БЕЗОПАСНОСТЬ ИНТЕРНЕТ-ПРОЕКТОВ
advertisement
БЕЗОПАСНОСТЬ ИНТЕРНЕТ-ПРОЕКТОВ СТАТИСТИКА WASC: Почему люди занимаются взломом? 1 место – кража конфиденциальной информации 2 место – дефейс 3 место – распространение вирусов данные из отчёта Breach и WASC за 2007 год СТАТИСТИКА WASC: Кого чаще атакуют? 1 место – правительственные сайты 2 место – сайты, посвящённые образованию 3 место – медиа-сайты и магазины данные из отчёта Breach и WASC за 2007 год БЕЗОПАСНОСТЬ Конфиденциальность Целостность Доступность Конфиденциальность - данные доступны только тем людям, для которых они предназначены Целостность - данные и системные ресурсы изменяются только надлежащим способом и только надлежащими людьми Доступность - системы готовы к работе по требованию и обеспечивают приемлемую производительность ПРИЧИНЫ УЯЗВИМОСТИ САЙТОВ ТЕХНИЧЕСКИЕ АСПЕКТЫ Протокол HTTP очень простой и не поддерживает сохранение состояния Нет необходимости прибегать к сложным специализированным средствам для отправки пакетов Каждый запрос к веб-приложению содержит все необходимые данные, а значит можно формировать запрос за запросом без необходимости подготовки чего-либо типа сессии Пользователь имеет полный контроль над навигацией по приложению Пользователю доступна часть исходного кода приложения (HTML, JavaScript) Почти все веб-приложения допускают анонимный доступ, по крайней мере, к странице входа. Эта страница может быть использована для атаки Веб-приложения являются последним бастионом между Интернетом и внутренними ресурсами (например, базой данных). Значит, они являются целью нападения ПРИЧИНЫ УЯЗВИМОСТИ САЙТОВ ЧЕЛОВЕЧЕСКИЙ ФАКТОР Программистские ошибки баги в исх. коде небрежный, медленный код Доступность информации по взлому сайтов Небрежность администраторов Нестойкие пароли Несвоевременная установка обновлений Потенциальные угрозы Атака на информационную среду (операционная система, веб-сервер, среда программирования, база данных) Атака системы управления сайтом Атака сторонних веб-приложений Уровни риска Минимальный – получение доступа к не конфиденциальной информации, к которой не санкционирован доступ, возможность создания косметических проблем и помех в работе проекта. Средний уровень – получение частичного доступа к конфиденциальной информации, частичный обход системы авторизации расширяющий полномочия. Высокий уровень – полный обход системы авторизации, получение неограниченного доступа к системе или приложению, возможность запуска несанкционированных приложений, возможность просмотра или подмены конфиденциальной информации. Взломщики Скрипт-кидди (script-kiddie) – в основном, подростки 15-18 лет. Взлом как самоутверждение. Используют уже готовые эксплоиты для атак. Неспособны сами чтолибо сделать. Максимальный ущерб – дефейс страниц сайта. Любители-идеалисты («white hat») – как правило, студенты в возрасте 19-24 года либо молодые специалисты. Взлом интересен как процесс. Часто сообщают о взломе и о найденных дырах. Пользы больше, чем вреда. Этическая сторона взлома важнее наживы. Вандалы («black hat») - тоже молодые специалисты либо студенты. Взлом ради нанесения вреда. Максимальный ущерб – от порчи данных до полного удаления страниц сайта/базы данных Профессионалы («grey hat») - опытные хакеры. Взлом интересует только с коммерческой точки зрения. Как правило, ломают на заказ. Ущерб максимальный: от разрушения сайта до кражи важной информации. Уязвимости веб-проектов Автоматизированный подбор • Недостаточная аутентификация (Insufficient Authentication) • Небезопасное восстановление паролей (Weak Password Recovery Validation) Авторизация • Предсказуемое значение сессии (Credential/Session Prediction) • Недостаточная авторизация (Insufficient Authorization) • Отсутствие таймаута сессии (Insufficient Session Expiration) • Фиксация сессии (Session Fixation) Атаки на клиента • Подмена содержимого (Content Spoofing) • Межсайтовое выполнение сценариев (Cross-site Scriptin - XSS) Выполнение кода • Переполнение буфера (Buffer Overflow) • Атака на функции форматирования строк (Format String Attack) • Выполнение команд ОС (OS Commanding) • Внедрение команд SQL (SQL Injection) Уязвимости веб-проектов Разглашение информации • Индексирование директорий (Directory Indexing) • Утечка информации (Information Leakage) • Обратный путь в директориях (Path Traversal) • Предсказуемое расположение ресурсов (Predictable Resource Location) Логические