МОДЕЛЬ СЕТЕВЫХ АТАК ТИПА XSS- И SQL-ИНЪЕКЦИЙ НА ВЕБ-РЕСУРСЫ, УЧИТЫВАЮЩАЯ РАЗЛИЧНЫЕ УРОВНИ СЛОЖНОСТИ ИХ РЕАЛИЗАЦИИ Текст научной статьи по специальности «Компьютерные и информационные науки»

The issues of tourist safety in the Arctic are considered: factors affecting safety, sources of danger, specific risks.

Key words: tourism, Arctic, AZRF, safety, dangerous factors.

Kuprikov Nikita Mikhailovich, candidate of technical sciences, director, kuprikov@russinapolar.ru, Russia, Moscow, ANO Scientific Information Center «Polar Initiative»,

Doronin Denis Olegovich, researcher, kuprikov@russinapolar.ru, Russia, Moscow, ANO Scientific Information Center «Polar Initiative»,

Еkimov Andrey Ivanovich, researcher, kuprikov@russinapolar.ru, Russia, Moscow, Autonomous Nonprofit Organization Scientific Information Center «Polar Initiative»,

Kuprikova Elizaveta Mikhailovna, researcher, kuprikov@russinapolar.ru, Russia, Moscow, Autonomous Non-profit Organization Scientific Information Center «Polar Initiative»,

Serov Yury Aleksandrovich, researcher, kuprikov@russinapolar.ru, Russia, Moscow, ANO Scientific Information Center «Polar Initiative»

УДК 004.942

МОДЕЛЬ СЕТЕВЫХ АТАК ТИПА XSS- И SQL-ИНЪЕКЦИЙ НА ВЕБ-РЕСУРСЫ, УЧИТЫВАЮЩАЯ РАЗЛИЧНЫЕ УРОВНИ СЛОЖНОСТИ

ИХ РЕАЛИЗАЦИИ

М.М. Добрышин, Д.Е. Шугуров, Д.Л. Беляев

В настоящее время рост числа компьютерных атак на информационные ресурсы как государственного, так и частного сектора очевиден, что и подтверждают статистические данные от ведущих компаний, специализирующихся в области информационной безопасности. При этом возникает закономерный вопрос о возможности снизить риски от ущерба компьютерных атак на информационные ресурсы и/или исключить возможности их реализации. С этой целью в рамках поиска решений в статье представлена модель сетевых атак типа XSS- и SQL-инъекций, позволяющая учесть различные уровни сложности их реализации, и выявить новые функциональные зависимости, которые могут быть учтены исследователями и разработчиками средств активного и пассивного тестирования веб-ресурсов.

Ключевые слова: компьютерные атаки, XXS-атака, SQL-инъекции, веб-ресурсы, защищенность.

В настоящее время в сфере информационной безопасности наблюдается устойчивый рост количества компьютерных атак, которые в свою очередь способствуют снижению уровня защищенности веб-ресурсов. Основными причинами успеха в реализации компьютерных атак как правило является наличие уязвимостей в программном обеспечении, отсутствием средств защиты, а также отсутствие реализации в веб-приложениях механизмов защищенного взаимодействия между клиентом и сервером. Данные факты позволяют спрогнозировать наиболее частые атаки на веб-приложения, основными из которых являются: SQL-injection (Structured Query Language - инъекция),

196

и XSS (Cross-Site Scripting) и т.д. Согласно исследований в области информационной безопасности данные атаки является наиболее распространены (в среднем, больше чем в 75% веб-приложений была найдена XSS уязвимость) среди используемых при разработке веб-приложений [1, 2].

В настоящее время для оценки защищенности веб-ресурсов применяется ряд программных средств (XSSF, XenoTix, Wapiti, XSpider (MAX-Patrol), Nemesida Scanner, Acunetix Online Web Security Scanner)) [3-5], однако достоверность результатов проведенных ими исследований не позволяют в полной мере выявить все уязвимости веб-ресурса, что подтверждается значительными финансовыми убытками компаний, что формирует практическое противоречие [6, 7]. Данное противоречие вызвано тем, что применяемый научно-методический аппарат обладает недостаточной достоверностью результатов оценки, из-за того, что применяемые теоретические подходы не в полной мере позволяют учитывать современные способы проведения компьютерных атак, формирует противоречие в теории защиты информации [8].

