Решение проблем предотвращения уязвимостей сайтов

Проведение исследования возможности использования современной технологии ситуационных центров в разработке методов и алгоритмов обработки информации в информационных системах поддержки решений. Основные меры, осуществляемые в случаи взлома веб-сайта.

Рубрика Программирование, компьютеры и кибернетика
Вид статья
Язык русский
Дата добавления 06.05.2018
Размер файла 189,9 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Институт экономики и управления ФГАОУ ВО «КФУ

имени В.И. Вернадского»

РЕШЕНИЕ ПРОБЛЕМ ПРЕДОТВРАЩЕНИЯ УЯЗВИМОСТЕЙ САЙТОВ

Бойченко О.В.

Тупота Е.С.

Вопрос актуальности защиты веб ресурса от взлома весьма актуален. Веб сайт является своеобразным диалоговым окном между покупателем и производителем. Злоумышленники могут как и похищать персональные данные клиентов, так и специально видоизменять сайт, либо перенаправлять пользователей на другие необходимые взломщикам ресурсы. Взломы могут быть абсолютно разные. Рассмотрим основные виды уязвимости и пути обеспечения безопасности ресурсов.

Цель. Составить реестр общераспространённых уязвимостей веб ресурсов. Разработать концепцию поведения владельца веб-сайтов в случаи взлома.

Результаты исследования. Например, есть группа взломщиков, которые с помощью взлома размещают на сайтах оскорбительную или неуместную информацию, изменяет исходный код страницы. В данном случае необходимо просто восстановить сайт из последнего бэкапа и удалением всей неуместной информации. Однако, говорить о полной безопасности веб сайта, без своевременного контроллинга безопасности, невозможно.

Определенную опасность представляют взломщики, которые преднамеренно пытаются украсть данные, незаметно подменить информацию или специально распространять вредоносную информацию. В данной ситуации необходимо оградить контент от посетителей сайта.

Рассмотрим самые актуальные проблемы взлома и практические примеры по устранению или уменьшению влияния на безопасность веб ресурса в целом.

Одним из самых простых способов «незаметного взлома» является кликджекинг. Хакер поверх сайта- жертвы кладет iframe, пользователь делает привычные ему действия, однако эти же самые действия делаются на другом - «замаскированном» сайте, который работает внутри iframe. Этого достичь весьма просто, путем создания идентичных координат на хакерском сайте. Однако, разработчик может предотвратить данную ситуацию путем добавления тега X-Frame-Opitions: DENY.

Фишинг один из самых популярных методов получения уникальных данных пользователей в виде логина или пароля доступа к конкретному ресурсу. Создаются сайты-клоны, с идентичным интерфейсом, пользователям осуществляется рассылка с целью их дальнейшего перехода на них. Например, вместо сайта google.com мы получим goggle.com gogle.com и так далее. Стоит отметить, что современные браузеры защищены от фишинга, однако дополнительная проверка в виде SMS может уберечь пользователя от разглашения его конфиденциальной информации, например как номер банковской карты и т.д.

Недостаточное шифрование данных. Разработчику необходимо убедится, что хранимая или передаваемая конфиденциальная информация не может быть изъята без определенного разрешения. Необходимо применять зашифрованные протоколы сертификата SSL.

Кража ID сессии. Имея уникальный идентификатор сессии, у хакера пропадает необходимость в пароле или логине пользователя, что бы «стать» им. Уникальный индетификатор сессии хранится в cookie браузера. Стоит учесть, что в браузере может быть отключены параметры cookie, тогда его можно найти в самом URL. Меры по противодействию кражи представлены на рисунке 1.

Рис. 1 - Меры по противодействию кражи

Использование серверных решени1 для аутентификации не допустимо, так как сервер автоматически добавляет ID сессии в URL. При изменении критической информации или совершении важных операций, осуществлять двойную проверку пароля. Использование SSL сертификатов, что позволяет зашифровать передаваемые данные;

Кража ID сессии, является самой популярной атакой среди онлайн-сервисов.

Атаки типа XSS. Представляет собой атаку по внедрению кода, который будет выполнен на компьютере жертвы при открытии страницы. Данные могут быть изъяты из форм, с помощью отслеживания события onsubmit. Таким образом, перед отправкой формы на сайт, эта же информация попадет в руки злоумышленника. Уязвимость данного типа может быть использована для проведения распределенной атаки (DDoS). Передается большое количество запросов, которые «ломают» сервер. Данную уязвимость можно отнести к данному классу в случаи использования скриптов. Подделка межсайтовых запросов (CSRF) в комплексе с XSS уязвимостью могут помочь злоумышленнику получить конфиденциальную информацию. Пользователь проходит на защищенном сайте аутентификацию, переходит на не защищенный сайт, тем самым передавая запрос на реализацию той или иной операции. Возможно осуществить следующую защиту сайта от данного типа атаки/уязвимости:

* Не встраивать счетчик посещаемости на сайтах, информация о количестве пользователей и их IP передается на посторонние сайты, который может быть подвержен атаке;

* Кодирование JavaScript, CSS правил и URL, перед отображением на странице.

