Научная статья на тему 'Межсайтовый скриптинг как актуальная угроза для современных веб-систем'

Межсайтовый скриптинг как актуальная угроза для современных веб-систем Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
1183
120
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ / INFORMATION SECURITY / МЕЖСАЙТОВЫЙ СКРИПТИНГ / CROSS-SITE SCRIPTING / XSS-УЯЗВИМОСТЬ / CROSS-SITE SCRIPTING VULNERABILITY

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Савин Илья Вадимович

В данной работе рассматривается одна из наиболее актуальных на сегодняшний день уязвимостей веб-систем межсайтовый скриптинг. Она пользуется популярностью у злоумышленников преимущественно из-за простоты проведения атаки. Для её реализации не требуется наличие значительных вычислительных ресурсов. Описываются цели, которые преследуют злоумышленники, основные разновидности уязвимости, алгоритм проведения атаки с использованием этой уязвимости. Приведены способы нейтрализации угрозы, предусматривающие применение защитных мер как на стороне клиента, так и на стороне сервера.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Межсайтовый скриптинг как актуальная угроза для современных веб-систем»

Список литературы /References

1. Петров А.П. План формирования поездов: Опыт, теория, методика расчетов. М.: Трансжелдориздат, 1950. 483 с.

2. Осьминина И.И. Автоматизированная система расчета плана формирования поездов // В сб. науч. тр. «Актуальные проблемы управления перевозочным процессом». СПб.: Изд-во ПГУПС, 2002.

3. Осьминин А.Т., Сологуб Н.К., Бураков В.А., Трегубое Н.А., Садчикова В.А. и др. Организация вагонопотоков. Развитие теории расчета, технические решения. Рукопись, 216 с. Депонирована в ЦНИИТЭИ МПС РФ № 6168 ЖД 14.04.98 г.

4. Куценко Н.Н., Елисеев С.Ю., Бородин А.Ф. Совершенствование организации вагонопотоков // Ж.-д. трансп. Сер.: «Организация движения и пассажирские перевозки». ЭИ ЦНИИТЭИ, 1998. Вьш. 3. С. 1-33.

5. Угрюмов А.К. Совершенствование методов расчета плана формирования. // Ж.-д. трансп., 1953. № 6.

МЕЖСАЙТОВЫЙ СКРИПТИНГ КАК АКТУАЛЬНАЯ УГРОЗА ДЛЯ СОВРЕМЕННЫХ ВЕБ-СИСТЕМ Савин И.В. Email: [email protected]

Савин Илья Вадимович - студент, кафедра информационной безопасности, Тульский государственный университет, г. Тула

Аннотация: в данной работе рассматривается одна из наиболее актуальных на сегодняшний день уязвимостей веб-систем - межсайтовый скриптинг. Она пользуется популярностью у злоумышленников преимущественно из-за простоты проведения атаки. Для её реализации не требуется наличие значительных вычислительных ресурсов. Описываются цели, которые преследуют злоумышленники, основные разновидности уязвимости, алгоритм проведения атаки с использованием этой уязвимости. Приведены способы нейтрализации угрозы, предусматривающие применение защитных мер как на стороне клиента, так и на стороне сервера.

Ключевые слова: информационная безопасность, межсайтовый скриптинг, XSS-уязвимость.

CROSS-SITE SCRIPTING AS A CURRENT THREAT FOR MODERN

WEB SYSTEMS Savin I.V.

Savin Ilya Vadimovich - Student,

INFORMATION SECURITY, TULA STATE UNIVERSITY, TULA

Abstract: in this paper we consider one of the most actual for today of vulnerabilities in web systems - cross-site scripting. It is popular among cybercriminals primarily because of the simplicity of the attack. For its implementation does not require significant computing resources. Describes the goals pursued by attackers, the main types of vulnerability, the algorithm of carrying out attacks using this vulnerability. There are ways of neutralizing threats that require the application of protective measures at both the client side and the server side. Keywords: information security, cross-site scripting, cross-site scripting vulnerability.