Для устранения представленного противоречия в теории, предлагается разработать модель сетевых атак типа XSS и SQL-инъекций на предмет их применимости, за счет учета различных вариантов реализации атак различного уровня сложности на различные элементы атакуемого объекта. Устранение практического противоречия осуществляется за счет программное реализации сформулированной модели.

Задача моделирования заключается в повышении достоверности результатов моделирования сетевых атак типа XSS и SQL-инъекция на предмет их применимости, за счет учета различных вариантов реализации атак различного уровня сложности на различные элементы атакуемого объекта.

Целью моделирования является выявление зависимости успешности проведения SQL-инъекций и XSS - атак в отношении атакуемого объекта. Цель достигается за счет аппроксимации результатов, полученных с применение имитационного стенда, реализованного в виде специализированного программного обеспечения.

Основные ограничения и допущения:

Объектом атак является: веб-ресурс (информация), расположенная на вебсайте, в базах данных и других объектах ЭВТ; составные части архитектуры веб-сайта; пароли и учетные записи пользователей; аппаратные и программные средства составных частей веб-сайта.

Основными угрозами являются: нарушение конфиденциальности данных (логины и пароли); нарушение доступа к данным (нарушение работоспособности вебсайта); нарушения целостности хранимой информации.

Выбор основных исходных данных необходимых для описания Веб-сервера основывается прядке реализации виртуального хостинга и необходимого дополнительного программного обеспечения. С учетом рассмотрения типового Веб-сайта рассматривается программное обеспечение Apache, программные средства: MySQL - сервер баз данных; PHP (Hypertext Preprocessor) - интерфейс поддержки языка программирования PHP; Perl - интерфейс поддержки языка программирования Perl, управление базами данных осуществляется через веб-интерфейс с помощью программного пакета phpMyAdmin. Перечисленный набор программных средств и обеспечения выбран на основе статистических данных.

Исходными данными необходимыми для описания XSS-инъекций являются функции, реализующие основные угрозы указанных атак: кража идентификационных данных (cookies); навязывание ложной информации для пользователя при доступе к веб-сайту; Вирусная атака на отдельного пользователя

Исходными данными необходимыми для описания SQL-инъекций являются функции, реализующие основные угрозы указанных атак: изменение входных параметров путём добавления в них конструкций языка SQL; использование ключевого слова UNION; использование сложных запросов; применение слепых инъекций; эксплуатация уязвимостей программного обеспечения (Error-based SQL injection); эксплуатация уязвимостей управления базами данных; составная SQL-инъекция.

Для выявления аналитической зависимости успешности проведения XSS и SQL-инъекций в отношении атакуемого объекта разработана программа для ЭВМ, позволяющая реализовывать указанные атаки на различные веб-сайты и базы данных, а так же отображать текстовую и графическую информацию о результатах моделирования.

Структура стенда основанного на разработанной программе для ЭВМ по исследованию компьютерных атак типа XSS и SQL-инъекции на веб-сервер, представлена на рис. 1.

Модуль "Атака типа XSS-инъекция" предназначен для моделирования следующих видов атак: Cross-site scripting (реализация передачи серверу исполняемого кода, для перенаправления на атакуемый объект) и Challengers (реализация 10 заданий разного уровня по реализации атак типа XSS).

Модуль "Атака типа SQL-инъекция" предназначен для моделирования следующих видов атак: Update (реализация SQL-инъекций, направленных на изменение данных БД); Insert (реализация SQL-инъекций, направленных на создание новых данных БД); Select (реализация SQL-инъекций, направленных на получение и вывод данных из БД); Delete (реализация SQL-инъекций, направленных на удаление данных БД); пользовательский (позволяет манипулировать данными из БД, без перехода в другие режимы); Challengers (включает 10 заданий, направленных на реализацию атак различного уровня сложности).

Автоматизированное рабочее место по исследованию компьютерных атак на веб-сервер позволяет исследовать атаки, применяя критерии для манипулирования, экранирования или отклонения строки, изменяя глобальные настройки, настраивая выходные данные сервера.

