Пятница, 15.11.2024
Autograph
Главная | Регистрация | ВходПриветствую Вас Гость | RSS
Меню сайта
Форма входа
Опрос
Чего не хватает на сайте?
Результаты | Архив опросов
Всего ответов: 3
Безопасность веб-проектов. Защита сайтов от взломов и атак.


Практика показывает, что данная тематика зачастую вызывает интерес у людей только тогда, когда что-нибудь случается. До этого момента все считают, что лучшее средство безопасности это либо не знать, что что-то может произойти.
Для начала поговорим о самой сути вещей. На сегодняшний момент сайт это часть инфраструктуры предприятия. Он также плотно ассоциируется с брендом компании, как визитка, логотип или что-либо подобное. Взломанный сайт-это удар по репутации и имиджу компании. Например, в крупных компаниях, которые котируются на бирже, появление уязвимости вызывало колебание курса акций. Обстоятельства могут доходить даже до таких вещей.


Когда сайт - это имидж и репутация компании.

 Безопасность веб-проектов.

Сайт - часть корпоративной инфраструктуры.
Взлом корпоративного сайта - это удар по репутации и имиджу компании. Очень неприятное в подобных событиях - огласка происшествия. Но потеря данных, информации о клиентах - это уже прямые убытки. И огласка таких происшествий происходит далеко не всегда.
Чем серьёзнее компания и известнее её имя и продукты, тем существеннее бывают риски и убытки от взлома корпоративного портала.

Что угрожает вашему сайту?

Потенциальные угрозы.

•Взлом информационной среды (операционная система, веб - сервер, среда программирования, база данных)
•Взлом системы управления корпоративным порталом
•Взлом сторонних веб-приложений

Уровни риска.

Степень угроз можно разделить на три уровня риска:
Минимальный - получение доступа к не конфиденциальной информации, к которой не санкционирован доступ, возможность создания косметических проблем и помех в работе проекта.
Средний уровень - получение частичного доступа к конфиденциальной информации, частичный обход системы авторизации расширяющий полномочия.
Высокий уровень - полный обход системы авторизации, получение неограниченного доступа к системе или приложению, возможность просмотра или подмены конфиденциальной информации.

 Уязвимости веб-проектов.

Автоматизированный подбор
•Недостаточная аутентификация (Insuffcient Authentication)
•Небезопасное восстановление паролей (Weak Password recovery Validation)


Авторизация
•предсказуемое значение сессии (Credential/Session Prediction)
•Недостаточная авторизация (Insufficiend Authorization)
•Отсутствие таймаута сессии (Insufficiend Session Expiration)
•Фиксация сессии (Session Fixation)


Атаки на клиента
•Подмена содержимого (Content Spofing)
•Межсайтовое выполнение сценариев (Cross-site Scriptin-XSS)


Выполнение кода
•переполнение буфера (Buffer Overflow)
•Атака на функции форматирования строк (Format String Attack)
•Внедрение операторов (LDAP Injection)
•Выполнение команд OC (OS Commanding)
•Внедрение команд SQL (SQL Injection)
•Внедрение серверных расширений (SSI Injection)
•Внедрение операторов XPath (XPath Injection)


 Разглашение информации
•Индексирование директорий (Directory Indexing)
•утечка информации (Information Leakage)
•Обратный путь в директориях (Path Traversal)
•Предсказуемое расположение ресурсов (Predictable Resource Location)


Логические атаки
•Злоупотребление функциями (Abuse of Functionality)
•Отказ в обслуживании (Denial of Service)
•Недостаточное противодействие автоматизации (Insufficient Anti-automation)
•Недостаточная проверка процесса (Insufficient Process Validation)

 Безопасность веб-проектов

Портал является традиционным программным приложением, которое работает в рамках операционной системы и серверного программного обеспечения, использует сервисные функции операционной системы и других программных продуктов.


Составляющие веб-проекта:

•Информационная среда
•Операционная система
•Веб-сервер
•Среда программирования
•База данных
•Система управления порталом
•Сторонние веб-приложения

Иногда порталы состоят из веб-приложений разных разработчиков (с многочисленными паролями, различными требованиями). В многосайтовом веб-проекте подобная ситуация создаёт серьёзные проблемы.

 Как защитить сайт?

•Для защиты инфосреды веб-проекта необходимо использовать специальные средства мониторинга.
•Требуйте аудита веб-приложений у разработчиков.
•Если сайт разработан студией дизайна, изучайте политику безопасности.

Аудит безопасности

•Для обеспечения высокого уровня защищённости закажите независимый аудит информационной безопасности у сторонних компаний.
•Непрерывный аудит обеспечит независимый экспертный надзор и сохранит уровень безопасности сайта на высоком достигнутом уровне.
•Использование алгоритмов шифрации позволяет исключить целый класс потенциальных рисков, связанных с возможностью перехвата информации в канале передачи. промышленным стандартом для защиты веб-приложений является SSL-шифрация в рамках протокола  HTTPS. Данный протокол поддерживается всеми браузерами и не требует установки дополнительных компонентов для клиентов.

 Рекомендации

Обеспечение безопасности информационной среды - задача сложная и ответственная.


•Для обеспечения более высокого уровня безопасности ваших интернет-проектов необходимо комплексно подойти к обеспечению безопасности информационной среды и веб-приложений.
•Поручите задачу обеспечения безопасности дата-центру или хостинг-провайдеру
•Используйте внешние программы для надёжного мониторинга информационной среды.
Поиск
Друзья сайта
  • Официальный блог
  • Сообщество uCoz
  • FAQ по системе
  • Инструкции для uCoz
    • .
    поиск программ на Allsoft.ru
    софт в Allsoft.ru
    Autograph © 2024