Классификатор угроз безопасности Интернет (Web- приложений)
Организация WASC (Web Application Security Consortium) пытается стандартизировать термины описания угроз безопасности Web- приложений, что дает возможность разработчикам, специалистам в области безопасности, производителям программных продуктов и аудиторам использовать единый язык при своем взаимодействии. В настоящее время существует вторая версия классификатора от WASC, она доступна по ссылке The WASC Threat Classification v2.0 или в виде PDF файла WASC-TC-v2_0.pdf.
Attacks (Атака)
- Abuse of Functionality. DoS атаки через Abuse of Functionality уразливості. Редиректори на популярних сайтах №3
- Brute Force
- Buffer Overflow
- Content Spoofing
- Credential/Session Prediction
- Improper Output Handling
- Уязвимость Cross-site Scripting (XSS). XSS. Межсайтовый скриптинг (межсайтовое выполнение сценариев).
- Cross-Site Request Forgery. CSRF. Використання сайтів для атак на інші сайти
- Insecure Indexing
- Denial of Service
- Fingerprinting
- Format String
- HTTP Response Smuggling
- HTTP Response Splitting
- HTTP Request Smuggling
- HTTP Request Splitting
- Integer Overflows
- LDAP Injection
- Mail Command Injection
- Null Byte Injection
- OS Commanding
- Path Traversal
- Predictable Resource Location
- Remote File Inclusion (RFI)
- Routing Detour
- Session Fixation
- SOAP Array Abuse
- SSI Injection
- Что такое SQL Injection защита. Внедрение операторов SQL.
- URL Redirector Abuse
- XPath Injection
- XML Attribute Blowup
- XML External Entities
- XML Entity Expansion
- XML Injection
- XQuery Injection
- Атака типа clickjacking (захват клика)
Weaknesses (Слабые стороны; Слабость защитных механизмов)
- Application Misconfiguration
- Directory Indexing
- Improper Filesystem Permissions
- Improper Input Handling
- Information Leakage
- Insufficient Anti-automation
- Insufficient Authentication
- Insufficient Authorization
- Insufficient Password Recovery
- Insufficient Process Validation
- Insufficient Session Expiration
- Insufficient Transport Layer Protection
- Server Misconfiguration
Аспекты безопасности
Безопасность в среде Интернет включает в себя много различных аспектов:
- система защиты Web- сервера;
- безопасность баз данных;
- проверка данных, вводимых пользователями;
- приемы и методы шифрования. Часто инструменты для шифрования информации имеют собственные уязвимости, из-за чего применение сильной криптографии теряет смысл.
Что нужно проверять:
- Корректность данных, вводимых пользователем (например, удаление пробельных символов - PHP: trim()).
- Проверка обязательности заполнения поля (PHP: функция empty($_POST['pid'])
- Проверка числовых значений. Если поле предназначено для ввода только целых чисел, то самым простым способом обезопасить скрипт в PHP является обработка вводимого значения при помощи функции intval(), которая приводит любой аргумент к целому числу (или к О, если это невозможно). Или использовать регулярные выражения (Шпаргалка RegExp: Метасимволы, Максимализм квантификатора, Алфавиты и блоки).
- Передача пользовательских файлов на сервер. Нужно запрещать загрузку всех файлов кроме непосредственно разрешенных. Можно осуществлять проверку типа загружаемого файла $_FILES['attachement']['type']. Указать серверу Apache рассматривать все загруженные пользовательские файлы как текстовые, для этого в директории где хранятся пользовательские файлы создается файл Настройка .htaccess в котором переопределяются обработчики для PHP и Perl.
- Шифрование: Алгоритм MD5. В БД должны храниться зашифрованные пользовательские данные (например пароли).
Примеры наиболее распространенных атак на веб-сайты:
- Подмена главной страницы сайта (Content Spoofing) — одна из самых частых форм взлома. Заместо привычного содержимого на обложке сайта будет красоваться все что угодно — от имени злостного хакера до банальных оскорблений.
- Удаление файловой системы — вся информация попросту пропадает, что становится провальным в случае отсутствия сохраненной копии ресурса. Стоит отметить, что пропасть может и база клиентских паролей, а также прочие данные, имеющие критичную ценность.
- Подмена информации — злоумышленники могут подменить телефон или другие данные организации. В этом случае ваши клиенты автоматически становятся клиентами злоумышленников.
- Размещение троянских программ — в этом случае скорее всего вы не заметите визит хакера, по крайней мере все будет на это нацелено. Вредоносные программы могут выполнять разнообразные функции — осуществлять переадресацию на сайт злоумышленников, воровать персональные данные клиентов, заражать посетителей вирусами и так далее.
- Рассылка спама — ваш сайт могут использовать для рассылки спама, в этом случае ваша «настоящая» корреспонденция не будет доходить до адресата, так как домен вашей организации практически сразу будет внесен в централизованную базу данных спамеров.
- Создание высокой нагрузки — отправление в адрес веб-сервера заведомо некорректных запросов или иные действия извне, результатом которых будет затруднение доступа к сайту или падение операционной системы сервера. Такой вид атаки очень широко распространен в интернете.
Ссылки
- WASC (Web Application Security Consortium).
- OWASP (Open Web Application Security Project). Cheat Sheets from OWASP.
- Классификация угроз безопасности Web-приложений - существует часть переводов на русский язык WASC.
📌 Для тестирования скриптов, установщиков VPN, Python ботов рекомендуем использовать надежные VPS на короткий срок. Если вам нужна помощь с более сложными задачами, вы можете найти фрилансера, который поможет с настройкой. Узнайте больше о быстрой аренде VPS для экспериментов и о фриланс-бирже для настройки VPS, WordPress. 📌
💥 Подпишись в Телеграм 💥 и задай вопрос по сайтам и хостингам бесплатно!7 Самых Популярных Статей
- Как запустить скрипты и веб-приложения на Python
- Что такое страны TIER 1,2,3
- 7 способов сравнения файлов по содержимому в Windows или Linux
- Установка и тестирование веб-панели HestiaCP
- Китайский VPN Shadowsocks простая установка и настройка
- top, htop, atop определение загрузки ОС (Load average, LA)
- Использование rsync в примерах