атаки • Злоупотребление функциями (Abuse of Functionality) • Отказ в обслуживании (Denial of Service) • Недостаточное противодействие автоматизации (Insufficient Anti-automation) • Недостаточная проверка процесса (Insufficient Process Validation) Наиболее популярные уязвимости (по данным WASC за 2007 год) SQL-Injection – внедрение произвольного SQL-кода в исполняемый запрос PHP-include bug – возможность включения произвольного PHP-кода в исполняемый поток на стороне сервера XSS – Cross-Site-Scripting – кража cookies пользователя путём использования межсайтового скриптинга DDoS – Distributed DoS – распределённая атака на отказ в обслуживании SQL-Injection – внедрение произвольного SQL-подзапроса в исполняемый запрос. Причина: недостаточная обработка входных данных. Уровень риска – от выяснения версии SQL-сервера (для последующего подбора эксплоита) до записи/чтения произвольных данных из таблиц. Способы защиты: - фильтрация данных пользователя - использование заранее сформированных («фиксированных») запросов Данные статистики сайта securitylab.ru за 2007 год по соотношению разных типов уязвимостей высокого уровня риска PHP-инклюдинг – включение произвольного кода в исполняемый поток. Причина: небрежное использование потенциально опасных функций PHP: include и require Уровень риска: средний (чтение любых файлов) / высокий (позволяет выполнить загрузку на сайт т. н. web-shell (командная оболочка) и выполнить произвольные команды ОС на сайте) Способы защиты: - контроль вводимых пользователем данных - уместное использование include/require XSS / CSRF – принципиально иной тип атак, так как направлен на клиента. Суть атак: хищение файлов cookies, хранящих данные об авторизации, путём внедрения в страницу вредоносного JavaScript-кода Причина: недостаточная обработка данных пользователя Уровень риска – любой. Возможны как кража и компрометация отдельного пользователя сайта, так и администратора со всемы вытекающими. Способы защиты: - запрет на использование HTML в форумах и блогах -жёсткий контроль и фильтрация всех данных от пользователя Как защитить сайт? Общие рекомендации по обеспечению безопасности Для защиты инфосреды веб-проекта необходимо использовать специальные средства мониторинга и моделирования атак Обязателен аудит кода веб-приложения. Желательно аудит поручать независимым компаниям Основные принципы безопасности Разработка механизмов безопасности должна быть включена в весь цикл разработки приложения Определение потенциальных проблем. Моделирование угроз. Минимально необходимые привилегии Надежный код Отслеживание и сохранение действий пользователя Разумное использование криптографии Моделирование угроз Моделирование угроз – изучение архитектуры приложения и его составных частей с целью обнаружения и устранения проблем безопасности Моделирование позволяет оперативно обнаружить и устранить возможные каналы атаки, а также непрерывно поддерживать должный уровень безопасности Моделирование угроз можно выполнять как вручную, так и с помощью специализированных средств – сканеров безопасности (Xspider, Tennable Nessus и им подобные) Использование криптографии Использование алгоритмов криптографии позволяет исключить целый класс потенциальных рисков, связанных с возможностью перехвата информации в канале передачи. Промышленным стандартом для защиты веб-приложений является SSL-шифрация в рамках протокола HTTPS. Данный протокол поддерживается всеми браузерами и не требует установки дополнительных компонент для клиентов. При использовании криптографии следует помнить: - использование блочных шифров замедляет работу, поэтому должно быть строго дозированно - криптография сама по себе не является панацеей от взломов. Слабые, поддающиеся подбору ключи могут ослабить защиту, а человеческий фактор может и вовсе свести защиту на нет Рекомендации Обеспечение безопасности информационной среды - задача сложная и ответственная. Для обеспечения более высокого уровня безопасности ваших интернет-проектов необходимо комплексно подойти к обеспечению безопасности Информационной среды и веб-приложений. своевременно устанавливайте обновления программных продуктов не используйте слабые, простые пароли периодически проводите аудит безопасности внимательно отслеживайте события в системных журналах желательно подписаться на рассылку о безопасности, чтобы быть в курсе обнаруженных ошибок и методах их устранения