УДК 004.056.53

Межсайтовый скриптинг - атака на веб-систему, когда в выдаваемую ей страницу внедряется вредоносный код, впоследствии выполняющийся на компьютере пользователя и взаимодействующий с сервером злоумышленника [1]. Это одна из самых распространённых атак на прикладном уровне.

Проводя XSS-атаки, как правило, преследуют следующие основные цели:

• похищение аккаунта;

• нарушение конфиденциальности данных;

• получение истории браузера пользователя;

• изменение параметров браузера;

• причинение вреда веб-сервисам или приложениям;

• проведение DOS-атак.

Зачастую для осуществления атаки без взаимодействия с пользователем не обойтись. Это может выражаться в его заманивании на подготовленную с помощью социальной инженерии страницу либо злоумышленник может просто ждать, пока жертва самостоятельно не посетит данную страницу. Ситуация осложняется тем, что многие разработчики к этой угрозе относятся несерьёзно. Такая уязвимость может нанести серьёзный ущерб безопасности, потому как она предоставляет злоумышленнику практически полный контроль над браузером: от видоизменения контента до создания нового администратора (для уязвимых плагинов популярных CMS, систем управления содержимым).

Сложно найти веб-сайт, где не используются поля ввода данных. Простейший пример -форма входа, где необходимо ввести имя пользователя и пароль.

Рис. 1. Типичная схема выполнения XSS-атаки

Инъекция - процесс, когда информация, введённая в такие поля, заменяется последовательностью определённых символов. В дальнейшем она заставляет браузер или сервер отреагировать необходимым для злоумышленника образом. Межсайтовый скриптинг - классический пример такой инъекции: внедряется вредоносный код, который в дальнейшем выполняется в браузере ничего не подозревающего пользователя от имени посещенного сайта.

Типичная схема XSS-атаки представлена на рис. 1. Простейшим примером такой схемы может служить скрипт, который выводит уведомление в браузере: <8Спр1>а1е11(«Пример х88-уязвимости»)</8спр1> Вставив его в одну из форм ввода на сайте, на стороне пользователя браузер открывает окно с надписью «Пример Х88-уязвимости» и понимает

такой скрипт как часть кода сайта. Хотя на самом деле этот код не является легитимным -его нет в структуре сайта, он появился только благодаря действиям злоумышленника.

Существует несколько самых распространённых типов XSS-уязвимостей:

• постоянная (хранимая) - вредоносный код хранится на сайте или сервере;

• непостоянная (отражённая) - пользователь должен перейти по специальной ссылке;

• в DOM-модели - проблема находится в клиентском сценарии.

Постоянный XSS, славящийся своей эффективностью, наиболее вероятен, когда атакующий внедряет на сервер зараженный код. Стоит пользователю только обратиться к оригинальной странице, этот код выполняется. Примером такой атаки служат форумы, которые позволяют без ограничений оставлять в комментариях в HTML-теги. Т.е. постоянный XSS возникает, если разработчики некорректно фильтруют данные перед сохранением в базе данных сервера или в при записи этих данных в файлы, а затем выводя эти данные в браузер ничего не подозревающего пользователя.

Атака, построенная на отражённой уязвимости, сегодня одна из самых распространённых XSS-атак. Такие уязвимости возникают, когда данные, предоставляемые веб-клиентом, часто в форме HTML, исполняются на серверной части скриптами для синтаксического анализа и отображения страницы результатов для этого клиента без необходимой фильтрации. Отражённая XSS-атака срабатывает, когда пользователь переходит по специально подготовленной для него ссылке.

Непостоянные XSS-атаки обычно рассылаются по e-mail или размещаются на вебстранице. Размещенная ссылка ведёт на надёжный сайт, однако содержит в себе зараженный XSS код. Если доверенный сайт уязвим к XSS, то перейдя по такой ссылке, браузер ничего не подозревающего атакуемого будет выполнять зараженный код злоумышленника.

Обрабатывая данные внутри сценария JavaScript, на стороне клиента возникает XSS-уязвимость в DOM-модели. Она получила такое название, благодаря реализации через DOM — программный интерфейс, который не зависит от платформы и позволяет программам и сценариям получать доступ к содержимому HTML и XML-документов, а также модифицировать структуру, оформление и содержимое таких документов. Недостаточная фильтрация данных приводит к модификации DOM атакуемого сайта, что является причиной выполнения зараженного JavaScript-кода в контексте атакуемого сайта.