Автоматизированное рабочее место по

исследованию компьютерных атак _на веб-сервер_

Cros-Site Scripting

Challengers

Update

Пользовательский

Challengers

Рис. 1. Структура стенда по исследованию компьютерных атак типа ХББ и SQL-инъекции на веб-сервер

Программа позволяет изменять следующие параметры:

1. Вводимые ограничения (критерии отклонения строки для атаки):

- двойные и одинарные кавычки;

- уровень ограничений (регистрово-чувствительный, регистрово-нечувствительный, пропуск обратного слэша и др.);

- вид поиска совпадений (ключевые слова, регулярное выражение);

- возможность ввода определенных слов и выражений в черный или белый список.

2. Глобальные настройки (симулирует кратковременные проблемы сервера):

- случайные ошибки;

- случайное время задержки.

3. Выходной уровень (настройка выходных данных сервера):

- результирующая строка;

- вывод ошибок;

- возможность показа нагрузки.

4. Параметры инъекции:

- строка для инъекции;

- место внедрения.

На основании проведенных практических экспериментов получены статистические данные, позволяющие оценить вероятность успешности проведения компьютерной атаки (рис. 2-19).

I 0-0,5 I 0,5-0,8 0,8-1

Категория 1

Рис. 3. Вероятность успешной атаки типа SQL-инъекция при использовании стратегии "Двойные одинарные кавычки "

I 0-0,5 I 0,5-0,8 0,8-1

Категория 1

Рис. 4. Вероятность успешной атаки типа XSS-инъекция при использовании стратегии "Двойные одинарные кавычки"

I 0-0,5 [ 0,5-0,8 0,8-1

Категория 1

Рис. 5. Вероятность успешной атаки типа SQL-инъекция при использовании стратегии "Прием только элементов из "Белого списка"

I 0-0,5 I 0,5-0,8 0,8-1

Категория 1

Рис. 6. Вероятность успешной атаки типа XSS-инъекция при использовании стратегии " Прием только элементов из "Белого списка "

I 0-0,5 I 0,5-0,8 0,8-1

Категория 1

Рис. 7. Вероятность успешной атаки типа SQL-инъекция при использовании стратегии "Регистро-чувствительный, отклонять элементы "Черного списка"

I 0-0,5 I 0,5-0,8 0,8-1

Категория 1

Рис. 11. Вероятность успешной атаки типа SQL-инъекция при использовании стратегии "Пропуск обратного слэша (\), элементы "Черного списка"

I 0-0,5 I 0,5-0,8 0,8-1

Категория 1

Рис. 8. Вероятность успешной атаки типа XSS-инъекция при использовании стратегии "Регистро-чувствительный, отклонять элементы "Черного списка"

I 0-0,5 I 0,5-0,8 0,8-1

Категория 1

Рис. 9. Вероятность успешной атаки типа SQL-инъекция при использовании стратегии "Регистро-нечувствительный, отклонять элементы "Черного списка"

I 0-0,5 I 0,5-0,8 0,8-1

Категория 1

Рис. 10. Вероятность успешной атаки типа XSS-инъекция при использовании стратегии "Регистро-нечувствительный, отклонять элементы "Черного списка"

I 0-0,5 I 0,5-0,8 0,8-1

Категория 1

Рис. 12. Вероятность успешной атаки типа XSS-инъекция при использовании стратегии "Пропуск обратного слэша (\), элементы "Черного списка"

На основании аппроксимации результатов моделирования (аппроксимация проводилось при помощи MatLab R 2012a (32-bit win32) License Number:161052) получены зависимость вероятности успешной компьютерной атаки типа SQL-инъекций (PSQL (t)) при применении различного количества применяемых сценариев проведения атаки от времени проведения атаки (t):

Р'в1 (?) = 1 - е1, (1)

где 1 - интенсивность смены используемых уязвимостей; а - коэффициент учитывающий полноту применяемых уязвимостей:

1

Я = -

Т смен

где Т смен - среднее время смены используемой уязвимости;

a =

N уязв

стр

N уязв

где N7

количество проверяемых уязвимостеи при атаке, ных уязвимостей у исследуемого объекта.

