- •17. Безопасность в Веб-разработке
- •17.1. Безопасность в Интернете
- •17.1.1. Информационная безопасность
- •17.1.2. Виды угроз и способы борьбы с ними
- •17.1.2.1. Аутентификация (Authentication)
- •17.1.2.1.1. Подбор (Brute Force)
- •17.1.2.1.2. Недостаточная аутентификация (Insufficient Authentication)
- •17.1.2.1.3. Небезопасное восстановление паролей (Weak Password Recovery Validation).
- •17.1.2.2. Авторизация (Authorization)
- •17.1.2.2.1. Предсказуемое значение идентификатора сессии (Credential/Session Prediction)
- •17.1.2.2.2. Недостаточная авторизация (Insufficient Authorization)
- •17.1.2.2.3. Отсутствие таймаута сессии (Insufficient Session Expiration)
- •17.1.2.2.4. Фиксация сессии (Session Fixation)
- •17.1.2.3. Атаки на клиентов (Client-side Attacks)
- •17.1.2.3.1. Подмена содержимого (Content Spoofing)
- •17.1.2.3.2. Межсайтовое выполнение сценариев (Cross-site Scripting, xss)
- •17.1.2.3.3. Расщепление http-запроса (http Response Splitting)
- •17.1.2.4. Выполнение кода (Command Execution)
- •17.1.2.4.1. Переполнение буфера (Buffer Overflow)
- •17.1.2.4.2. Атака на функции форматирования строк (Format String Attack)
- •17.1.2.4.3. Внедрение операторов ldap (ldap Injection)
- •17.1.2.4.4. Выполнение команд ос (os Commanding)
- •17.1.2.4.5. Внедрение операторов sql (sql Injection)
- •17.1.2.4.6. Внедрение серверных расширений (ssi Injection)
- •17.1.2.4.7. Внедрение операторов xPath (xPath Injection)
- •17.1.2.5. Разглашение информации (Information Disclosure)
- •17.1.2.5.1. Индексирование директорий (Directory Indexing)
- •17.1.2.5.2. Идентификация приложений (Web Server/Application Fingerprinting)
- •17.1.2.5.3. Утечка информации (Information Leakage)
- •17.1.2.6.2. Отказ в обслуживании (Denial of Service)
- •17.1.2.6.3. Недостаточное противодействие автоматизации (Insufficient Anti-automation)
- •17.1.2.6.4. Недостаточная проверка процесса (Insufficient Process Validation)
- •17.1.2.7. Вирусы и приложения типа "троянский конь"
- •17.1.3. Ключевые термины
- •17.2. Xss Filter
- •17.2.1. Общее описание
- •17.2.2. Исследование эффективности xss Filter
- •17.2.2.1. Сохраненный вариант
- •17.2.2.2. Dom-based xss
- •17.2.2.3. Отраженный вариант
- •17.2.2.3.1. Внедрение кода в Javascript
- •17.2.2.3.2. Внедрение кода в тег
- •17.2.2.3.3. Внедрение кода в параметр тега
- •17.2.2.3.4. Внедрение кода в html
- •17.2.2.3.5. Использование расщепления http-ответа
- •17.2.2.4. Заключение
- •17.2.3. Ключевые термины
- •17.3. SmartScreen Filter
- •17.3.1. Общие сведения
- •17.3.2. Ключевые термины
- •17.4. Data Execution Prevention
- •17.4.1. Общие сведения
- •17.4.2. Ключевые термины
- •17.5. Https
- •17.5.1. Ssl
- •17.5.2. Https
- •17.5.3. Настройка https
- •17.5.3.1. Пример настройки для iis 6
- •17.5.3.3. Пример настройки для iis 7
- •17.5.4. Ключевые термины
- •17.6. Краткие итоги
17.5.4. Ключевые термины
SSL, HTTPS.
17.6. Краткие итоги
Безопасность информации (данных) – состояние защищенности информации (данных), при котором обеспечены ее (их) конфиденциальность, доступность и целостность.
Информационная безопасность – защита конфиденциальности, целостности и доступности информации.
Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности:
Законодательная, нормативно-правовая и научная база.
Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.
Организационно-технические и режимные меры и методы (Политика информационной безопасности).
Программно-технические способы и средства обеспечения информационной безопасности.
Политика безопасности (информации в организации) – совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
Политика безопасности информационно-телекоммуникационных технологий – правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.
Виды угроз и способы борьбы с ними:
Аутентификация (Authentication)
Подбор (Brute Force)
Недостаточная аутентификация (Insufficient Authentication)
Небезопасное восстановление паролей (Weak Password Recovery Validation).
Авторизация (Authorization)
Предсказуемое значение идентификатора сессии (Credential/Session Prediction)
Недостаточная авторизация (Insufficient Authorization)
Отсутствие таймаута сессии (Insufficient Session Expiration)
Фиксация сессии (Session Fixation)
Атаки на клиентов (Client-side Attacks)
Подмена содержимого (Content Spoofing)
Межсайтовое выполнение сценариев (Cross-site Scripting, XSS)
Расщепление HTTP-запроса (HTTP Response Splitting)
Выполнение кода (Command Execution)
Переполнение буфера (Buffer Overflow)
Атака на функции форматирования строк (Format String Attack)
Внедрение операторов LDAP (LDAP Injection)
Выполнение команд ОС (OS Commanding)
Внедрение операторов SQL (SQL Injection)
Внедрение серверных расширений (SSI Injection)
Внедрение операторов XPath (XPath Injection)
Разглашение информации (Information Disclosure)
Индексирование директорий (Directory Indexing)
Идентификация приложений (Web Server/Application Fingerprinting)
Утечка информации (Information Leakage)
Обратный путь в директориях (Path Traversal)
Предсказуемое расположение ресурсов (Predictable Resource Location)
Логические атаки (Logical Attacks)
Злоупотребление функциональными возможностями (Abuse of Functionality)
Отказ в обслуживании (Denial of Service)
Недостаточное противодействие автоматизации (Insufficient Anti-automation)
Недостаточная проверка процесса (Insufficient Process Validation)
Вирусы и приложения типа "троянский конь"
XSS (Сross Site Sсriрting) – тип уязвимости интерактивных информационных систем в Интернете, возникающий, когда в генерируемые сервером страницы по какой-то причине попадают пользовательские скрипты.
XSS-фильтр работает как компонент IE8, который просматривает все запросы и ответы, проходящие через браузер.
Фишинг – вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей – логинам и паролям.
Internet Explorer 8 имеет фильтр SmartScreen.
Data Execution Prevention – функция безопасности, встроенная в семейство операционных систем Windows, которая не позволяет приложению исполнять код из области памяти, помеченной как "только для данных".
DEP в Internet Explorer 8 помогает избежать атак путем предотвращения запуска кода, размещенного в участке памяти, помеченном как неисполняемый.
SSL – криптографический протокол, который обеспечивает установление безопасного соединения между клиентом и сервером.
SSL предоставляет канал, имеющий 3 основные свойства:
Аутентификация;
Надежность;
Частность канала.
HTTPS – расширение протокола HTTP, поддерживающее шифрование. Данные, передаваемые по протоколу HTTP, "упаковываются" в криптографический протокол SSL или TLS, тем самым обеспечивается защита этих данных.