи потенциальных угроз для информации, которая циркулирует внутри её. Вместе с этим появляется новый вид незаконных действий - «Киберпреступность». Угрозы возрастают пропорционально развитию технологий, но анализируя многолетний опыт, можно сказать, что основные атаки осуществляются с помощью стандартных уязвимостей. К ним можно отнести отсутствие фильтрации обрабатываемых данных, уязвимости в программном обеспечении и ненадлежащее исполнение системным администратором своих обязанностей.

Для современного Веб-пентестинга (тестирование на проникновение) требуется минимальная компетенция в вопросах аудита компьютерных систем и сетей. При оценке безопасности используется специальное программное обеспечение для сканирования web-приложений. Зная название и версию используемой CMS (система управления содержимым), злоумышленник может использовать уже известные уязвимости, которые способны нарушить работу всей системы. Исходя из этого, аудит сайта происходит с позиции атакующего и включает в себя: пассивный сбор информации; определение Веб-окружения, платформы, CMS; сканирование портов; поиск публичных эксплойтов; автоматическое сканирование; ручной анализ; анализ данных и векторов атаки; составление отчёта. В процессе аудита проводятся следующие процессы над исследуемым приложением: поиск уязвимостей серверных компонентов и в Веб-окружении сервера; проверка на удалённое выполнение произвольного кода, на наличие переполнений и инъекций (внедрение кода); попытки обхода системы аутентификации web-приложения, попытки произвести Remote File Inclusion / Local File Inclusion; перехват привилегированных аккаунтов (сессии аккаунтов); сканирование директорий и файлов, используя перебор и «googlehack»; атаки класса racecondition; подбор паролей. Тестирование делится на 3 этапа: Black Box, Grey Box, Grey Box с использованием результатов прошлого этапа. Black Box - проверка без использования аутентификационной информации о тестируемой системе. Grey Box - тестирование с применением информации, предоставленной заказчиком и правами обычного пользователя с попыткой расширения своих прав до администратора. И третий этап проводит анализ с помощью информации из прошлого аудита. Детально изучается структура, топология и документация web-приложения. Результаты аудита представляются в отчёте с обнаруженными уязвимостями, возможные угрозы и потери, примеры атак и рекомендациями по устранению. Обычно это детальный технический отчет и отчет для руководства. В основе проверки лежат методологии Open Web Application Security Project (OWASP), The Web Application Security Consortium (WASC), Open Source Security Testing Methodology Manual (OSSTMM).

Характер воздействия на систему может быть абсолютно разный: от некорректной работы отдельных элементов до полного прекращения работы. В первую очередь необходимо понимать, что основное направление атаки это информация, которая хранится в специальных базах данных. Управление данными производится с помощью запросов на декларированном языке программирования SQL (structuredquerylanguage — «язык структурированных запросов»). SQL позволяет пользователям читать, добавлять, редактировать и удалять записи в базе данных. Из-за недостаточной обработки запросов от пользователя, нарушитель может модифицировать обращение, внедрив в него код своего запроса. Данная атака получила название SQL-injections (SQL-инъекции). Она позволяет злоумышленнику просматривать, редактировать и удалять информацию. Тем самым создаётся опасность для целостности и конфиденциальности личных данных. В случае отсутствия проверки запросов злоумышленник, манипулируя с запросами, может наделить себя правами суперпользователя. Данный подход относится к виду атак с общим названием

«Ошибки валидации».

Для защиты от инъекции создаются фильтры входящих данных: фильтрация строковых и целочисленных параметров. Один из методов защиты - усечение входных параметров, позволяющее исключить изменения в логике запросов. Особую помощь злоумышленнику оказывает информация о базе данных и её структуре. Для регистрации запросов в хронологическом порядке используется log-файл. Сам процесс регистрации не спасает от атаки и нанесения ущерба, но помогает найти слабые места, устранить уязвимость, изучить закономерности на основе информации о действиях пользователя. Исходя из этого, log-файл должен регистрировать максимально детально все параметры и действия в приложении: откуда пришёл пользователь, время и длительность работы, характер работы, параметры браузера, операционная система, IP-адрес.

При работе с пользователями системе необходимо распознать каждого и не допустить ошибку. После успешного ввода логина и пароля, в браузере сохраняются небольшие фрагменты данных - файлы cookie, содержащие индивидуальный идентификатор. Именно с помощью его браузер представляется серверу. Украв файлы cookie, злоумышленник может обойти авторизацию и получить привилегии для работы с информацией. Кража этих происходит с помощью другого типа атаки - XSS (Cross Site Scripting). XSS (Межсайтовое выполнение сценариев) - уязвимость в валидации данных, которая позволяет добавить и выполнить код на стороне клиента с использованием HTML-тегов и сценария на JavaScript. Внедрение кода происходит из-за отсутствия фильтрации входящих данных. Данная атака позволяет украсть сессионные файлы cookie и вводимую информацию на зараженной странице (например, CVC-код кредитной карты). XSS не несёт опасности для сервера и направлен на пользователей. Но стоит учитывать, что если злоумышленник украл файлы cookie лица, имеющего доступ к панели управления, то он без проблем может получить доступ к ней. XSS - уязвимость среднего уровня риска, занимающая лидирующую позицию, опережая Cross-Site Request Forgery(CSRF), Open Redirect, кликджекинг и спуфинг. Согласно данным Positive Technologies в 2019 г. XSS занимала 77,9 %, а в 2018 г. 88,5 % [1]. Известными жертвами атак являлись такие сайты: Twitte [2], ВКонтакте [3], YouTube [4], Facebook. На данный момент уже реализовано программное обеспечение по аудиту web-приложений и поиску XSS-уязвимостей по всей структуре сайта (XSSF, XenoTix, Wapiti, XSpider (MAX-Patrol), Nemesida Scanner, Acunetix Online Web Security Scanner).

Аудит безопасности сайта необходимый процесс для объективной оценки рисков безопасности системы, создания сценарий атак и мер по их предотвращению. Это не разовое мероприятие, а постоянный процесс, направленный на мониторинг состояния безопасности приложения. От политики безопасности приложения зависит его деловая репутация, развитие и экономический рост.

СПИСОК ЛИТЕРАТУРЫ

1. Статистика уязвимостей Веб-приложений в 2018 году/ Positive Technologies [Электронный ресурс].

2. Mirkov D. Twitter заразили вирусом. Журнал «Хакер» (21 сентября 2010).

3. MirkovD. XSS-уязвимости ВКонтакте. Журнал «Хакер» (10 марта 2011).

4. Mirkov D. Множественные уязвимости в You Tube Blog. Журнал «Хакер» (23 июля

2008).

i Надоели баннеры? Вы всегда можете отключить рекламу.