* Использование кодирования входных данных, с помощью библиотеки HTML Purifier

* Обеспечение безопасностей сookie, с помощью использования SSL протокола, использования параметров типа HTTPOnly и т.д.

* Рекомендовать пользователям веб-ресурса использовать специальные расширения для браузеров, которые будут проверять поля форм и своевременно предотвращать их запуск.

В случаи взлома веб ресурса, необходимо осуществить ряд мер. (рис. 2.)

Рис. 2 -Меры осуществляемые в случаи взлома веб-сайта

Рассмотрим каждый этап более подробно.

Первое мероприятие, требует немедленное закрытие сайта на проведение дальнейших «ремонтных» работ. Это необходимо осуществить, так как взлом мог быть осуществлен с помощью рабочих файлов, и мы рискуем снова столкнуться с проблемой взлома. Таким образом, мы обеспечиваем защиту посетителей сайта от посещения взломанных страниц и некорректной информации. И обеспечиваем работу по восстановлению ресурса. информационный взлом веб сайт

Вторым этапом является, попытка восстановления сайта через последний сделанный бэкап. Стоит отметить, что взломщики вполне могли удалить их, либо бэкапы могут касаться только конкретной части сайта. В таких случаях автоматически восстановить сайт не получится. Необходимо идти дальше.

Третьим этапом является проверка файла .htaccess. Данный Данный вид взлома является популярным среди хакеров. С помощью изменения содержимого файла злоумышленники могут добавить собственные страницы или осуществлять перенаправление пользователей на сайты-клоны с попыткой дальнейшего фишинга. Стоит учитывать, что зачастую хакеры встраивают вредоносные PHP файлы.

Четвертый этапом является, поиск файлов намеренно добавленных хакерами. Отметим, что работают в основном с .php и .js файлами. Для этого на сервер добавляются файлы с похожими на стандартные именами. Однако стоит учесть тот факт, что злоумышленник может преднамеренно модифицировать имеющиеся файлы. И в этом случаи, зачастую модифицируется сам код java script, в этом случаи необходимо точно понимать функционал файла. Существуют утилиты, которые вполне могут справится с поставленной задачей самостоятельно- PHP Decoder UnPHP. Хакер может исказить файлы, чтобы в ручную их не возможно было проанализировать без углубленных специфических знаний.

Пятым этапом является, очистка зараженной информации. Необходимо заново добавить ключевые файлы, сценарии, плагины.

Шестым этапом является, поиск причины уязвимости сайта и ее закрытие. Необходимо обновить все пароли доступа к сайту, заменить устаревшие плагины и скрипты.

Существует ряд программ и плагинов для упрощения этих этапов- WordPress плагин Exploit Scanner, плагин Antivirus. Exploit Scanner не является совершенным, т.к. может указывать и на “здоровый” код. Однако ручное сканирование, приведет к более точному результату.

Таким образом, в результате проведенных исследований было выявлен перечень основных уязвимостей сайтов. Были разработан реестр описывающий возможности предотвращения или уменьшения риска возникновения уязвимости. Был разработан перечень мер по ликвидации взлома веб-ресурса и представлены программные продукты позволяющие упростить некоторые этапы.

Литература

1. Кукушкин Н. В., Чиркин Е. С. Автоматизированный поиск уязвимостей веб-сайтов // Гаудеамус . №20. С.138-139.

2. Брумштейн Юрий Моисеевич, Бондарев Андрей Андреевич Системный анализ вопросов информационной безопасности вузовских сайтов // Вестник АГТУ. Серия: Управление, вычислительная техника и информатика . 2014. №2. С.138-147.

3. Ярочкин, В.И. Информационная безопасность; Академический проект - М., 2008. - 544 c.

Аннотация

В статье рассмотрена возможность использования современной технологии ситуационных центров в разработке методов и алгоритмов обработки информации в информационных системах поддержки решений.

Ключевые слова: информационная система поддержки решений, ситуационный центр, система хранения данных.

In the article possibility of the use of modern technology of situational centers is considered in development of methods and algorithms of treatment of information in the informative systems of support of decisions.

Keywords: information system decision support, situational center, storage system.

Размещено на Allbest.ru

...

Подобные документы

  • Методы решения проблем, возникающих на стадиях и этапах процесса принятия решений, их реализация в информационных системах поддержки принятия решений (СППР). Назначение СППР, история их эволюции и характеристика. Основные типы СППР, области их применения.

    реферат [389,3 K], добавлен 22.11.2016

  • Новые подходы к поиску и обработке информации в справочно-правовых системах. Основные возможности программных технологий СПС. Способы передачи информации. Основные поисковые и сервисные возможности. Экономическая эффективность информационных технологий.

    контрольная работа [34,4 K], добавлен 19.11.2013

  • Data Mining как процесс поддержки принятия решений, основанный на поиске в данных скрытых закономерностей (шаблонов информации). Его закономерности и этапы реализации, история разработки данной технологии, оценка преимуществ и недостатков, возможности.

