Проблемы безопасности сайтов и их защита от атаки, основанной на внедрении JavaScript-кода
Анализ уязвимости различных веб-платформ атакам типа "межсайтовый скриптинг". Классификация атак по их поведению: DOM-based, активные и пассивные. Методы предотвращения кражи данных и несанкционированного доступа злоумышленника к веб-сайту или приложению.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | статья |
| Язык | русский |
| Дата добавления | 12.01.2018 |
| Размер файла | 182,1 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Донской Государственный Технический Университет, Ростов-на-Дону
Проблемы безопасности сайтов и их защита от атаки, основанной на внедрении JavaScript-кода
Е.А.Зайцева
Аннотация
межсайтовый скриптинг атака несанкционированный
Статья посвящена вопросу уязвимости различных веб-платформ атакам типа «межсайтовый скриптинг». Особое внимание обращается на классификацию атак по их поведению: различают DOM-based, активные и пассивные атаки. На основе общих правил защиты веб-сайтов разобраны основные методы предотвращения кражи ценных данных и несанкционированного доступа злоумышленника к веб-сайту или приложению. В первую очередь это поиск мест, где можно осуществить инъекцию вредоносного кода, а затем добавление в код фильтрации вводимых данных для всех переменных. В дополнении к этому, необходимо использовать защиту от xss-атак со стороны сервера. Результатом данных мероприятий является устранение уязвимостей ещё на ранних стадиях разработки и повышению защищенности сайта в целом.
Ключевые слова: интернет, веб-приложение, веб-сайт, угроза безопасности, атака, уязвимость, запрос, защита.
В последнее время, самая популярная платформа для ведения какой-либо деятельности - интернет [1]. Разработчики приложений довольно быстро к этому адаптировались: появились такие технологии как электронная коммерция, общественный форум, электронное управление, электронный банкинг, торговые площадки и другие приложения, работающие в Интернете [2]. Но по мере увеличения использования Интернета он также выявил свои нежелательные стороны. Проект Топ-10 OWASP (США) составил список угроз безопасности приложений: в 2017 году на первом месте были т.н. code-injection (различного рода инъекций кода), а среди других можно было увидеть атаку XSS использующую в основе язык JavaScript [3].
Раньше корпоративное программное обеспечение было бы расположено в надежных сетях компании, имея лишь некоторую связью между компьютерами персонала или вообще без нее [4]. В результате работа всей сети была менее уязвима для различных атак. Сегодня же веб-приложения стали самым важным каналом связи между поставщиками услуг и их пользователями. Стало возможным создание красивых, функциональных и интерактивных страниц сайта благодаря широкому использованию языка сценариев JavaScript. И это растущее использование JavaScript увеличивает пробелы в безопасности веб-приложений, такие как SQL-инъекции и межсайтовые уязвимости [5].
Межсайтовый скриптинг (XSS). Межсайтовый скриптинг атакует веб-приложения, вставляя код или скрипт в веб-страницы, к которым обращаются пользователи. Ряд популярных веб-сайтов, включая Facebook, Twitter, McAfee, MySpace, eBay и Google, были основными объектами для подобных атак. XSS-атака использует незащищенный код веб-приложения, позволяя хакеру вводить вредоносный скрипт в веб-форму и дает ему доступ к приложению [6]. Исполняемый код XSS обычно написан на популярных сценариях и языках программирования, таких как JavaScript, vbscript, php и т. д. [7]. На рис.1 проиллюстрирована атака XSS. Таблицы
Рис. 1. - Работа XSS
Предположим, есть форум или блог, на котором люди могут задать вопрос по некоторым темам и получить ответ на него от других пользователей. Для удобства поиска какого-либо вопроса все они хранятся в базе данных и отображаются списком, если кто-то запрашивает соответствующий раздел страницы. Такой список может выглядеть следующим образом (здесь нет кода XSS):
<html>
<head>
<title> XSS Forum - Section 1</title>
</head>
<body>
List of questions:
<p> Question: "Which is the advantage of <i> cloud computing</i> in current times?”
