CC BY
195
2. Тенденции и особенности развития систем информационной безопасности
УДК 004.056.2
АВТОМАТИЗИРОВАННЫЙ ПОИСК УЯЗВИМОСТЕЙ ВЕБ-САЙТОВ*
Н.В. Кукушкин, Е.С. Чиркин
Работа описывает причины возникновения ряда наиболее распространенных атак на веб-сайты, дает понятие сканеров безопасности, рассказывает о принципах их работы и дает рекомендации по их использованию.
Ключевые слова: сканеры безопасности, уязвимости веб-сайтов.
С каждым годом увеличивается количество новых веб-ресурсов. Повышенный интерес для злоумышленников представляют сайты с большим количеством посетителей. Пренебрегать безопасностью таких проектов просто непозволительно. Значительная часть бесплатных CMS (Content Management System - система управления содержимым) содержат уязвимости. Ошибки в защите вебсайтов остаются одним из наиболее распространенных недостатков обеспечения защиты информации. Более того, уязвимости вебсайтов являются одним из наиболее распространенных путей проникновения в корпоративные информационные системы, помимо этого есть множество факторов, делающих веб-сервисы привлекательной целью для атак злоумышленников.
При разработке сайтов основные усилия разработчика обычно направлены на обеспечение требуемой функциональности, но при этом вопросам безопасности и качества программного кода уделяется недостаточно внимания. В результате подавляющее большинство web-сайтов содержат уязвимости различной степени критичности.
Простота протокола HTTP позволяет разрабатывать эффективные методы автоматического анализа веб-сайтов и выявления в них уязвимостей. Это значительно упрощает работу нарушителя, позволяя ему обнаружить большое число уязвимых веб-сайтов, чтобы затем провести атаку на наиболее интересные из них.
Кроме того, уязвимости некоторых типов допускают не только автоматическое выявление, но и автоматическую эксплуатацию. Именно таким образом производится массовое внедрение в веб-ресурсы вредонос-
* Работа выполнена при финансовой поддержке Российского фонда фундаментальных исследований (проект № 12-07-00512).
ного кода, который затем используется для создания бот-сетей из рабочих станций обычных пользователей сети Интернет. Возможность использования веб-сайтов в качестве платформы для атаки на рабочие места пользователей сама по себе делает эти приложения привлекательной целью для нарушителя.
Вариантов атак на веб-ресурс, как и последствий этих атак, великое множество. Целью всех атак являются либо показ собственных возможностей, либо прямая или косвенная материальная выгода. Приведем пример наиболее распространенных атак на вебсайты:
- Подмена главной страницы сайта -одна из самых частых форм взлома.
- Удаление файловой системы - вся информация пропадает, что становится провальным в случае отсутствия сохраненной копии ресурса.
- Подмена информации - злоумышленники могут подменить телефон или другие данные организации.
- Размещение троянских программ -набирающая популярность форма распространения вредоносных программ.
- Рассылка спама - сайт может использоваться для рассылки спама.
- Создание высокой нагрузки - отправление в адрес веб-сервера заведомо некорректных запросов или иные действия извне, результатом которых будет затруднение доступа к сайту или падение операционной системы сервера [1].
Таким образом, при подготовке атаки на информационную инфраструктуру компании нарушители в первую очередь исследуют ее веб-сайт не только «вручную», но и с помощью специализированных сканеров безопасности. Недооценка риска, который могут представлять уязвимости в веб-сайтах, доступных из сети Интернет, возможно, являет-
Психолого-педагогический журнал Гаудеамус, №2 (20), 2012
ся основной причиной низкого уровня защищенности большинства из них.
Следствием всех перечисленных разновидностей атак является не только временное прекращение работоспособности ресурса, но и потеря доверия клиентов к веб-сайту. Пользователь, заразившийся вредоносным кодом на таком ресурсе или перенаправленный с этого сайта на сайт сомнительного содержания, может отказаться от услуг данного ресурса, что для обладателя является материальной потерей.
Основная проблема безопасности сайтов кроется в программных кодах CMS-системы управления веб-проектом, включающей сам сайт. Для обеспечения безопасности информационной среды веб-сервера необходимо комплексно решать данную задачу.
Автоматизация поиска уязвимостей достаточно сложная задача, особенно если пытаться создать универсальный метод поиска уязвимостей. Есть стандарты, которым должны подчиняться разработчики при создании веб-страниц, но не так много программистов придерживается этих стандартов. Существует множество технологий создания сайтов, и веб-мастера могут использовать любые инструменты. Чтобы анализировать результат для поиска уязвимостей в вебсценариях, нужны широкие знания и опыт. Задача упрощается тем, что большинство алгоритмов поиска уязвимостей сводится к простому поиску сигнатур на веб-странице. В данном случае сигнатурами являются сообщения о некорректных параметрах и ошибки обращения к базе данных.
Современные сканеры способны обнаруживать сотни уязвимостей сетевых ресурсов, предоставляющих те или иные виды сетевых сервисов. Первые сетевые сканеры представляли собой простейшие сценарии на языке Shell, сканировавшие различные TCP-порты. Сегодня они превратились в программные продукты, реализующие множество различных сценариев сканирования [2].
Современный сетевой сканер выполняет четыре основные задачи: а) идентификацию доступных сетевых ресурсов; б) идентификацию доступных сетевых сервисов; в) идентификацию имеющихся уязвимостей сетевых сервисов; г) выдачу рекомендаций по устранению уязвимостей.
В функциональность сетевого сканера не входит выдача рекомендаций по использованию найденных уязвимостей для реализации атак на сетевые ресурсы. Возможности сканера по анализу уязвимостей ограничены той информацией, которую могут предоставить ему доступные сетевые сервисы [3].
Принцип работы сканера заключается в моделировании действий злоумышленника, производящего анализ сети при помощи стандартных сетевых утилит, таких как host, showmount, traceout, rusers, finger, ping и т.п. При этом используются известные уязвимости сетевых сервисов, сетевых протоколов и ОС для осуществления удаленных атак на системные ресурсы и осуществляется документирование удачных попыток.
В настоящее время существует большое количество как коммерческих, так и свободно распространяемых сканеров, как универсальных, так и специализированных, предназначенных для выявления только определенного класса уязвимостей. Многие из них можно найти в сети Интернет. Число уязвимостей в базах данных современных сканеров медленно, но уверенно приближается к десяткам тысяч [4].
Наиболее полную картину о защищенности той или иной инфраструктуры позволяют получить комплексные методы анализа. Для приблизительной оценки степени защищенности того или иного веб-ресурса часто приходится прибегать к помощи различных сканеров уязвимостей. Помощь в выборе и использовании последних может оказать специально разработанный для этого электронный ресурс «Автоматизированный поиск уязвимостей web-сайтов», содержащий теоретический материал, лабораторные работы, также практические задания, а также методические рекомендации по проведения автоматизированных проверок веб-ресурсов на наличие уязвимостей.
Литература
1. Классификация угроз [Электронный ресурс]. URL: http://www.microsoft.com
2. Классы атак [Электронный ресурс]. URL: http://www.infosecurity.ru
3. Сетевые сканеры [Электронный ресурс]. URL: http://infoch.info
4. Анализ защищенности корпоративных сетей [Электронный ресурс]. URL: http://window.edu.ru