    эссе [36,8 K], добавлен 17.12.2014

  • Основные технологии разработки ресурсов Интернет. Процесс разработки веб-сайта. Понятие Web-сайта и классификация Web-сайтов. Основные этапы разработки Web-сайта. Использование HTML, CSS, JavaScript, FLASH, PHP и реляционной базы данных MySQL.

    презентация [1,3 M], добавлен 28.11.2015

  • Анализ потенциальных уязвимостей материала, размещенного на сайте. Анализ потенциальных уязвимостей материала с использованием методов шифрования и стеганографии. Использование водяного знака для защиты изображений. Разработка php-скрипта для защиты.

    курсовая работа [4,2 M], добавлен 11.05.2014

  • Примеры построения тестов и технологии исследования алгоритмов на их основе. Построение тестов на основе метода покрытия решений и проведение исследования соответствующего исходного алгоритма и алгоритма с ошибками в операторах проверки условий.

    контрольная работа [224,8 K], добавлен 24.05.2016

  • Понятие и классификация информационных систем, их типы и функциональные особенности: связи, хранения и обработки информации, поисковые. Процесс устаревания данных систем, их значение и задачи в мире, сферы использования и возможности, управление.

    презентация [555,0 K], добавлен 10.03.2015

  • Теоретический обзор по проблеме создания web-сайта "Конфликты в организации". Анализ информационных ресурсов и сервисов. Характеристика методов исследования конфликтов в организациях. Программный пакет Macromedia Dreamweaver для создания web-сайтов.

    дипломная работа [1,7 M], добавлен 22.06.2015

  • История развития и классификация информационных систем. Применение информационных систем в образовании. Практические аспекты использования прикладного программного обеспечения при разработке сайта. Функциональные возможности программного приложения.

    курсовая работа [47,9 K], добавлен 19.01.2017

  • Обслуживание двух встречных потоков информации. Структура информационных систем. Разработка структуры базы данных. Режимы работы с базами данных. Четыре основных компонента системы поддержки принятия решений. Выбор системы управления баз данных.

    курсовая работа [772,0 K], добавлен 21.04.2016

  • Современные тенденции разработки и принципы классификации web-сайтов. Сайт как средство развития бизнеса. Технологии, применяемые при разработке web-сайтов, системы управления контентом. Разработка web-сайта для ЗАО "Кондитерская фабрика "Саратовская".

    дипломная работа [4,1 M], добавлен 01.10.2012

  • Классификация современных web-технологий. Сравнительный анализ систем управления сайтами. Исследование методов разработки, оптимизации и продвижения Web-сайта. Изучение фреймворков, используемых при разработке сайтов. Обзор создания графического дизайна.

    дипломная работа [3,8 M], добавлен 07.11.2013

  • Управление электронным бизнесом. Изучение технологии создания сайта предприятия с использованием выбранных бесплатных конструкторов сайтов. Сравнительный анализ макетов сайтов, разработанных для организации с помощью конструкторов "Nethouse" и "А5".

    курсовая работа [867,2 K], добавлен 23.03.2016

  • Рассмотрение понятия и истории возникновения систем поддержки принятия решения. Приспособленность информационных систем к задачам повседневной управленческой деятельности. Понятие термина "интеллектуальный анализ данных". Методика извлечения знаний.

    реферат [79,8 K], добавлен 14.04.2015

  • Возможности использования Internet-ресурсов в средней школе. Мониторинг качества образовательных сайтов в России. Создание образовательного сайта по информатике для 10-го класса. Анализ практического использования образовательного сайта "Информатика".

    дипломная работа [3,2 M], добавлен 10.03.2012

  • История появления первого в мире сайта info.cern.ch в 1991 году. Страницы сайтов как набор текстовых файлов, размеченных на языке HTML. Использование конструктора при разработке сайтов. Создание сайта "с нуля", разработка дизайна, верстка, оформление.

    реферат [21,5 K], добавлен 26.05.2015

  • Ранжирование сайтов поисковыми системами. Поисковые машины, алгоритм работы. Описание процесса изменения рейтинга сайта, математическая модель. Главные функциональные возможности скрипта, описание подпрограмм, алгоритмов и принципа работы программы.

    курсовая работа [66,1 K], добавлен 12.07.2012

  • Современные информационные технологии, используемые в психологии, их функциональные возможности, направления использования. Программы для обработки математических данных. Программное обеспечение офис-менеджмента и психодиагностического исследования.

    презентация [57,1 K], добавлен 02.06.2015

  • Технологические процессы обработки информации в информационных технологиях. Способы доступа к Internet. Информационные технологии в локальных и корпоративных компьютерных сетях. Средства обработки графической информации. Понятие информационной технологии.

    учебное пособие [1,4 M], добавлен 23.03.2010

  • Препятствие, управление доступом, маскировка и регламентация как меры защиты информации в автоматизированных информационных системах. Особенности криптографического метода защиты информации. Изучение системы управления электронным документооборотом.

    контрольная работа [38,4 K], добавлен 20.05.2019

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.