</p>
<p> Question: "What is the best course or book for XSS for beginners to be professional? "</p>
</body>
</html>
Когда злоумышленник посещает эту страницу, он сразу замечает, что текст «cloud computing» выделен курсивом и делает заключение, что пользователям, можно самим добавлять теги в свои вопросы. Теперь злоумышленник может задать вопрос на форуме следующим образом:
<html>
<head>
<title> XSS Forum - Section 1</title>
</head>
<body>
List of questions:
<p> Question: "Which is the advantage of <i> cloud computing</i> in current times?”
</p>
<p> Question: "What are the attributes of distributed operating systems?"</p>
<p> Question: "<Script>alert („Welcome to technology…') ;< /script>"</p>
</body>
</html>
Теперь, каждый раз, при посещении страницы с кодом, будет появляться всплывающее окно со словами «Welcome to technology…». Немногие пользователи заметят эту атаку, другие наверняка не обратят на это внимание и посчитают это нормальным всплывающим окном. Таким образом, вставляя вредоносный код в веб-страницы, злоумышленник может получить высокие привилегии доступа к конфиденциальному содержимому страницы, cookies и другую информацию, хранящуюся в браузере от имени пользователя.
Существуют три класса XSS-атак: DOM-based, пассивные и активные атаки [8]. При активной атаке XSS, JavaScript-код злоумышленника находится на сервере (например, в базе данных, в сообщениях форума или в гостевой книге). Атака через DOM может произойти, если код на странице обращается к объекту document.URL, document.location, document.referrer и др. [9]. В пассивной атаке XSS, введенный код «отражается» от сети сервера, например, в сообщении об ошибке или поиске, затем отправляется жертвам по электронной почте ссылкой на другую веб-страницу. Нажимая на нее, жертва направляет код в веб-приложение, который в последующем отражается в браузере.
Методика защиты. Универсального способа защиты от всех случаев атаки XSS нет. Есть общие принципы, которые показывают обычно на примерах. Для начала необходимо найти все уязвимости сайта этой атаке. Процесс довольно прост и сводится к поиску всех страниц на которых есть форма ввода. Затем вводить в формы различные варианты простых инъекции кода и проверять что получилось. Если в результате появились всплывающие окна - сайт уязвим для xss-атаки. Далее необходимо проверить страницы, обрабатывающие параметры типа GET.
После нахождения уязвимых мест сайта, необходимо перейти к непосредственной защите. Это в первую очередь фильтрование входных данных для всех переменных на предмет обнаружения специальных символов. В обычном тексте от пользователя их быть не должно. В дополнение к вышеприведенному способу защиты, можно использовать и защиту от XSS на сервере, использовать заголовки безопасности HTTP [10].
Заключение
В статье было проведено исследование атаки XSS, а также рассмотрены различные типы этой атаки и защита от них. Однако хоть такие атаки легко устранить, как правило, предотвратить довольно сложно из-за высокой гибкости технической реализации. Поэтому всегда найдется такой сайт, который будет уязвим к XSS. Информация, может быть очень полезна для новых разработчиков приложений или веб-сайтов, работающих через Интернет.
Литература
1. Радчук В.А. Перспективы развития рынка информационных услуг в регионе. Инженерный вестник Дона. 2011. №3. URL: ivdon.ru/magazine/archive/n3y2011/494.
2. Береза Н.В. Современные тенденции развития мирового и российского рынка информационных услуг. Инженерный вестник Дона. 2012. №2. URL: ivdon.ru/magazine/archive/n2y2012/758
3. OWASP Top 10 - 2017 The Ten Most Critical Web Application Security Risks. URL: owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf.
4. Yichen Xie, Alex Aiken. Static Detection of Security Vulnerabilities in Scripting Languages. Security '06 Attendee Survey. Vancouver: USENIX Association, 2006. pp. 120-134.
