Инструменты пользователя
klassifikator_ugroz_bezopasnosti
Различия
Здесь показаны различия между двумя версиями данной страницы.
| — |
klassifikator_ugroz_bezopasnosti [2018/12/25 14:33] (текущий) |
||
|---|---|---|---|
| Строка 1: | Строка 1: | ||
| + | ====== Классификатор угроз безопасности ====== | ||
| + | * **Классификатор угроз безопасности Интернет (Web- приложений)** | ||
| + | Организация [[http://www.webappsec.org|WASC]] (Web Application Security Consortium) пытается стандартизировать термины описания угроз безопасности Web- приложений, что дает возможность разработчикам, специалистам в области безопасности, производителям программных продуктов и аудиторам использовать единый язык при своем взаимодействии. В настоящее время существует вторая версия классификатора от WASC, она доступна по ссылке [[http://projects.webappsec.org/w/page/13246978/Threat%20Classification|The WASC Threat Classification v2.0]] или в виде PDF файла [[http://projects.webappsec.org/f/WASC-TC-v2_0.pdf|WASC-TC-v2_0.pdf]]. | ||
| + | **Attacks (Атака)** | ||
| + | * Abuse of Functionality. [[http://websecurity.com.ua/2981/|DoS атаки через Abuse of Functionality уразливості]]. [[http://websecurity.com.ua/2591/|Редиректори на популярних сайтах №3]] | ||
| + | * Brute Force | ||
| + | * Buffer Overflow | ||
| + | * Content Spoofing | ||
| + | * Credential/Session Prediction | ||
| + | * Improper Output Handling | ||
| + | * [[Cross-Site Scripting]]. XSS. Межсайтовый скриптинг (межсайтовое выполнение сценариев). | ||
| + | * Cross-Site Request Forgery. [[wpru>CSRF]]. [[http://websecurity.com.ua/4322/|Використання сайтів для атак на інші сайти]] | ||
| + | * Insecure Indexing | ||
| + | * Denial of Service | ||
| + | * Fingerprinting | ||
| + | * Format String | ||
| + | * HTTP Response Smuggling | ||
| + | * HTTP Response Splitting | ||
| + | * HTTP Request Smuggling | ||
| + | * HTTP Request Splitting | ||
| + | * Integer Overflows | ||
| + | * LDAP Injection | ||
| + | * Mail Command Injection | ||
| + | * Null Byte Injection | ||
| + | * OS Commanding | ||
| + | * Path Traversal | ||
| + | * Predictable Resource Location | ||
| + | * Remote File Inclusion (RFI) | ||
| + | * Routing Detour | ||
| + | * Session Fixation | ||
| + | * SOAP Array Abuse | ||
| + | * SSI Injection | ||
| + | * [[SQL Injection]]. Внедрение операторов [[SQL]]. | ||
| + | * URL Redirector Abuse | ||
| + | * XPath Injection | ||
| + | * XML Attribute Blowup | ||
| + | * XML External Entities | ||
| + | * XML Entity Expansion | ||
| + | * XML Injection | ||
| + | * XQuery Injection | ||
| + | |||
| + | **Weaknesses(Слабые стороны; Слабость защитных механизмов)** | ||
| + | * Application Misconfiguration | ||
| + | * Directory Indexing | ||
| + | * Improper Filesystem Permissions | ||
| + | * Improper Input Handling | ||
| + | * Information Leakage | ||
| + | * Insufficient Anti-automation | ||
| + | * Insufficient Authentication | ||
| + | * Insufficient Authorization | ||
| + | * Insufficient Password Recovery | ||
| + | * Insufficient Process Validation | ||
| + | * Insufficient Session Expiration | ||
| + | * Insufficient Transport Layer Protection | ||
| + | * Server Misconfiguration | ||
| + | |||
| + | ====== Аспекты безопасности ====== | ||
| + | Безопасность в среде Интернет включает в себя много различных аспектов: | ||
| + | * система защиты Web- сервера; | ||
| + | * безопасность баз данных; | ||
| + | * проверка данных, вводимых пользователями; | ||
| + | * приемы и методы шифрования. Часто инструменты для шифрования информации имеют собственные уязвимости, из-за чего применение сильной криптографии теряет смысл. | ||
| + | |||
| + | Что нужно проверять: | ||
