CC BY
33
The article considers one of the approaches to assessing the technical level of samples of special-purpose technical equipment, based on the relationship between the concepts of "technical level" and "quality" of the product. In addition, the dependence of the complex indicator of the technical level of the product on complex (basic) quality indicators is shown, these complex (basic) indicators are determined and expressions for their calculation are derived.
Key words: technical level, technical means, quality indicator.
Piskovitin Vladimir Evgenievich, lecturer, piskovitin_ve@mail.ru, Russia, S Saint Petersburg, Military Academy of Communications,
Zaikin Nikolay Nikolaevich, lecturer, zaykin53@mail.ru, Russia, Saint Petersburg, Military Academy of Communications,
Svidlo Alexander Vladimirovich, lecturer, svidlo_av@yandex.ru, Russia, Saint Petersburg, Military Academy of Communications,
Chuprikov Oleg Valerievich, lecturer, chuprikov_ov@mail.ru, Russia, Saint Peters-burg,,Military Academy of Communications,
Fatyanova Elena Valentinovna, lecturer, fatlen77@mail.ru, Russia, Saint Petersburg, Military Academy of Communications
УДК 004.492.3
DOI: 10.24412/2071-6168-2022-5-223-228
ЗАЩИТА ВЕБ-ПРИЛОЖЕНИЙ ОТ УЯЗВИМОСТИ IFRAME-INJECTION
Г.В. Беликов, И.Д. Крылов, В.А. Селищев
Рассматривается уязвимость HTML-страниц iframe-injection как наиболее часто встречающаяся угроза современным вэб-сервисам. Изложены основные методы защиты.
Ключевые слова: информационная безопасность, веб-страницы, веб-уязвимость, тестирование на проникновение.
Целью статьи является исследование одной из часто встречающихся уязвимо-стей HTML-страниц, а также способов реализации данной угрозы.
В данной работе рассматривается «iframe-injection» (инъекция iframe), которая является довольно распространенным видом атаки по принципу межсайтовых сценариев (XSS - cross-site scripting).
В составлении HTML-документов разработчики в основном используют тег iframe, для встраивания другого HTML-документа в текущий. На практике чаще всего данный тег используется для добавления сторонних виджетов (небольших приложений, внедряемых чтобы показать некоторую информацию или выполнить несложное действие), которые дополняют общую картину веб-сайта, при этом облегчают работу разработчикам. Такими виджетами могут быть календари, реклама, ссылки на полезные ресурсы [1].
Для примера можно привести следующий код: «<iframe src-'https: //timcore.ru/2021/05/12/2-bwapp-bee-box-pervonachalnaja-nastrojka/Mheight=M 500px" width="500px"></iframe>».
Данный код отображает квадрат размером 500рх со статьей об этичном хакинге на сайте «https://timcore.ru» (рис. 1).
О © Файл [ С;/Нзучные%20статыг/ахЗе.№п1
timcore
ЭТИЧНЫЙ ХАКИНГ с МИХАИЛОМ ТАРАСОВЫМ (TIMCORE)
Блог об Этичном Хакзшге
Меню Q
# Ноте » 2021 » Май » 12 » #2bWAPP|BeeBox)~
первому шльная ми стройка.
Рис. 1. Пример кода с тегом iframe
При использовании данного тега надо иметь ввиду, что iframe позволяет встраивать независимый HTML-документ с его контекстом просмотра. Такой документ будет изолирован от JavaScript и CSS основного документа, в который добавляется вышеуказанный. В этом заключается главная причина использования iframe - обеспечение определенной степени разделения между сайтом, которым владеет разработчик и содержимым iframe. Однако такое разделение прав может привести к тому, что внедренный плагин может создавать неприятные, злонамеренные ситуации на основном сайте (вызывать всплывающие окна, автоматически воспроизводить видео) [1].
