Современные угрозы web-приложениям и методы их защиты

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Современные угрозы web-приложениям и методы их защиты

А.А. Акоськин

УО «Белорусская государственная академия связи»

г. Минск, 220114, Республика Беларусь

В двадцать первом веке главным объектом всех отраслей человеческой деятельности становится информация. Существует мнение, что информация становится главной международной валютой. Но, к сожалению, сетевые технологии достаточно уязвимы для целенаправленных атак. Причем такие атаки могут производиться удаленно, в том числе и из-за пределов национальных границ. Все это ставит новые проблемы перед разработчиками. Некоторые современные формы бизнеса полностью базируются на сетевых технологиях (электронная торговля, IP-телефония, сетевое провайдерство и т.д.) и по этой причине они особенно уязвимы.

Уязвимость -- недостаток в системе, используя который можно нарушить ее целостность и вызвать неправильную работу. Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ненадежных паролей, вирусов и других вредоносных программ, недостаточной проверки данных, вводимых пользователем, что позволяет вставить в интерпретируемый код произвольные команды (SQL-инъекция). SQL-инъекции являются уязвимостями, приводящие к атакам на Web-приложение.

Основные типы угроз:

- отказ в обслуживании;

- обход ограничений безопасности;

- доступ к конфиденциальной информации;

- выполнение произвольного кода;

- уязвимости в web-приложениях [1].

Отказ в обслуживании.

Атаки на отказ в обслуживании являются одними из самых распространенных. Это связано с тем, что они сводятся к выведению информационного объекта из строя, а не к получению какого-либо вида несанкционированного доступа к нему. Обычно DoS атаки наиболее выгодны конкурентам.

Обход ограничений безопасности.

Эта уязвимость позволяют удаленному злоумышленнику обойти ограничения безопасности, получить доступ к конфиденциальной информации и выполнить произвольный код. По информации журнала «Хакер» ярким примером такой уязвимости является уязвимость в Apple iPhone, возникающая из-за ошибок в обработке экстренных вызовов. Благодаря уязвимости злоумышленникам удавалось обойти защиту паролем и позвонить на произвольный номер.

Доступ к конфиденциальной информации.

С каждым годом появляется множество программ-шпионов, нацеленных на кражу конфиденциальных данных. Количество уязвимостей, позволяющих получить доступ к конфиденциальной информации, очень велико. Безусловно, больше всего от таких нападений страдает банковский сектор. Так, основываясь на уязвимости одной из функций JavaScript, часто используемой на сайтах банков и финансовых структур, при открытии нескольких вкладок внутри браузера уязвимость позволяет любому сценарию, открытому на какой-либо вкладке, получить информацию о содержимом сайтов, открытых на других вкладках. Таким образом, если в одной вкладке пользователь откроет сайт банка, а в другой - злонамеренный сайт, то скрипт злонамеренного сайта, идентифицировав портал банка, может вывести всплывающее окно, похожее по оформлению на дизайн сайта банка, с запросом на ввод регистрационных данных пользователя. Если пользователь поймается на удочку, то злоумышленники получат доступ к его счету в банке.

Выполнение произвольного кода.

Уязвимости, приводящие к выполнению произвольного кода, являются самыми распространенными. Примером данной уязвимости может служить выполнение произвольного кода в браузере Opera. Уязвимость может использоваться злоумышленниками для получения полного контроля над системой жертвы. Она существует из-за ошибки при обработке HTTP заголовка Content-Length.

Уязвимости в web-приложениях.

Уязвимости, приводящие к атакам на Web-приложения, также сильно распространены. Наиболее распространенными являются SQL-инъекции.

Уязвимости браузеров.

Для начала дадим определение браузера. Браузер -- программное обеспечение для просмотра веб-сайтов, их обработки, вывода и перехода от одной страницы к другой. То, что браузеры не безупречны, известно давно, как и то, что выбрать наиболее оптимальный трудно. Достаточно трудно сказать, какой из браузеров лучше или хуже. Для сравнения, компания Mozilla за весь прошлый год сообщила примерно о 115 уязвимостях, Microsoft - о 31, Opera - о 30.

