Классификатор угроз безопасности Интернет (Web- приложений)

Организация WASC (Web Application Security Consortium) пытается стандартизировать термины описания угроз безопасности Web- приложений, что дает возможность разработчикам, специалистам в области безопасности, производителям программных продуктов и аудиторам использовать единый язык при своем взаимодействии. В настоящее время существует вторая версия классификатора от WASC, она доступна по ссылке The WASC Threat Classification v2.0 или в виде PDF файла WASC-TC-v2_0.pdf.

Attacks (Атака)

Weaknesses (Слабые стороны; Слабость защитных механизмов)

  • Application Misconfiguration
  • Directory Indexing
  • Improper Filesystem Permissions
  • Improper Input Handling
  • Information Leakage
  • Insufficient Anti-automation
  • Insufficient Authentication
  • Insufficient Authorization
  • Insufficient Password Recovery
  • Insufficient Process Validation
  • Insufficient Session Expiration
  • Insufficient Transport Layer Protection
  • Server Misconfiguration

Ас­пекты безопасности

Безопасность в среде Интернет включает в себя много различных ас­пектов:

  • система защиты Web- сервера;
  • безопасность баз данных;
  • проверка данных, вводимых пользователями;
  • приемы и методы шифрования. Часто инструменты для шифрования информации имеют собственные уязвимости, из-за чего применение сильной криптографии теряет смысл.

Что нужно проверять:

  • Корректность данных, вводимых пользователем (например, удаление пробельных символов - PHP: trim()).
  • Проверка обязательности заполнения поля (PHP: функция empty($_POST['pid'])
  • Проверка числовых значений. Если поле предназначено для ввода только целых чисел, то самым простым способом обезопасить скрипт в PHP является обработка вводимого значения при помощи функции intval(), которая приводит любой аргумент к целому числу (или к О, если это невозможно). Или использовать регулярные выражения (Шпаргалка RegExp: Метасимволы, Максимализм квантификатора, Алфавиты и блоки).
  • Передача поль­зовательских файлов на сервер. Нужно запрещать загрузку всех файлов кроме непосредственно разрешенных. Можно осуществлять проверку типа загружаемого файла $_FILES['attachement']['type']. Указать серверу Apache рассматривать все загруженные пользовательские файлы как текстовые, для этого в директории где хранятся пользовательские файлы создается файл Настройка .htaccess в котором переопределяются обработчики для PHP и Perl.
  • Шифрование: Алгоритм MD5. В БД должны храниться зашифрованные пользовательские данные (например пароли).

Примеры наиболее распространенных атак на веб-сайты:

  • Подмена главной страницы сайта (Content Spoofing) — одна из самых частых форм взлома. Заместо привычного содержимого на обложке сайта будет красоваться все что угодно — от имени злостного хакера до банальных оскорблений.
  • Удаление файловой системы — вся информация попросту пропадает, что становится провальным в случае отсутствия сохраненной копии ресурса. Стоит отметить, что пропасть может и база клиентских паролей, а также прочие данные, имеющие критичную ценность.
  • Подмена информации — злоумышленники могут подменить телефон или другие данные организации. В этом случае ваши клиенты автоматически становятся клиентами злоумышленников.
  • Размещение троянских программ — в этом случае скорее всего вы не заметите визит хакера, по крайней мере все будет на это нацелено. Вредоносные программы могут выполнять разнообразные функции — осуществлять переадресацию на сайт злоумышленников, воровать персональные данные клиентов, заражать посетителей вирусами и так далее.
  • Рассылка спама — ваш сайт могут использовать для рассылки спама, в этом случае ваша «настоящая» корреспонденция не будет доходить до адресата, так как домен вашей организации практически сразу будет внесен в централизованную базу данных спамеров.
  • Создание высокой нагрузки — отправление в адрес веб-сервера заведомо некорректных запросов или иные действия извне, результатом которых будет затруднение доступа к сайту или падение операционной системы сервера. Такой вид атаки очень широко распространен в интернете.

Ссылки

PQ VPS сервера в 28+ странах.