Принцип действия атаки. Проведение атаки iframe-injection состоит из одного или нескольких тегов iframe, которые были внедрены в содержание страницы или поста. Обычно плагин загружает вредоносную программу или выполняет другие действия, которые компрометируют компьютеры посетителей сайта. В лучшем случае после выявления подозрительных действий на сайте, его могут пометить как «вредоносный». В худшем случае владелец сайта и посетители в конечном итоге заразят свои устройства вредоносным ПО [2].
Подобные ситуации происходят следующим образом:
- Разработчик при создании веб-страницы решает добавить в нее сторонние веб-страницы или веб-приложения для улучшения функциональности и внешнего вида главной страницы.
- Во время добавления сторонних ресурсов он не обеспечивает должный уровень защиты своей страницы.
- Любой ресурс потенциально вредоносный, если изначально таковым не является. Возможна ситуация, когда при добавлении плагина он не представлял явной угрозы веб-странице, но в последствии его могут поменять и использовать как вредоносный злоумышленники. К этому времени плагин уже добавлен на сайт и разработчик не имеет возможности модернизировать сам плагин.
- Разработчик веб-сайта и пользователи несут потери, характер которых зависит только от фантазии злоумышленника.
В одном из самых неблагоприятных случаев злоумышленник может получить доступ к управлению сайтом разработчика. В таком случае лучше сразу ограничить к нему доступ [2].
Демонстрация iframe-injection. Для демонстрации уязвимости выберем стенд bwapp (buggy web application). Данный стенд - веб-приложение, находящееся в открытом доступе, свободное для скачивания, был выбран из-за его легкости в обучении специалистов по информационной безопасности. На выбор предоставлено порядка 100 способов атак на веб-приложения, классифицированных «OWASP топ-10», которые можно детально проработать [3].
Для начала работы необходимо ввести в поле «Login» bee, в поле «Password» bug (рис. 2).
< С Анени^о^но 19?. I6S, 103^1/bWAPP/krçir-i
bWAP
an extremely buggy web app
Logtl New User rvfo ГсЛпч i- Тг<*"Пд Btog
/ Login
Enter your credentials (bee/bug).
i
Set the secuHy level
Iwl
go
MISSING & EXPLOITED
CHILDREN'
Scan your website for
XSS and SQL injection vulnerabilities
m
D
□
Рис. 2. Стенд bwapp
Переходим во вкладку с выбором уязвимостей. Используя данный стенд, можно проводить атаки разного уровня "low", "medium", "high". Выберем уровень low, для демонстрации (рис. 3).
Среди предложенных уязвимостей, готовых для эксплуатации выберем «Iframe injection»:
С АНез&цище-о 192.168.135/bW
an ex+remely bu^gy wel? tapp !
Bcigç Chonte Pawword Create U*er Set Security Level Rese+ CredS+9 Bieg Logout
/ Porid /
bWAPP. or a buggy web application, is a free and open source deliberately insecure web application ll helps security enthusiasts developers and students to discover and to prevent web vulnerabilities bWAPP covers all major known wtb virinerabdilies. mciudng an risks from the OWASP Top 10 project! It is for security-testing and educabonad purposes onfry.
Wwcrt bug do you tvanf to hade today7 )
- IJWAPP V2 2 -
Ai - Injection;
HTML Injection - Refected (GET) html infection - Reflected (POST) html injection. Reflected (Current URL) HTML Injecton ■ Stored (Stog>_
LDAP injection (Seartli) Mail Header injection (SMTPi
NATOWL VAt
MISSING & EXPLOITED
С И I L D R £ N1
nssi
Рис. 3. Выбор уязвимости
После перехода к уязвимости видим, что не появилось поля ввода данных для проведения тестирования уязвимости (рис. 3). Единственный способ, провести атаку, используя строку URL, на которой расположено имя сайта (рис. 4).
225
192.163.1.3S/bWAPfVi<rameMi»ip?f,afamUfl= гс*хд&. Ы » РтпМЛ h=250ЛРвг =2S0
extremely buggy web app !
