Различия

Показаны различия между двумя версиями страницы.


Предыдущая версия
klassifikator_ugroz_bezopasnosti [2025/07/06 12:39] (текущий) – внешнее изменение 127.0.0.1
Строка 1: Строка 1:
 +====== Классификатор угроз безопасности Интернет (Web- приложений) ======
  
 +Организация [[http://www.webappsec.org|WASC]] (Web Application Security Consortium) пытается стандартизировать термины описания угроз безопасности Web- приложений, что дает возможность разработчикам, специалистам в области безопасности, производителям программных продуктов и аудиторам использовать единый язык при своем взаимодействии. В настоящее время существует вторая версия классификатора от WASC, она доступна по ссылке [[http://projects.webappsec.org/w/page/13246978/Threat%20Classification|The WASC Threat Classification v2.0]] или в виде PDF файла [[http://projects.webappsec.org/f/WASC-TC-v2_0.pdf|WASC-TC-v2_0.pdf]].
 +
 +**Attacks (Атака)**
 +  * Abuse of Functionality. [[http://websecurity.com.ua/2981/|DoS атаки через Abuse of Functionality уразливості]]. [[http://websecurity.com.ua/2591/|Редиректори на популярних сайтах №3]]
 +  * Brute Force
 +  * Buffer Overflow
 +  * Content Spoofing
 +  * Credential/Session Prediction
 +  * [[CLDAP/DNS-Amplification]]
 +  * Improper Output Handling
 +  * [[Cross-Site Scripting]]. XSS. Межсайтовый скриптинг (межсайтовое выполнение сценариев).
 +  * Cross-Site Request Forgery. [[wpru>CSRF]]. [[http://websecurity.com.ua/4322/|Використання сайтів для атак на інші сайти]]
 +  * Insecure Indexing
 +  * Denial of Service
 +  * Fingerprinting
 +  * Format String
 +  * HTTP Response Smuggling
 +  * HTTP Response Splitting
 +  * HTTP Request Smuggling
 +  * HTTP Request Splitting
 +  * Integer Overflows
 +  * LDAP Injection
 +  * Mail Command Injection
 +  * Null Byte Injection
 +  * OS Commanding
 +  * Path Traversal
 +  * Predictable Resource Location
 +  * Remote File Inclusion (RFI)
 +  * Routing Detour
 +  * Session Fixation
 +  * SOAP Array Abuse
 +  * SSI Injection
 +  * [[SQL Injection]]. Внедрение операторов [[SQL]].
 +  * URL Redirector Abuse
 +  * XPath Injection
 +  * XML Attribute Blowup
 +  * XML External Entities
 +  * XML Entity Expansion
 +  * XML Injection
 +  * XQuery Injection
 +  * Атака типа [[iframe|clickjacking]] (захват клика)
 +
 +**Weaknesses (Слабые стороны; Слабость защитных механизмов)**
 +  * Application Misconfiguration
 +  * Directory Indexing
 +  * Improper Filesystem Permissions
 +  * Improper Input Handling
 +  * Information Leakage
 +  * Insufficient Anti-automation
 +  * Insufficient Authentication
 +  * Insufficient Authorization
 +  * Insufficient Password Recovery
 +  * Insufficient Process Validation
 +  * Insufficient Session Expiration
 +  * Insufficient Transport Layer Protection
 +  * Server Misconfiguration
 +
 +====== Ас­пекты безопасности ======
 +Безопасность в среде Интернет включает в себя много различных ас­пектов:
 +  * система защиты Web- сервера;
 +  * безопасность баз данных;
 +  * проверка данных, вводимых пользователями;
 +  * приемы и методы шифрования. Часто инструменты для шифрования информации имеют собственные уязвимости, из-за чего применение сильной криптографии теряет смысл.
 +
 +Что нужно проверять:
 +  * **Корректность данных**, вводимых пользователем (например, удаление пробельных символов - PHP: trim()).
 +  * **Проверка обязательности заполнения поля** ([[PHP]]: функция empty($_POST['pid'])
 +  * **Проверка числовых значений**. Если поле предназначено для ввода только целых чисел, то самым простым способом обезопасить скрипт в PHP является обработка вводимого значения при помощи функции intval(), которая приводит любой аргумент к целому числу (или к О, если это невозможно). Или использовать регулярные выражения ([[RegExp]]).
 +  * **Передача поль­зовательских файлов на сервер**. Нужно запрещать загрузку всех файлов кроме непосредственно разрешенных. Можно осуществлять проверку типа загружаемого файла $_FILES['attachement']['type']. Указать серверу [[Apache]] рассматривать все загруженные пользовательские файлы как текстовые, для этого в директории где хранятся пользовательские файлы создается файл [[.htaccess]] в котором переопределяются обработчики для PHP и Perl.
 +  * Шифрование: [[MD5]]. В БД должны храниться зашифрованные пользовательские данные (например пароли).
 +
 +
 +**Примеры наиболее распространенных атак на веб-сайты**:
 +  * Подмена главной страницы сайта (Content Spoofing) — одна из самых частых форм взлома. Заместо привычного содержимого на обложке сайта будет красоваться все что угодно — от имени злостного хакера до банальных оскорблений.
 +  * Удаление файловой системы — вся информация попросту пропадает, что становится провальным в случае отсутствия сохраненной копии ресурса. Стоит отметить, что пропасть может и база клиентских паролей, а также прочие данные, имеющие критичную ценность.
 +  * Подмена информации — злоумышленники могут подменить телефон или другие данные организации. В этом случае ваши клиенты автоматически становятся клиентами злоумышленников.
 +  * Размещение троянских программ — в этом случае скорее всего вы не заметите визит хакера, по крайней мере все будет на это нацелено. Вредоносные программы могут выполнять разнообразные функции — осуществлять переадресацию на сайт злоумышленников, воровать персональные данные клиентов, заражать посетителей вирусами и так далее.
 +  * Рассылка спама — ваш сайт могут использовать для рассылки спама, в этом случае ваша «настоящая» корреспонденция не будет доходить до адресата, так как домен вашей организации практически сразу будет внесен в централизованную базу данных спамеров.
 +  * Создание высокой нагрузки — отправление в адрес веб-сервера заведомо некорректных запросов или иные действия извне, результатом которых будет затруднение доступа к сайту или падение операционной системы сервера. Такой вид атаки очень широко распространен в интернете. 
 +====== Ссылки ======
 +  * [[waf]]
 +  * [[http://www.webappsec.org|WASC]] (Web Application Security Consortium).
 +  * [[https://www.owasp.org/index.php/Cheat_Sheets|OWASP]] (Open Web Application Security Project). Cheat Sheets from OWASP.
 +  * [[http://www.infosecurity.ru/iprotect/websec/classification/|Классификация угроз безопасности Web-приложений]] - существует часть переводов на русский язык WASC.
 +  * [[http://www.cert.gov.ua/|CERT-UA Рекомендації щодо підвищення рівня захищеності інформаційно-телекомунікаційних систем та інформаційних ресурсів державних органів і установ від несанкціонованих дій зі сторони мережі Інтернет]]

📌 Удобный подбор VPS по параметрам доступен на DIEGfinder.com - официальном инструменте проекта DIEG. Это часть единой экосистемы, созданной для того, чтобы помочь быстро найти подходящий VPS/VDS сервер для любых задач хостинга.

📌 Для тестирования скриптов, установщиков VPN и Python-ботов рекомендуем использовать надежные VPS на короткий срок. Подробнее о быстрой аренде VPS для экспериментов - читайте здесь.

💥 Подпишись в Телеграм 💥 и задай вопрос по сайтам и хостингам бесплатно!