2.3 Уязвимость xss
была известна ещё давно, но меры по её пресечению не принимаются до сих пор. Чтобы могу вас в этом заверить, ибо даже на сайте пентагона существует (на данный момент) xss-уязвимость. Что же подразумевает под собой таинственное слово Cross-site scripting? Ну во первых, этот тип атак полностью браузерозависимый т.е. злонамеренный код будет выполнен на машине пользователя, а не на сервера. Давайте познакомимся с xss подробнее =).
2.4 Вставка кода. (Code Insertion)
Успех от атак этого вида заключается в функциональности браузера клиента. В HTML, для различия видимого текста из интерпретируемого языка, некоторые символы трактуются иначе. Один из самых общих специальных символов имспользуется для определения элементов без языка разметки служит символ "<", который также используется для указания начала тэга HTML. Эти теги могут также повлиять на форматирование страницы или стимулировать программу, выполняемую в клиентском браузере (например тег <SCRIPT> выполняет программу на языке J*******pt). Так как у большинства вэб-браузеров о дэфолту нет ограничений на выполнения вложенных в HTML-содержимое скриптов, то если атакующий успешно внедрит содержимое скрипта, с большой вероятностью, он выполнится у жертвы. Такие скрипты могут быть написаны на любых скриптовых языках, при условии, что клиентский хост сможет интерпретировать код. <SCRIPT>, <OBJECT>, <APPLET> и <EMBED>- скриптовые тэги, которые в основном используются для внедрения вредоносного содержания. В то время как этот документ нацелен на угрозу от вставки злонамеренного скрипт-кода, другие тэги могут быть вставлены и злоупотреблены атакующим. Важной деталью для изучения вставки кода является понимание самых важных тегов и их атрибутов. Для этого приведём таблицу, в которой постараемся раскрыть основные тэги и их описания.
2.4 Классификация угроз.
Предпосылки создания:
При разработке алгоритма оценки информационных рисков, основанного на анализе угроз и уязвимостей информационной системы, специалистами Digital Security были рассмотрены и проанализированы различные существующие классификации угроз информационной безопасности. Попытки использования данных классификаций для описания по возможности большего количества угроз показали, что во многих случаях реальные угрозы либо не подходили ни под один из классификационных признаков, либо, наоборот, удовлетворяли нескольким.
Таким образом, основная цель создания специалистами Digital Security классификации угроз - наиболее полная, детальная классификация, которая описывает все существующие угрозы информационной безопасности, по которой каждая из угроз попадает только под один классификационный признак, и которая, таким образом, наиболее применима для анализа рисков реальных информационных систем.
Описание классификации:
По характеру угрозы информационной безопасности можно разделить на технологические и организационные.
Соответственно, получим верхний уровень классификации:
1. Угрозы технологического характера
2. Угрозы организационного характера
Рассмотрим технологические угрозы информационной безопасности, которые по виду воздействия делятся на:
1.1. Физические
1.2. Программные (логические)
Следующая ступень классификации - причина угрозы.
Причинами реализации физических угроз могут быть:
1.1.1. Действия нарушителя (человека)
1.1.2. Форс-мажорные обстоятельства
1.1.3. Отказ оборудования и внутренних систем жизнеобеспечения
Независимо от причины физические угрозы воздействуют:
1.1.1.1. На ресурс
1.1.1.2. На канал связи
Далее перейдем к рассмотрению программных угроз.
Программные угрозы по причине воздействия можно разделить на:
1.2.1. Угрозы, исходящие от локального нарушителя;
1.2.2. Угрозы, исходящие от удаленного нарушителя.
Объектом локального нарушителя может быть только ресурс.
При этом, на ресурсе локальный нарушитель может реализовать угрозы, направленные:
1.2.1.1. На операционную систему;
1.2.1.2. На прикладное программное обеспечение;
1.2.1.3. На информацию.
Угрозы, исходящие от удаленного нарушителя, могут воздействовать:
1.2.2.1. На ресурс;
1.2.2.2. На канал связи.
При доступе к ресурсу удаленный нарушитель может воздействовать:
1.2.2.1.1. На операционную систему;
1.2.2.1.2. На сетевые службы;
1.2.2.1.3. На информацию.
При воздействии на канал связи удаленный нарушитель может реализовать угрозы, направленные:
1.2.2.2.1. На сетевое оборудование;
1.2.2.2.2. На протоколы связи.
Рассмотрим организационные угрозы.
Организационные угрозы по характеру воздействия разделим на:
2.1. Воздействие на персонал;
2.2. Действия персонала.
Воздействие на персонал может быть:
2.1.1. Физическим;
2.1.2. Психологическим.
Как физическое, так и психологическое воздействие на персонал направлено на сотрудников компании с целью:
2.1.1.1. Получения информации;
2.1.1.2. Нарушения непрерывности ведения бизнеса.
Причинами действий персонала, способных вызвать угрозы информационной безопасности, могут быть:
2.2.1. Умышленные действия;
2.2.2. Неумышленные действия.
Угрозы, вызванные умышленными действиями персонала, могут быть направлены:
2.2.1.1. На информацию;
2.2.1.2. На непрерывность ведения бизнеса.
Угрозы, вызванные неумышленными действиями персонала, могут быть направлены:
2.2.2.1. На информацию;
2.2.2.2. На непрерывность ведения бизнеса.
Таким образом, классификация угроз информационной безопасности разделяется по характеру угрозы, виды воздействия, причине и объекту угрозы.
DoS-атака (атака типа «отказ в обслуживании», от англ. Denial of Service) — атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам (серверам), либо этот доступ затруднён. Отказ «вражеской» системы может быть и шагом к овладению системой (если во внештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.). Но чаще это мера экономического давления: простои службы, приносящей доход, счета от провайдера и меры по уходу от атаки ощутимо бьют «цель» по карману.
Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании»). В некоторых случаях к фактической DDoS-атаке приводит непреднамеренное действие, например, размещение на популярном интернет-ресурсе ссылки на сайт, размещённый на не очень производительном сервере (слэшдот-эффект). Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер и, следовательно, отказу в обслуживании части из них.