Инструменты пользователя

Инструменты сайта


klassifikator_ugroz_bezopasnosti

Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

klassifikator_ugroz_bezopasnosti [2018/12/25 21:33] (текущий)
Строка 1: Строка 1:
 +====== Классификатор угроз безопасности ======
 +  * **Классификатор угроз безопасности Интернет (Web- приложений)**
 +Организация [[http://​www.webappsec.org|WASC]] (Web Application Security Consortium) пытается стандартизировать термины описания угроз безопасности Web- приложений,​ что дает возможность разработчикам,​ специалистам в области безопасности,​ производителям программных продуктов и аудиторам использовать единый язык при своем взаимодействии. В настоящее время существует вторая версия классификатора от WASC, она доступна по ссылке [[http://​projects.webappsec.org/​w/​page/​13246978/​Threat%20Classification|The WASC Threat Classification v2.0]] или в виде PDF файла [[http://​projects.webappsec.org/​f/​WASC-TC-v2_0.pdf|WASC-TC-v2_0.pdf]].
  
 +**Attacks (Атака)**
 +  * Abuse of Functionality. [[http://​websecurity.com.ua/​2981/​|DoS атаки через Abuse of Functionality уразливості]]. [[http://​websecurity.com.ua/​2591/​|Редиректори на популярних сайтах №3]]
 +  * Brute Force
 +  * Buffer Overflow
 +  * Content Spoofing
 +  * Credential/​Session Prediction
 +  * Improper Output Handling
 +  * [[Cross-Site Scripting]]. XSS. Межсайтовый скриптинг (межсайтовое выполнение сценариев).
 +  * Cross-Site Request Forgery. [[wpru>​CSRF]]. [[http://​websecurity.com.ua/​4322/​|Використання сайтів для атак на інші сайти]]
 +  * Insecure Indexing
 +  * Denial of Service
 +  * Fingerprinting
 +  * Format String
 +  * HTTP Response Smuggling
 +  * HTTP Response Splitting
 +  * HTTP Request Smuggling
 +  * HTTP Request Splitting
 +  * Integer Overflows
 +  * LDAP Injection
 +  * Mail Command Injection
 +  * Null Byte Injection
 +  * OS Commanding
 +  * Path Traversal
 +  * Predictable Resource Location
 +  * Remote File Inclusion (RFI)
 +  * Routing Detour
 +  * Session Fixation
 +  * SOAP Array Abuse
 +  * SSI Injection
 +  * [[SQL Injection]]. Внедрение операторов [[SQL]].
 +  * URL Redirector Abuse
 +  * XPath Injection
 +  * XML Attribute Blowup
 +  * XML External Entities
 +  * XML Entity Expansion
 +  * XML Injection
 +  * XQuery Injection ​
 +
 +**Weaknesses(Слабые стороны;​ Слабость защитных механизмов)**
 +  * Application Misconfiguration
 +  * Directory Indexing
 +  * Improper Filesystem Permissions
 +  * Improper Input Handling
 +  * Information Leakage
 +  * Insufficient Anti-automation
 +  * Insufficient Authentication
 +  * Insufficient Authorization
 +  * Insufficient Password Recovery
 +  * Insufficient Process Validation
 +  * Insufficient Session Expiration
 +  * Insufficient Transport Layer Protection
 +  * Server Misconfiguration
 +
 +====== Ас­пекты безопасности ======
 +Безопасность в среде Интернет включает в себя много различных ас­пектов:​
 +  * система защиты Web- сервера;​
 +  * безопасность баз данных;​
 +  * проверка данных,​ вводимых пользователями;​
 +  * приемы и методы шифрования. Часто инструменты для шифрования информации имеют собственные уязвимости,​ из-за чего применение сильной криптографии теряет смысл.
 +
 +Что нужно проверять:​
 +  * **Корректность данных**,​ вводимых пользователем (например,​ удаление пробельных символов - PHP: trim()).
 +  * **Проверка обязательности заполнения поля** ([[PHP]]: функция empty($_POST['​pid'​])
 +  * **Проверка числовых значений**. Если поле предназначено для ввода только целых чисел, то самым простым способом обезопасить скрипт в PHP является обработка вводимого значения при помощи функции intval(), которая приводит любой аргумент к целому числу (или к О, если это невозможно). Или использовать регулярные выражения ([[RegExp]]).
 +  * **Передача поль­зовательских файлов на сервер**. Нужно запрещать загрузку всех файлов кроме непосредственно разрешенных. Можно осуществлять проверку типа загружаемого файла $_FILES['​attachement'​]['​type'​]. Указать серверу [[Apache]] рассматривать все загруженные пользовательские файлы как текстовые,​ для этого в директории где хранятся пользовательские файлы создается файл [[.htaccess]] в котором переопределяются обработчики для PHP и Perl.
 +  * Шифрование:​ [[MD5]]. В БД должны храниться зашифрованные пользовательские данные (например пароли).
 +
 +
 +**Примеры наиболее распространенных атак на веб-сайты**:​
 +  * Подмена главной страницы сайта (Content Spoofing) — одна из самых частых форм взлома. Заместо привычного содержимого на обложке сайта будет красоваться все что угодно — от имени злостного хакера до банальных оскорблений.
 +  * Удаление файловой системы — вся информация попросту пропадает,​ что становится провальным в случае отсутствия сохраненной копии ресурса. Стоит отметить,​ что пропасть может и база клиентских паролей,​ а также прочие данные,​ имеющие критичную ценность.
 +  * Подмена информации — злоумышленники могут подменить телефон или другие данные организации. В этом случае ваши клиенты автоматически становятся клиентами злоумышленников.
 +  * Размещение троянских программ — в этом случае скорее всего вы не заметите визит хакера,​ по крайней мере все будет на это нацелено. Вредоносные программы могут выполнять разнообразные функции — осуществлять переадресацию на сайт злоумышленников,​ воровать персональные данные клиентов,​ заражать посетителей вирусами и так далее.
 +  * Рассылка спама — ваш сайт могут использовать для рассылки спама, в этом случае ваша «настоящая» корреспонденция не будет доходить до адресата,​ так как домен вашей организации практически сразу будет внесен в централизованную базу данных спамеров.
 +  * Создание высокой нагрузки — отправление в адрес веб-сервера заведомо некорректных запросов или иные действия извне, результатом которых будет затруднение доступа к сайту или падение операционной системы сервера. Такой вид атаки очень широко распространен в интернете. ​
 +====== Ссылки ======
 +  * [[http://​www.webappsec.org|WASC]] (Web Application Security Consortium).
 +  * [[https://​www.owasp.org/​index.php/​Cheat_Sheets|OWASP]] (Open Web Application Security Project). Cheat Sheets from OWASP.
 +  * [[http://​www.infosecurity.ru/​iprotect/​websec/​classification/​|Классификация угроз безопасности Web-приложений]] - существует часть переводов на русский язык WASC.
 +  * [[http://​www.cert.gov.ua/​|CERT-UA Рекомендації щодо підвищення рівня захищеності інформаційно-телекомунікаційних систем та інформаційних ресурсів державних органів і установ від несанкціонованих дій зі сторони мережі Інтернет]]
загрузка...
klassifikator_ugroz_bezopasnosti.txt · Последние изменения: 2018/12/25 21:33 (внешнее изменение)