Безпека Web-додатків. Захист сайтів та Web-проектів. - ProtectMe
- Що трапилося або що загрожує статися?
- Що робити?
- Сайт вже створено - вразливий він?
- Що потрібно міняти?
Що трапилося або що загрожує статися?
Варіантів атак на веб-ресурс, як і наслідків цих атак, безліч. А цілей як завжди тільки дві - слава з банальної радістю від показу власних можливостей, і всюдисуща вигода, що виявляється у вигляді прямої або непрямої матеріальної наживи, простіше кажучи грошей. Отже, що ж загрожує? Ось приклад найбільш поширених атак на веб-сайти:
- Підміна головної сторінки сайту - одна з найчастіших форм злому. Замість звичного вмісту на обкладинці сайту буде красуватися все що завгодно - від імені злісного хакера до банальних образ.
- Видалення файлової системи - вся інформація просто пропадає, що стає провальним в разі відсутності збереженої копії ресурсу. Варто відзначити, що прірва може і база клієнтських паролів, а також інші дані, що мають критичну цінність.
- Підміна інформації - зловмисники можуть підмінити телефон або інші дані організації. У цьому випадку ваші клієнти автоматично стають клієнтами зловмисників.
- Розміщення троянських програм - в цьому випадку швидше за все ви не помітите візит хакера, принаймні все буде на це націлено. Шкідливі програми можуть виконувати різноманітні функції - здійснювати переадресацію на сайт зловмисників, красти персональні дані клієнтів, заражати відвідувачів вірусами і так далі.
- Розсилка спаму - ваш сайт можуть використовувати для розсилки спаму, в цьому випадку ваша «справжня» кореспонденція НЕ буде доходити до адресата, так як домен вашої організації практично відразу буде внесений в централізовану базу даних спамерів.
- Створення високого навантаження - відправлення на адресу веб-сервера свідомо некоректних запитів чи інші дії ззовні, результатом яких буде утруднення доступу до сайту або падіння операційної системи сервера. Такий вид атаки дуже широко поширений в інтернеті.
Наслідком всіх перерахованих різновидів атак є не тільки тимчасове припинення працездатності ресурсу, але і втрата довіри до веб-сайту в очах клієнтів. Користувач, який заразився шкідливим кодом на вашому ресурсі, або перенаправлений з вашого сайту на сайт сумнівного змісту, навряд чи коли-небудь знову наважиться набрати вашу адресу в рядку браузера.
Що робити?
Питанням безпеки веб-сайту можна задатися вже на етапі розробки. Існує безліч CMS-систем (Content Management System - система управління вмістом), що представляють собою якийсь шаблон, який спрощує управління і розробку сайту. Весь спектр CSM систем можна поділити на відкриті (безкоштовні) і пропрієтарні. Серед відкритих можна виділити Drupal, Mambo, Joomla і Typo3, серед платних - 1С-Бітрікс, NetCat, Amiro.CMS. Всі вони є в тій чи іншій мірі безпечними, мають ряд переваг і недоліків. То яку CMS варто вибрати? Безумовно це питання залишається на розгляді в кожному конкретному випадку, однак статистика говорить про те, що в Росії переважна більшість веб-студій, що використовують сторонні розробки для створення сайтів, користуються продуктом 1С-Бітрікс. За це говорить ряд чинників:
- Об'єднавшись з фірмою 1C, Бітрікс негласного перетворився в національний стандарт веб-розробки на основі CMS.
- 1С-Бітрікс має сертифікат безпеки від компанії Positive Technologies (мова про яку піде далі), що підтверджує невразливість системи до всіх видів відомих атак на веб-додатки.
- 1С-Бітрікс на даний момен є найперспективнішою на російському ринку CMS-системою, показуючи найкращий темп зростання.
- Функціоналу продукту цілком достатньо для створення складних корпоративних сайтів, інформаційних та довідкових порталів, інтернет-магазинів, сайтів ЗМІ, а також для створення практично будь-яких інших видів веб-ресурсів.
Створення сайтів на основі 1С-Бітрікс, а також переклад вже наявних ресурсів на движок продукту - один з варіантів вирішення цілої низки проблем безпеки, в першу чергу питань уразливості, мова про які і піде далі.
Сайт вже створено - вразливий він?
Перевірка наявного веб-ресурсу на наявність уразливості - справа дуже трудомістка. Процес не обмежується безпосереднім скануванням - сайт ще треба переробити, дірки заткнути, а ряд питань і зовсім доведеться вирішувати на стороні провайдера. Отже, сканери вразливостей.
Сканери вразливостей - це спеціальні програми, призначені для аналізу захищеності мережі шляхом сканування і зондування мережевих ресурсів і виявлення їх вразливостей. Простіше кажучи, сканер шукає типові діри і проломи безпеки, полегшуючи тим самим життя не тільки власників веб-сайтів, але і хакерів. Всі сканери вразливостей можна класифікувати в залежності від методики роботи на 3 групи:
- Локальні - встановлюються безпосередньо на підприємстві, що перевіряється вузлі і обеспесівают високу достовірність. Працюють від імені облікового запису з максимальними привілеями і використовують тільки один метод пошуку вразливостей - порівняння атрибутів файлів.
- Пасивні - як джерело даних використовують мережевий трафік, однак, на відміну від мережевих, дозволяють мінімізувати вплив сканера на уразливості. В даний час слабо поширені, але виглядають дуже перспективно.
- Мережеві - найпопулярніші на сьогоднішній день. Виконують перевірки дистанційно, підключаючись через мережеві сервіси.
Виробників сканерів вразливостей багато, існує маса оглядів і тестувань, що виділяють продукт тієї чи іншої фірми. Перерахуємо кілька найбільш поширених сканерів: Nessus, XSpider, IBM Internet Scanner, Retina, Shadow Security Scanner, Acunetix, N-Stealth.
XSpider (на зміну якого приходить MaxPatrol) - сканер від російського виробника Positive Technologies. Він володіє воістину великим списком можливостей - евристичний аналіз і визначення типу серверів, повне сканування портів і відображення сервісів, перевірка на стандартні паролі, аналіз на SQL ін'єкції, XSS атаки, і практично щоденний апдейт вразливостей. У порівнянні з конкурентами, сканер демонструє більш якісну ідентифікацію сервісів і додатків, забезпечуючи як наслідок більше і більш точне визначення вразливостей при мінімальному відсотку помилкових повідомлень. Продукт є одним з кращих рішень не тільки на російській, а й на світовій сцені, тому ми вирішили виділити саме його.
Що потрібно міняти?
Забезпечення безпеки веб-ресурсу - це процес, що поєднує в собі певний набір дій. Сформована система спершу досліджується на предмет безпеки, потім визначається ряд заходів і робіт, що проробляються для досягнення цієї безпеки. Це можуть бути і послуги програмістів, що розробляють або оптимізують сайт, і послуги інженерів, які вирішують технічні питання, і, безумовно, якийсь набір організаційних заходів. Все залежить тільки від бажання і можливостей замовника.
Що трапилося або що загрожує статися?Що робити?
Сайт вже створено - вразливий він?
Що потрібно міняти?
Що трапилося або що загрожує статися?
Отже, що ж загрожує?
Що робити?
То яку CMS варто вибрати?
Сайт вже створено - вразливий він?
Що потрібно міняти?