• Главная
  • Карта сайта
Не найдено

Безпека Web-додатків. Захист сайтів та Web-проектів. - ProtectMe

  1. Що трапилося або що загрожує статися?
  2. Що робити?
  3. Сайт вже створено - вразливий він?
  4. Що потрібно міняти?

Що трапилося або що загрожує статися?

Варіантів атак на веб-ресурс, як і наслідків цих атак, безліч. А цілей як завжди тільки дві - слава з банальної радістю від показу власних можливостей, і всюдисуща вигода, що виявляється у вигляді прямої або непрямої матеріальної наживи, простіше кажучи грошей. Отже, що ж загрожує? Ось приклад найбільш поширених атак на веб-сайти:

  • Підміна головної сторінки сайту - одна з найчастіших форм злому. Замість звичного вмісту на обкладинці сайту буде красуватися все що завгодно - від імені злісного хакера до банальних образ.
  • Видалення файлової системи - вся інформація просто пропадає, що стає провальним в разі відсутності збереженої копії ресурсу. Варто відзначити, що прірва може і база клієнтських паролів, а також інші дані, що мають критичну цінність.
  • Підміна інформації - зловмисники можуть підмінити телефон або інші дані організації. У цьому випадку ваші клієнти автоматично стають клієнтами зловмисників.
  • Розміщення троянських програм - в цьому випадку швидше за все ви не помітите візит хакера, принаймні все буде на це націлено. Шкідливі програми можуть виконувати різноманітні функції - здійснювати переадресацію на сайт зловмисників, красти персональні дані клієнтів, заражати відвідувачів вірусами і так далі.
  • Розсилка спаму - ваш сайт можуть використовувати для розсилки спаму, в цьому випадку ваша «справжня» кореспонденція НЕ буде доходити до адресата, так як домен вашої організації практично відразу буде внесений в централізовану базу даних спамерів.
  • Створення високого навантаження - відправлення на адресу веб-сервера свідомо некоректних запитів чи інші дії ззовні, результатом яких буде утруднення доступу до сайту або падіння операційної системи сервера. Такий вид атаки дуже широко поширений в інтернеті.

Наслідком всіх перерахованих різновидів атак є не тільки тимчасове припинення працездатності ресурсу, але і втрата довіри до веб-сайту в очах клієнтів. Користувач, який заразився шкідливим кодом на вашому ресурсі, або перенаправлений з вашого сайту на сайт сумнівного змісту, навряд чи коли-небудь знову наважиться набрати вашу адресу в рядку браузера.

Що робити?

Питанням безпеки веб-сайту можна задатися вже на етапі розробки. Існує безліч CMS-систем (Content Management System - система управління вмістом), що представляють собою якийсь шаблон, який спрощує управління і розробку сайту. Весь спектр CSM систем можна поділити на відкриті (безкоштовні) і пропрієтарні. Серед відкритих можна виділити Drupal, Mambo, Joomla і Typo3, серед платних - 1С-Бітрікс, NetCat, Amiro.CMS. Всі вони є в тій чи іншій мірі безпечними, мають ряд переваг і недоліків. То яку CMS варто вибрати? Безумовно це питання залишається на розгляді в кожному конкретному випадку, однак статистика говорить про те, що в Росії переважна більшість веб-студій, що використовують сторонні розробки для створення сайтів, користуються продуктом 1С-Бітрікс. За це говорить ряд чинників:

  • Об'єднавшись з фірмою 1C, Бітрікс негласного перетворився в національний стандарт веб-розробки на основі CMS.
  • 1С-Бітрікс має сертифікат безпеки від компанії Positive Technologies (мова про яку піде далі), що підтверджує невразливість системи до всіх видів відомих атак на веб-додатки.
  • 1С-Бітрікс на даний момен є найперспективнішою на російському ринку CMS-системою, показуючи найкращий темп зростання.
  • Функціоналу продукту цілком достатньо для створення складних корпоративних сайтів, інформаційних та довідкових порталів, інтернет-магазинів, сайтів ЗМІ, а також для створення практично будь-яких інших видів веб-ресурсів.

Створення сайтів на основі 1С-Бітрікс, а також переклад вже наявних ресурсів на движок продукту - один з варіантів вирішення цілої низки проблем безпеки, в першу чергу питань уразливості, мова про які і піде далі.

Сайт вже створено - вразливий він?