| + | * **Корректность данных**, вводимых пользователем (например, удаление пробельных символов - PHP: trim()). | ||
| + | * **Проверка обязательности заполнения поля** ([[PHP]]: функция empty($_POST['pid']) | ||
| + | * **Проверка числовых значений**. Если поле предназначено для ввода только целых чисел, то самым простым способом обезопасить скрипт в PHP является обработка вводимого значения при помощи функции intval(), которая приводит любой аргумент к целому числу (или к О, если это невозможно). Или использовать регулярные выражения ([[RegExp]]). | ||
| + | * **Передача пользовательских файлов на сервер**. Нужно запрещать загрузку всех файлов кроме непосредственно разрешенных. Можно осуществлять проверку типа загружаемого файла $_FILES['attachement']['type']. Указать серверу [[Apache]] рассматривать все загруженные пользовательские файлы как текстовые, для этого в директории где хранятся пользовательские файлы создается файл [[.htaccess]] в котором переопределяются обработчики для PHP и Perl. | ||
| + | * Шифрование: [[MD5]]. В БД должны храниться зашифрованные пользовательские данные (например пароли). | ||
| + | |||
| + | |||
| + | **Примеры наиболее распространенных атак на веб-сайты**: | ||
| + | * Подмена главной страницы сайта (Content Spoofing) — одна из самых частых форм взлома. Заместо привычного содержимого на обложке сайта будет красоваться все что угодно — от имени злостного хакера до банальных оскорблений. | ||
| + | * Удаление файловой системы — вся информация попросту пропадает, что становится провальным в случае отсутствия сохраненной копии ресурса. Стоит отметить, что пропасть может и база клиентских паролей, а также прочие данные, имеющие критичную ценность. | ||
| + | * Подмена информации — злоумышленники могут подменить телефон или другие данные организации. В этом случае ваши клиенты автоматически становятся клиентами злоумышленников. | ||
| + | * Размещение троянских программ — в этом случае скорее всего вы не заметите визит хакера, по крайней мере все будет на это нацелено. Вредоносные программы могут выполнять разнообразные функции — осуществлять переадресацию на сайт злоумышленников, воровать персональные данные клиентов, заражать посетителей вирусами и так далее. | ||
| + | * Рассылка спама — ваш сайт могут использовать для рассылки спама, в этом случае ваша «настоящая» корреспонденция не будет доходить до адресата, так как домен вашей организации практически сразу будет внесен в централизованную базу данных спамеров. | ||
| + | * Создание высокой нагрузки — отправление в адрес веб-сервера заведомо некорректных запросов или иные действия извне, результатом которых будет затруднение доступа к сайту или падение операционной системы сервера. Такой вид атаки очень широко распространен в интернете. | ||
| + | ====== Ссылки ====== | ||
| + | * [[http://www.webappsec.org|WASC]] (Web Application Security Consortium). | ||
| + | * [[https://www.owasp.org/index.php/Cheat_Sheets|OWASP]] (Open Web Application Security Project). Cheat Sheets from OWASP. | ||
| + | * [[http://www.infosecurity.ru/iprotect/websec/classification/|Классификация угроз безопасности Web-приложений]] - существует часть переводов на русский язык WASC. | ||
| + | * [[http://www.cert.gov.ua/|CERT-UA Рекомендації щодо підвищення рівня захищеності інформаційно-телекомунікаційних систем та інформаційних ресурсів державних органів і установ від несанкціонованих дій зі сторони мережі Інтернет]] | ||
загрузка...
klassifikator_ugroz_bezopasnosti.txt · Последние изменения: 2018/12/25 14:33 (внешнее изменение)
Инструменты страницы
Если не указано иное, содержимое этой вики предоставляется на условиях следующей лицензии: GNU Free Documentation License 1.3