Бодч Change PeMwcrd Create Oser Set Security Level Reset Cretite
/ ¡Frame Injection /
Oi»*lle«; /
OisalliM: /«tain/
DIsaIIm: /docuaents/
Dls*ll0U3 /lHgts/
Disallow: /patSNordt/
Рис. 4. Уязвимость Iframe injection
Эксплуатировать уязвимость можно с помощью поля с адресом страницы вверху [3].
<<http:/Л92Л68Л03.231/bWAPP/iframei.php?ParamШ=robots.txt&ParamWidth=25 0&ParamHeight=250» - изначальный адрес страницы, модифицировав который получится произвести атаку (рис. 5).
192.168.103231 /bWAPP/iframei.php?ParamUri = robots.t*t&Param Width=2S0&ParamHeight=250
Рис. 5. Адрес страницы
В данном примере есть возможность задавать ширину и высоту встраиваемого
окна.
В примере видим "Url=robots.txt". robots.txt - обычный текстовый файл, который содержит инструкции и директивы для поисковых роботов, запрещающие индексировать определенные файлы сайта, документы или папки. Данный документ ограничивает допуск ботам поисковых систем к содержимому сайта.
В рассматриваемом примере можно увидеть, что файл robots.txt ограничивает доступ в директории /admin/, /documents/, /images/, /passwords/.
Вместо "robots.txt" пишем ссылку на веб-сайт: «http://services. seekdotnet.com/knowledgebase/261/What-is-Iframe-Injection.html»
Далее получаем следующий результат: «http://192.168.103.231/ bWAPP/iframei.php?ParamUrl=http: //services.seekdotnet.com/knowledgebase/ 261/What-is-Iframe-Injection.html&ParamWidth=550&ParamHeight=550» (рис. 6).
< С А Неэащицено 192.163.103231 /bWAPP/iframei.php'ParmUrl=http://»r^s№№net[m/knowlMigebasi/261 /#ut-i5-lfome-lnjKta.html№a[amWidth=55<№ramHeight=5SO
Рис. 6. Модифицированный адрес страницы
Таким образом была продемонстрирована атака с использованием тега <iframe> (рис. 7).
Описанную атаку можно отнести к XSS Stored (хранимая XSS) - способ эксплуатации сайтов, при которой изменения злоумышленника сохраняются на сервере. Если обойти определенные ограничения и внедрить не легитимное окно появляется большое количество способов украсть данные пользователей, манипулировать страницей и всячески вредить разработчику ради личной выгоды.
В ситуации, когда тег "iframe" внедрен в страницу регистрации, обладая знаниями в дизайне сайтов, можно подстроить так, что пользователи будут вносить дополнительную информацию о себе в поле, созданное тегом "iframe", так что сами не заметят кражу персональных данных.
Bugi Oabft Po*»ward Creo+e Iber Set Security Leve) Kewt CreciH Btog
/ iFrame injection /
SEEKDOTNET " '
Know Ledge base
i Categories
Wc&uteitamtyW -
What is I frame Injection?
* eeupte c* week» лас t mention« лс-ятечи*!).!:«1" had веел flensed by G»ost at txuia a "b»«J" И» tauof* * WH rostig " matear «", Thii »«nt wmtnhing [ h+Э (Scne, [Hi и* w« tubjett № лШГглшг Infcclhm It took me a while to find and III ргоЫип, but urce I've fiad tome quettions about iftwne infect on» h«fe 4» a quick and ditty fluide to deakng mtti then.
Рис. 7. Успешная эксплуатация уязвимости
Методы предотвращения iframe-injection. Для защиты веб-приложений от подобных атак необходимо использовать:
- Content Security Policy (CSP, политика защиты контента).
- Использование белых списков.
- Валидация исходного кода.
- Регулярная проверка веб-страницы разработчиком.
Заголовок Политики безопасности содержимого (CSP) один из лучших способов предотвращения атак с внедрением фреймов. Директива CSP является очень полезным инструментом для предотвращения XSS-атак. Аналогичным образом, CSP или директивы позволяют вносить в белый список источники «iframe», которые будут загружаться на вашу страницу. Также можно присвоить им значение «none», чтобы предотвратить загрузку «iframe» вообще. Например, можно запретить реализацию на вебстранице таких параметров как (script-src, frame-src, child-src) [4].