Защищаясь от различных типов XSS-атак, недостаточно обеспечить безопасность только клиента или только безопасность сервера. Необходим комплексный подход, предусматривающий защиту обеих сторон.

Защита на стороне сервера должна предусматривать:

• кодирование символов разметки HTML по таблице ASCII перед выводом на экран пользователя;

• обязательное указание кодировки на каждой веб-странице;

• обеспечение безопасности cookies. Одна из наиболее эффективных реализаций -использовать защищенное соединение SSL;

• регулярный аудит безопасности кода, проведение тестирования на проникновение;

• наличие белого списка с доверенными источниками для загрузки необходимых сайту данных (изображений, CSS-стилей).

Для защиты клиента от XSS-атак необходимо, как минимум, регулярно обновлять браузер и использовать содержащие XSS-фильтры расширения (NoScript для Firefox, ScriptSafe для Chrome и Opera). Такие расширения проверяют поля форм на наличие скриптов и, при необходимости, предотвращают запуск потенциально опасных скриптов.

Список литературы /References

1. Межсайтовый скриптинг // Википедия — свободная энциклопедия. [Электронный

ресурс]. Режим доступа: https://ru.wikipedia.org/wiki/Межсайтовый_скриптинг/ (дата

обращения: 15.10.2017).

2. Что собой представляет XSS-уязвимость // Anti-Malware.ru - информационная безопасность для профессионалов. [Электронный ресурс]. Режим доступа: https://www.anti-malware.ru/what-is-an-xss-vulnerability/ (дата обращения: 15.10.2017).

3. Полное пособие по межсайтовому скриптингу // Информационный портал по безопасности SecurityLab.ru. [Электронный ресурс]. Режим доступа: http://www.securitylab.ru/analytics/432835.php/ (дата обращения: 15.10.2017).

ОСНОВНЫЕ АСПЕКТЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ СУБД Савин И.В. Email: [email protected]

Савин Илья Вадимович - студент, кафедра информационной безопасности, Тульский государственный университет, г. Тула

Аннотация: в данной работе рассматриваются вопросы обеспечения безопасности СУБД. Анализируется структура базы данных, рассматриваются разновидности пользователей. Анализируются причины успешной реализации атаки злоумышленниками, а также выделяются факторы, из-за которых список наиболее популярных у атакующих уязвимостей в таких системах практически не меняется. Выделяются необходимые для эффективной защиты меры обеспечения безопасности как для зависимых от данных, так и для независимых от данных СУБД. Приводятся рекомендации для снижения риска компрометации и потери данных, а также для обеспечения безопасности таких систем в целом.

Ключевые слова: базы данных, информационная безопасность, защита данных.

THE MAIN ASPECTS OF SECURITY OF THE DBMS

Savin I.V.

Savin Ilya Vadimovich - Student,

INFORMATION SECURITY, TULA STATE UNIVERSITY, TULA

Abstract: this paper discusses the security issues of DBMS. Analyze the structure of the database, discusses the variety of users. Analyzes the reasons for the successful implementation of the attack by hackers, and are also the factors because of which a list of the most popular attacking vulnerabilities in such systems does not change. Financial support is provided for effective protection of security for both data dependent and data independent of DBMS. Recommendations to reduce the risk of compromise and data loss and to ensure the safety of such systems in General. Keywords: database, information security, data protection.

УДК 004.056.53

В настоящее время практически не осталось организаций, которые не используют базы данных. Содержащиеся в них конфиденциальные сведения, от персональных данных до финансовой информации, могут серьёзно заинтересовать злоумышленника. Специалисты по защите информации провели исследование, согласно которому выяснилось, что финансовые убытки компании от нарушения безопасности одной записи в базы данных составляют в среднем от 100$ до 240$. Эти убытки включают в себя восстановление данных, расследование инцидента, а также ликвидацию ущерба репутации. Для предотвращения подобных критических ситуаций необходимо серьёзно отнестись к построению защитного рубежа.

i Надоели баннеры? Вы всегда можете отключить рекламу.