N

уязв

(2)

(3)

- количество возмож-

I 0-0,5 I 0,5-0,8 0,8-1

Категория 1

Рис. 13. Вероятность успешной атаки типа SQL-инъекция при использовании стратегии "Регистро-чувствительный, удалять элементы "Черного списка"

I 0-0,5 I 0,5-0,8 0,8-1

Категория 1

Рис. 14. Вероятность успешной атаки типа XSS-инъекция при использовании стратегии "Регистро-чувствительный, удалять элементы "Черного списка"

■ o-o.s

■ 0.5-0,8

■ 0.8-1

0.5 0,45 0,4 0,35 0.3 0.25 0,2 0,15 0.1 0,05 0

Категория 1

Рис. 15. Вероятность успешной атаки типа SQL-инъекция при использовании

стратегии "Регистро-нечувствительный, удалять элементы "Черного списка"

0,6

I 0-0,5 I 0,5-0,? 0,8-1

Категория 1

Рис. 16. Вероятность успешной атаки типа XSS-инъекция при использовании

стратегии "Регистро-нечувствительный, удалять элементы "Черного списка"

Аналитическое выражение вероятности успешной компьютерной атаки типа XSS-инъекций ( PXSS (t )) при применении различного количества применяемых сценариев проведения атаки от времени проведения атаки (t ) соответствует выражению 3.

Практическое исследование проводилось с применением программного стенда. На рис. 20 представлен визуальный обзор основного меню разработанного программного стенда по исследования XSS-атак и SQL-инъекций.

201

I 0-0,5 I 0,5-0,8 0,8-1

Категория 1

Рис. 17. Вероятность успешной атаки типа SQL-инъекция при использовании

стратегии "Регистро-нечувствительный, постоянно удалять элементы "Черного списка"

I 0-0,5 I 0,5-0,8 0,8-1

Категория 1

Рис. 18. Вероятность успешной атаки типа XSS-инъекция при использовании

стратегии "Регистро-нечувствительный, постоянно удалять элементы "Черного списка"

Рис. 19. Зависимость вероятности успешной компьютерной атаки типа XSS и SQL-инъекций от времени атаки при различном количестве применяемых

сценариев проведения атаки

Рис. 20. Визуальный обзор основного меню стенда по исследованию атак XSS

и SQL-инъекций

Таким образом, в рамках содержательного описания модели атак XSS и SQL-инъекций выявлены аналитические выражения вероятности успешной компьютерной атаки от времени проведения атаки, при применении различного количества применяемых уязвимостей атакуемого объекта. Разработанная имитационно-аналитическая модель удовлетворяет требованиям качества моделей и обеспечивает повышение достоверности результатов прогнозирования защищенности узлов компьютерной сети от указанных атак на 19,3 %.

Разработанный программный стенд оформлен в виде заявки на регистрацию программы для ЭВМ в Роспатенте. Элементы сформулированного подхода реализованы в патенте РФ на изобретение [9].

Список литературы:

1. Атаки на веб-приложения/ Отчет компании Positive Technologies. [Электронный ресурс] URL: https://www.ptsecurity.com/ru-ru/research/analytics/web-application-attacks-2019 (дата обращения: 10.01.2021).

2. Добрышин М. М. Особенности применения информационно-технического оружия при ведении современных гибридных войн / I-methods. 2020. Т. 12. № 1. С. 111.

3. Носиров З.А., Ажмухамедов И.М. Обнаружение XSS-уязвимостей на основе анализа полной карты веб-приложения // Системы управления, связи и безопасности.

2018. № 1. С. 78-94.

4. Лучшие сканеры уязвимостей 2020. [Электронный ресурс] URL: https://softlist.biz/articles/luchshie-skanery-uyazvimostey-2020 (дата обращения: 10.01.2021).

5. Сканеры уязвимостей. [Электронный ресурс] URL: https://www.securitylab. ru/software/1271 (дата обращения: 10.01.2021).

6. Обзор основных типов компьютерных атак в кредитно-финансовой сфере/ Банк России Финцерт. 2019. С. 86.