5. С.В. Запечников и др. Информационная безопасность открытых систем. Том 1. Москва: Машиностроение, 2016. С. 366-369
6. Junaid Latief Shah, Asif Iqbal Khan. Cross Site Scripting (XSS): The dark side of HTML. International Journal Of Engineering And Computer Science. 2014. pp. 68-69
7. Никсон Робин. Создаем динамические веб-сайты с помощью PHP, MySQL, JavaScript, CSS и HTML5. 4 изд. СПб: Питер, 2016. С. 51-58.
8. Полное пособие по межсайтовому скриптингу. URL: securitylab.ru/analytics/432835.php.
9. Третий тип XSS: Межсайтовый скриптинг через DOM. URL: securitylab.ru/analytics/275087.php.
10. В.П. Мельников, С.А. Клейменов, А.М. Петраков. Информационная безопасность и защита информации. Москва: Мир, 2013. С. 111-116.
References
1. Radchuk V.A. Inћenernyj vestnik Dona (Rus), 2011, №3. URL: ivdon.ru/magazine/archive/n3y2011/494.
2. Bereza N.V. Inћenernyj vestnik Dona (Rus), 2012, №2. URL: ivdon.ru/magazine/archive/n2y2012/758.
3. OWASP Top 10 - 2017 The Ten Most Critical Web Application Security Risks. URL: owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf.
4. Yichen Xie, Alex Aiken. Security '06 Attendee Survey. Vancouver: USENIX Association, 2006. рр. 120-134.
5. S.V. Zapechnikov i dr. Informatsionnaya bezopasnost' otkrytykh sistem. Tom 1. Moskva: Mashinostroenie, 2016. рр. 366-369.
6. Junaid Latief Shah, Asif Iqbal Khan. International Journal Of Engineering And Computer Science. 2014. рр. 68-69
7. Nikson Robin. Sozdaem dinamicheskie veb-sayty s pomoshch'yu PHP, MySQL, JavaScript, CSS i HTML5. [Create dynamic websites using PHP, MySQL, JavaScript, CSS and HTML5] 4 izd. SPb: Piter, 2016. рр. 51-58.
8. Polnoe posobie po mezhsaytovomu skriptingu. [A full manual on cross-site scripting.] URL: securitylab.ru/analytics/432835.php.
9. Tretiy tip XSS: Mezhsaytovyy skripting cherez DOM. [The third type of XSS: Cross-site scripting through the DOM.] URL: securitylab.ru/analytics/275087.php.
10. V.P. Mel'nikov, S.A. Kleymenov, A.M. Petrakov. Informatsionnaya bezopasnost' i zashchita informatsii. [Information security and its protection] Moskva: Mir, 2013. рр. 111-116.
Размещено на Allbest.ru
...Подобные документы
Сферы применения и возможности WordPress - CMS с открытым исходным кодом, распространяемой под GNU GPL. Уязвимости WordPress в плагинах Emaily, FeedList, WP Auctions и Old Post Spinner. Межсайтовый скриптинг WordPress в плагине Page Flip Image Gallery.
реферат [4,1 M], добавлен 12.07.2012Классификация сетевых атак по уровню модели OSI, по типу, по местоположению злоумышленника и атакуемого объекта. Проблема безопасности IP-сетей. Угрозы и уязвимости беспроводных сетей. Классификация систем обнаружения атак IDS. Концепция XSpider.
курсовая работа [508,3 K], добавлен 04.11.2014Исследование понятия и классификации видов и методов несанкционированного доступа. Определение и модель злоумышленника. Организация защиты информации. Классификация способов защиты информации в компьютерных системах от случайных и преднамеренных угроз.
реферат [115,1 K], добавлен 16.03.2014Методы противодействия сетевым атакам. Алгоритм действия на сетевом уровне. Методы осуществления парольных атак. Атаки типа Man-in-the-Middle. Сетевая разведка, несанкционированный доступ. Переадресация портов. Вирусы и приложения типа "троянский конь".
курсовая работа [110,1 K], добавлен 20.04.2015Анализ источников опасных сигналов и определение потенциальных технических каналов утечки информации и несанкционированного доступа. Технические методы защиты информации в выделенном помещении, активные и пассивные. Инженерное и техническое оборудование.