Перевірка наявного веб-ресурсу на наявність уразливості - справа дуже трудомістка. Процес не обмежується безпосереднім скануванням - сайт ще треба переробити, дірки заткнути, а ряд питань і зовсім доведеться вирішувати на стороні провайдера. Отже, сканери вразливостей.

Сканери вразливостей - це спеціальні програми, призначені для аналізу захищеності мережі шляхом сканування і зондування мережевих ресурсів і виявлення їх вразливостей. Простіше кажучи, сканер шукає типові діри і проломи безпеки, полегшуючи тим самим життя не тільки власників веб-сайтів, але і хакерів. Всі сканери вразливостей можна класифікувати в залежності від методики роботи на 3 групи:

  • Локальні - встановлюються безпосередньо на підприємстві, що перевіряється вузлі і обеспесівают високу достовірність. Працюють від імені облікового запису з максимальними привілеями і використовують тільки один метод пошуку вразливостей - порівняння атрибутів файлів.
  • Пасивні - як джерело даних використовують мережевий трафік, однак, на відміну від мережевих, дозволяють мінімізувати вплив сканера на уразливості. В даний час слабо поширені, але виглядають дуже перспективно.
  • Мережеві - найпопулярніші на сьогоднішній день. Виконують перевірки дистанційно, підключаючись через мережеві сервіси.

Виробників сканерів вразливостей багато, існує маса оглядів і тестувань, що виділяють продукт тієї чи іншої фірми. Перерахуємо кілька найбільш поширених сканерів: Nessus, XSpider, IBM Internet Scanner, Retina, Shadow Security Scanner, Acunetix, N-Stealth.

XSpider (на зміну якого приходить MaxPatrol) - сканер від російського виробника Positive Technologies. Він володіє воістину великим списком можливостей - евристичний аналіз і визначення типу серверів, повне сканування портів і відображення сервісів, перевірка на стандартні паролі, аналіз на SQL ін'єкції, XSS атаки, і практично щоденний апдейт вразливостей. У порівнянні з конкурентами, сканер демонструє більш якісну ідентифікацію сервісів і додатків, забезпечуючи як наслідок більше і більш точне визначення вразливостей при мінімальному відсотку помилкових повідомлень. Продукт є одним з кращих рішень не тільки на російській, а й на світовій сцені, тому ми вирішили виділити саме його.

Що потрібно міняти?

Забезпечення безпеки веб-ресурсу - це процес, що поєднує в собі певний набір дій. Сформована система спершу досліджується на предмет безпеки, потім визначається ряд заходів і робіт, що проробляються для досягнення цієї безпеки. Це можуть бути і послуги програмістів, що розробляють або оптимізують сайт, і послуги інженерів, які вирішують технічні питання, і, безумовно, якийсь набір організаційних заходів. Все залежить тільки від бажання і можливостей замовника.

Що трапилося або що загрожує статися?
Що робити?
Сайт вже створено - вразливий він?
Що потрібно міняти?
Що трапилося або що загрожує статися?
Отже, що ж загрожує?
Що робити?
То яку CMS варто вибрати?
Сайт вже створено - вразливий він?
Що потрібно міняти?
Новости
Провайдеры:
  • 08.09.2015

    Batyevka.NET предоставляет услуги доступа к сети Интернет на территории Соломенского района г. Киева.Наша миссия —... 
    Читать полностью

  • 08.09.2015
    IPNET

    Компания IPNET — это крупнейший оператор и технологический лидер на рынке телекоммуникаций Киева. Мы предоставляем... 
    Читать полностью

  • 08.09.2015
    Boryspil.Net

    Интернет-провайдер «Boryspil.net» начал свою работу в 2008 году и на данный момент является одним из крупнейших поставщиков... 
    Читать полностью

  • 08.09.2015
    4OKNET

    Наша компания работает в сфере телекоммуникационных услуг, а именно — предоставлении доступа в сеть интернет.Уже... 
    Читать полностью

  • 08.09.2015
    Телегруп

    ДП «Телегруп-Украина» – IT-компания с 15-летним опытом работы на рынке телекоммуникационных услуг, а также официальный... 
    Читать полностью

  • 08.09.2015
    Софтлинк

    Высокая скоростьМы являемся участником Украинского центра обмена трафиком (UA — IX) с включением 10 Гбит / сек... 
    Читать полностью