Список литературы
1. Frame Injection Attacks. [Электронный ресурс] URL: https://www.invicti.com/blog/web-security/frame-injection-attacks (дата обращения: 26.03.2022).
2. iFrame Injection - Attacks and Mitigation. [Электронный ресурс] URL: https://secnhack.in/iframe-injection-attacks-and-mitigation (дата обращения: 26.03.2022).
3. Bwapp (buggy web application). [Электронный ресурс] URL: http://itsecgames.com (дата обращения: 25.03.2022).
4. Улучшение сетевой безопасности с помощью Content Security Policy. [Электронный ресурс] URL: https://habr.com/ru/company/nix/blog/271575 (дата обращения: 26.03.2022).
Беликов Георгий Витальевич, студент, helikvita'a mail.ru, Россия, Тула, Тульский государственный университет,
Крылов Илья Дмитриевич, студент, nikplay2000a mail.ru, Россия, Тула, Тульский государственный университет,
Селищев Валерий Анатольевич, канд. техн. наук, доцент, sel648val@,rambler.ги, Россия, Тула, Тульский государственный университет
PROTECTING WEB APPLICATIONS FROM VULNERABILITY IFRAME-INJECTION
G.VBelikov, I.D. Krylov, VA. Selishchev
The vulnerability of iframe-injection HTML pages is considered as the most common threat to modern web services. The main methods of protection are described.
Key words: information security, web pages, web vulnerability, penetration testing.
Belikov Georgy Vitalievich, student, belikvita@,mailru, Russia, Tula, Tula State University,
Krylov Ilya Dmitrievich, student, nikplay2000@mail.ru, Russia, Tula, Tula State University,
Selishev Valeryi Anatolievich, сandidate of technical sciences, docent, sel648val@rambler.ru, Russia, Tula, Tula State University
УДК 621.37.39
DOI: 10.24412/2071-6168-2022-5-228-240
МОДЕЛЬ ВЫЯВЛЕНИЯ АНОМАЛИЙ В СЕТЕВОМ ТРАФИКЕ СЕТИ
ПЕРЕДАЧИ ДАННЫХ В УСЛОВИЯХ КОМПЬЮТЕРНЫХ АТАК
А.М. Крибель, Р.А. Перов, О.С. Лаута, С.Ю. Скоробогатов
В статье предложена модель выявления аномалий, вызванные воздействием компьютерных атак в сети передачи данных, позволяющая в реальном или близком к реальному масштабу времени их выявлять. Экспериментальные результаты также свидетельствуют о том, что при появлении сетевых аномалий, вызванных, например, кибератаками типа DDoS и «сканирование сети и ее уязвимостей», характер этих свойств начинает существенно отличаться от нормального трафика.
Ключевые слова: Аномалии, компьютерные атаки, сеть передачи данных, показатель Херста, самоподобие, временной ряд.
Современный этап развития общества характеризуется повышением роли информационной сферы, представляющей собой совокупность информации и информационных технологий, что позволило осуществлять сбор, формирование, хранение, обработку и распространение информации в таких объемах и с такой оперативностью, которые были немыслимые раньше.
Именно новые технологии привели к бурному распространению сетей передачи данных (СПД), открывающих принципиально новые возможности международного информационного обмена. Происходит интеграция и конвергенция сетей и служб. Это обеспечивает доступ пользователей к любой услуге, имеющейся во множестве сетей, за счет гибких возможностей по их обработке и управлению.
Несмотря на удобство, экономическую выгоду и эффективность использования СПД, а также, темпы, с которыми развивается современная сфера информационных технологий, подвергают мировое сообщество целому ряду беспрецедентных угроз и факторов уязвимости, которые злоумышленнику открывают возможность реализации компьютерных атак (КА).