курсовая работа [219,1 K], добавлен 12.11.2015PHP (Hypertext Preprocessor) - технология с открытым кодом, позволяющая использовать скриптинг в документах, его специфические функции и методы. Использование базы данных в PHP: авторизация доступа, механизм сессии; форма сбора данных и запись в БД MySQL.
контрольная работа [1,3 M], добавлен 11.06.2013Исторические аспекты возникновения и развития информационной безопасности. Средства обеспечения защиты информации и их классификация. Виды и принцип действия компьютерных вирусов. Правовые основы защиты информации от несанкционированного доступа.
презентация [525,3 K], добавлен 09.12.2015Использование средств статического и динамического анализа программ. Принципы работы компилятора при генерации кода на примере MS Visual Studio 2003 (C++). Взлом защиты от несанкционированного доступа предоставленной программы разными способами.
контрольная работа [4,2 M], добавлен 29.06.2010Принципы организации защиты офиса от несанкционированного доступа. Анализ возможных действий злоумышленника, направленных на дестабилизацию целостности, конфиденциальности и доступности информации. Методы противодействия дестабилизирующим факторам.
курсовая работа [228,5 K], добавлен 20.09.2015Методы и средства защиты информационных данных. Защита от несанкционированного доступа к информации. Особенности защиты компьютерных систем методами криптографии. Критерии оценки безопасности информационных компьютерных технологий в европейских странах.
контрольная работа [40,2 K], добавлен 06.08.2010Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
курсовая работа [319,1 K], добавлен 07.10.2016Необходимость и потребность в защите информации. Виды угроз безопасности информационных технологий и информации. Каналы утечки и несанкционированного доступа к информации. Принципы проектирования системы защиты. Внутренние и внешние нарушители АИТУ.
контрольная работа [107,3 K], добавлен 09.04.2011Анализ основных атак на протокол TLS и определение методов противодействия этим атакам. Разработка метода перехвата и расшифровки трафика, передаваемого по протоколу HTTPS. Расшифровка передаваемых данных в режиме, приближенному к реальному времени.
статья [1013,4 K], добавлен 21.09.2017Защита информации и ее виды. Роль информационной безопасности. Защита от несанкционированного доступа к информации. Физическая защита данных на дисках. Виды компьютерных вирусов. Защита от вредоносных программ и спамов (антивирусы, хакерские утилиты).
презентация [160,9 K], добавлен 04.10.2014DDoS атаки. Спасение от DDoS атак. Предотвращение DDoS атак. Аппаратная защита программного обеспечения, компьютера и информации, сети. Хакинг, как сфера исследования. Типы хакеров. Методы хакинга. Защита от программ Microsoft. CMOS SETUP.
курсовая работа [39,5 K], добавлен 06.02.2007Система управления базой данных (СУБД), централизованное обеспечение безопасности и целостности данных, защита от несанкционированного доступа. Построение концептуальной и реляционной моделей. Процесс нормализации. Проектирование базы данных в ACCESS.
курсовая работа [1,8 M], добавлен 29.10.2008Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
реферат [30,0 K], добавлен 15.11.2011Описание и предназначение протокола DNS. Использование файла host. Особенности и описание способов атак на DNS: ложный DNS-сервер, простой DNS-флуд, фишинг, атака посредством отраженных DNS-запросов. Защита и противодействие атакам на протокол DNS.
реферат [324,3 K], добавлен 15.12.2014Защита от несанкционированного доступа. Классификация автоматизированных систем и требования по защите информации. Средство защиты информации от несанкционированного доступа Secret Net 6.0. Разработка интерфейсной части программы, целевых функций.
дипломная работа [1,2 M], добавлен 20.12.2013Программный модуль, обеспечивающий шифрование и расшифровывание информационных блоков. Защита информации, хранящейся в электронном виде, от несанкционированного доступа. Выбор методов шифрования. Программная реализация. Руководство пользователя.
курсовая работа [184,0 K], добавлен 09.03.2009
