CC BY
242АНАЛИЗ И МЕТОДЫ ЗАЩИТЫ WEB-ПРИЛОЖЕНИЯ ОТ АТАК
ТИПА XSS Тепляков С.П.1, Тимохович А.С.2
'Тепляков Сергей Павлович — специалист, направление: информационная безопасность телекоммуникационных систем; 2Тимохович Александр Степанович — кандидат педагогических наук, доцент, кафедра безопасности информационных технологий, Институт информатики и телекоммуникаций, Сибирский государственный аэрокосмический университет им. академика М.Ф. Решетнева,
г. Красноярск
Аннотация: в статье предложено обеспечение безопасности web-приложений от XSS атак. Данные методы могут быть применены для защиты любых web-приложений. Ключевые слова: Cross Site Scripting, базы данных, защита web-приложений.
На текущий момент, одной из самых уязвимых систем являются web-приложения. Наличие огромного массива рабочих и, порой, конфиденциальных данных создает необходимость защиты от атак извне.
Эта статья направлена на изучение средств защиты, а также рассмотрение XSS уязвимости.
Подразделяют три вида основных атак на web-сервер:
1. SQL injection;
2. PHP include;
3. XSS.
На начальном этапе развития web-приложений, каждое из них содержало огромное число уязвимостей. С развитием технологий большинство из них были устранены, из-за чего взломщики разрабатывали новые виды атак. Одним из таких видов атаки был выделен в отдельный класс атак под названием CSRF.
CSRF (англ. Cross Site Request Forgery — «Подделка межсайтовых запросов) — вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP. Суть данной атаки в том, что заходя на сайт злоумышленника, от лица «жертвы» отправляется запрос на другой сервер, с цели совершение иной операции (к примеру, перевод денег). Сложность реализации атаки заключалась в необходимости цели взлома быть авторизированной на сервере, на которой проводится атака, и запрос не должен требовать каких-либо подтверждений со стороны пользователя.
Опасность CSRF в том, что данное поведение браузеров и всего HTTP протокола является нормальным. К примеру, ведь нормально то, что сайт может на своих страницах содержать картинки с другого сайта. А браузеру неизвестно заранее что именно пытаются заставить его загрузить, действительно картинку, или под видом данной загрузки будет выполнено какое-то действие на целевом сайте.
Данная атака стала прародителем XSS, ибо и там, и там требуется вынудить пользователя к открытию уязвимой страницы.
XSS (англ. Cross Site Sсriрting — «межсайтовый скриптинг») — тип атаки на уязвимые интерактивные информационные системы в web, внедрение выполняемых на клиентском компьютере вредоносных скриптов в выдаваемую системой страницу. Специфика подобных атак заключается в том, что для атаки на сервер в качестве средства атаки используется авторизованный на этом сервере клиент. К сожалению, межсайтовые скриптовые атаки происходят, в основном, потому, что разработчики не в состоянии обеспечить безопасный код [1].
Для защиты от XSS-атаки необходимо выполнить определенные правила во время написания web-приложения. Нельзя доверять данным поступающим от пользователя либо от какого-либо стороннего источника. Данные должны проходить поверку вплоть до бита [2].
Во-первых, необходимо проверить достоверность данных, что значит если ожидается на вход число, то скрипт должен отсеивать любую другую информацию.
Во-вторых, должна проводиться санитарная обработка данных, суть которой в том, чтобы убедится в отсутствие нежелательных битов. К примеру, удаление любой HTML-разметки из строки, в которой ее быть не должно.
Третье, должна использоваться стандартная функция secureInnerData, которая позволяет защитить от атак типа SQL injection и XSS. Алгоритм работы данной функции прост [3]:
1) удаляются пробелы в начале строки;
2) удаляются пробелы в конце строки;
3) преобразовываются специальные символы в HTML аналоги;
4) очищенные данные возвращаются.
Итогом работы можно заключить, что была проведена классификация web-уязвимостей и подробно рассмотрена уязвимость типа XSS, а также предшествующая ее CSRF уязвимость.
Также были сформулированы основные принципы по защите собственного ресурса от взлома и на основании этих принципов, необходимо пытаться строить защиту.
Для того, что бы обезопасить свой ресурс необходимо посмотреть на слабые места web-приложения и оценить, с точки зрения злоумышленника, какие есть недостатки в системе:
1) Есть ли возможность перейти на другую страницу с вредоносным кодом.
2) Отсутствие какой-либо защиты
3) Пользователь не должен иметь возможности подтвердить действие, которые мог бы хотеть сделать злоумышленник
4) Во время проведения атаки пользователь должен быть авторизирован в систему.
Список литературы
1. Издательство БХВ-Петербург/ Тактика защиты и нападения на Web-приложения, 2005. 432 с.
2. Positive research. Сборник исследований по практической безопасности. [Электронный ресурс]. Режим доступа: https://www.ptsecurity.com/upload/ptru/analytics/Positive-Research-2016-rus.pdf/ (дата обращения: 01.03.2016).
3. Козлов Д.Д., Петухов А.А. Методы обнаружения уязвимостей в web- приложениях / Программные системы и инструменты: тематический сборник ф-та ВМиК МГУ им. Ломоносова. № 7. П/р Л.Н. Королева. М: Издательский отдел ВМиК МГУ. Изд-во МАКС Пресс, 2006.
DETERMINATION OF THE SIGNIFICANT FACTORS OF FURNACE BAY EQUIPMENT AFFECTING ENERGY CONSUMPTION Rakhmonov I.U.1, Omonov F.B.2
'Rakhmonov Ikromdzhon Usmonovich - Senior teacher;
2Omonov Fakhriddin Berdiyaarovich — Bachelor, ELECTRIC SUPPLY DEPARTMENT OF ENERGETIC FACULTY, TASHKENT STATE TECHNICAL UNIVERSITY, TASHKENT, REPUBLIC OF UZBEKISTAN
Abstract: the structure of oven flight is brought in article. And also it is considered questions of influence on a consumption of energy resources of significant factors of the equipment of oven flight. In article the major problems in modern metallurgy and methods of increase in efficiency of electrosteel-smelting production are considered. The most significant periods of electrosteel-smelting engineering procedure, the period of fusion of a metalloshchikhta in which more than 70% of the electric power spent for all of electric melting are consumed are analyzed. Keywords: efficiency, specific expense, installation, production, technological complex.
The furnace bay includes: a) repair and furnace roof assembly site (elev. 0 m); b) furnace bay site (8.5 m elev.), c) furnace equipment repair site (8.5 m elev.); d) Residential and office premises for repair and duty personnel of main support services. The bay is equipped with railway access road (route 5), 3 cranes of 180/63/20 tons capacity, weighbridge of200 t capacity for weighing scrap tub [1].
Furnace span is equipped with 1 DSP-100 arc furnace for steelmaking.
The most important problems in modern metallurgy is the high energy consumption of steel products, which is one of the main indicators that determine the efficiency of the entire iron and steel industry in a constantly growing energy shortages, environmental requirements. Improvement in efficiency of electric steel production lead to the possibility of melting virtually all grades of steel in EAF with a high degree of automation of the melting process. The raw material is scrap. In about 40% of world steel smelted using scrap steel. A requirement for the operating mode of EAF is to provide maximum performance with a minimum specific consumption of electricity.