7. Добрышин М.М. Модель разнородных компьютерных атак, проводимых одновременно на узел компьютерной сети связи // Телекоммуникации. 2019. № 12. С. 3135.

8. Добрушин М.М., Гуцын Р.В. Модель разнородных групповых компьютерных атак, проводимых одновременно на различные уровни ЭМВОС узла компьютерной сети связи // Известия Тульского государственного университета. Технические науки.

2019. Вып. 10. С. 371-384.

9. Добрышин М.М., Закалкин П.В., Гречишников Е.В., Стародубцев Ю.И., Бречко А.А. Способ защиты программного обеспечения от недекларированных возможностей, содержащихся в получаемых обновлениях. Патент на изобретение RU 2696951 C1, 07.08.2019. Заявка № 2018114493 от 19.04.2018.

Добрышин Михаил Михайлович, канд. техн. наук, сотрудник, Dobrithin@ya. ru, Россия, Орёл, Академия ФСО России,

Шугуров Дмитрий Евгеньевич, канд. техн. наук, сотрудник, sde33 aacadem.msk.rsnet.ru, Россия, Орёл, Академия ФСО России,

Беляев Дмитрий Леонидович канд. техн. наук, сотрудник, bdl33aacadem.msk.rsnet.ru, Россия, Орёл, Академия ФСО России

203

A MODEL OF NETWORK ATTACKS TYPE XSS AND SQL INJECTION TO WEB RESOURCES, TAKING INTO ACCOUNT THE DIFFERENT LEVELS OF DIFFICULTY OF THEIR IMPLEMENTATION

M.M. Dobryshin, D.E. Shugurov, D.L. Belyev

Currently, the growth in the number of computer attacks on information resources of both the public and private sectors is obvious, which is confirmed by statistics from leading companies specializing in information security. In this case, a natural question arises about the possibility of reducing the risks of damage from computer attacks on information resources and / or excluding the possibility of their implementation. To this end, as part of the search for solutions, the article presents a model of network attacks such as XSS and SQL injection, which makes it possible to take into account the different levels of complexity of their implementation, and to identify new functional dependencies that can be taken into account by researchers and developers of tools for active and passive testing of web resources.

Key words: computer attacks, XXS attack, SQL injection, web resources, security.

Dobryshin Michael Mihajlovich, candidate of technical sciences, employee, Do-brithin@ya.ru, Russia, Oryol, The Academy of FSO of Russia,

Shugurov Dmitry Evgenievich, candidate of technical sciences, employee, sde33@academ. msk. rsnet. ru, Russia, Oryol, The Academy of FSO of Russia,

Belyev Dmitry Leonidovich, employee, bdl33@academ. msk. rsnet. ru, Russia, Oryol, The Academy of FSO of Russia

УДК 004.7

ПОВЫШЕНИЕ НАДЕЖНОСТИ АВИАЦИОННЫХ БИУС ЗА СЧЕТ РЕКОНФИГУРАЦИИ

Н.И. Сельвесюк, Э.В. Мельник, Г.А. Платошин, А.Ю. Таранов

В настоящей статье рассмотрена проблематика разработки и практического применения алгоритмов для создания реконфигурируемых вычислительных сетей применительно к использованию в бортовых авиационных вычислительных системах. Показано, что имеющиеся наработки в данной области могут являться базой для разработок по указанной теме. Выполнен анализ применимости современных перспективных сетевых интерфейсов взаимодействия в рамках бортовых систем. Показана перспективность проведения дальнейших разработок в указанном направлении.

Ключевые слова: авиация, реконфигурация, вычислительные сети, управляющие системы, агенты, алгоритмы.

Системы управления современных летательных аппаратов (ЛА) проектируются с использованием концепции распределенной модульной электроники (РМЭ) [1]. Архитектуры на основе РМЭ характеризуется увеличенным числом функций и повышенной степенью интегрированности системы. Бортовые информационно-управляющие системы (БИУС) на базе РМЭ являются основой систем управления современными ЛА. Задачи, которые возлагаются на такие системы, выполняются с принятием решений в реальном времени, что обуславливается спецификой применения БИУС. Кроме этого, к подобным системам предъявляются повышенные требования