Есть два способа организации защиты Web-приложений. Первый -- это устранение уязвимостей путем анализа исходного кода, а второй основывается на использовании наложенных средств защиты информации. В идеале оба подхода необходимо комбинировать, однако практика показывает, что в зависимости от специфики бизнеса предприятия и используемых приложений превалирует обычно один из методов.

Подход, использующий устранение уязвимостей путем анализа кода, является наиболее затратным. Для его реализации необходима поддержка со стороны большого круга экспертов, обладающих пониманием всей прикладной абстракции сетевого взаимодействия, включающей в себя логику и алгоритмы работы приложения, компоненты Web-технологий, программное обеспечение и операционную среду сервера. В некоторых случаях использование этого подхода сопряжено с рядом серьезных трудностей. Например, при нехватке ресурсов или использовании программного обеспечения с закрытым кодом, а также если Web-приложение было приобретено как готовый продукт и не является полностью самостоятельной разработкой.

Подход, базирующийся на использовании специальных наложенных сетевых средств защиты, наиболее целесообразен и фундаментален и подходит как организациям с отлаженными процессами поиска уязвимостей в своих сервисах, так и тем, кто этого не делает. В этом контексте наиболее оптимальное устройство -- WAF (Web Application Firewall). В отличие от своих классовых конкурентов (таких как инспектирующие межсетевые экраны, межсетевые экраны следующего поколения, а также системы обнаружения и предотвращения вторжений) WAF разработан непосредственно для защиты именно Web-инфраструктур, с учетом всех нюансов, возникающих при обеспечении их защиты, что значительно повышает его эффективность [2].

Исходя из этого, защиту предлагается строить по следующим направлениям:

- контроль за безопасностью кода web-приложения на протяжении всего жизненного цикла разработки;

- обеспечение защиты информации во время ее передачи между компьютером клиента и web-сервером;

- обеспечение защиты информации, сохраняемой на компьютере клиента;

- использование специализированных средств защиты информации на уровне web-сервера.

Это достигается за счет применения следующих средств и методов защиты:

- недопущение ошибок в скриптах при разработке web-приложения;

- сканирование кода web-приложения на наличие уязвимостей и установка специальных водяных знаков (например, с помощью Trend Micro Deep Security).

- использование систем многофакторной аутентификации пользователей (например, парольная аутентификация с секретным кодом, E-num, сертификаты, цифровые подписи, биометрическая аутентификация);

- применение антивирусного программного обеспечения;

- применение защищенных каналов связи и сетевых протоколов при установке соединения клиента с web-сервером и передачи данных между ними (например, VPN, HTTPS);

- использование обратных прокси-серверов и прикладных шлюзов (например, mod_security для Apache) на уровне web-сервера;

- применение локальных и сетевых систем обнаружения вторжений;

- применение специализированных межсетевых экранов уровня приложений (например, решения типа ApplicationFirewall, IMPERVA Web Application Firewall, Fortigate Web, Barracuda WAF, CheckPoint Web Security Blade), которые обладают встроенным функционалом предотвращения вторжений и обеспечивают защиту от целенаправленных web-атак, таких как переполнение буфера, SQL-инъекции, Сross-Site-Sсriрting, изменение параметров запросов и других. Решения этого класса фильтруют запросы на доступ к приложению и блокируют все действия, которые не относятся к разрешенной активности пользователей [3].

Все эти меры требуется выполнять в комплексе, поскольку защита по раздельности не принесет желаемого эффекта. Так как угрозы меняются очень быстро, необходимо регулярно отслеживать статистику угроз интернет-технологиям, анализировать выявленные инциденты безопасности и оценивать риски их влияния на систему защиты web-приложения.

антивирусный компьютер конфиденциальный информация

Список литературы

1. Оладько В.С. Механизмы защиты web-приложений от внедрения вредоносного кода// Новый университет. Серия: технические науки. 2015. 64-68 с.

2. Бейбутов Э.Р. Защита Web-приложений "по-взрослому"//Журнал Information Security/ Информационная безопасность" #1. 2015. 26-27 с.

3. Оладько А.Ю., Аткина В.С. Модель защиты интернет-магазина//Известия ЮФУ. Технические науки. 2014. 74-80 с.

Размещено на Allbest.ru