Сучасні інформаційні технології/Інформаційна безпека
Дубчак
О.В., Посмашний І.О.
Національний
авіаційний університет, Київ, Україна
ЗАХИСТ ДАНИХ У
WEB-ДОДАТКАХ
Вступ Ступінь використання інформаційних технологій на сьогоднішній день є визначальним фактором усебічного розвитку
суспільства. Одночасно із впровадженням новітніх ІТ загострюється проблема
захисту інформації від несанкціонованого доступу.
Актуальність Безпека інформаційних ресурсів, зокрема, WEB - додатків – одне з
найбільш гострих питань в контексті інформаційної безпеки. Як правило,
більшість WEB-додатків, доступних в Інтернеті, мають різного роду уразливості і постійно
піддаються атакам.
Постановка завдання Одним із засобів розв’язання завдань щодо убезпечення конфіденційних
інформаційних ресурсів є використання сучасних методів автентифікації та
надання привілеїв користувачам під час авторизації.
Мета Класифікувати атаки на WEB-додатки та методи автентифікації користувачів.
Викладення матеріалу Питання класифікації атак, які становлять загрози для WEB-додатків, є
важливим як для їх розробників, так і для фахівців у галузі безпеки.
Серед атак, які можуть буті впроваджені щодо WEB-додатків, слід приділити увагу
наступним.
Атаки на методи автентифікації. Спрямовані на використовувані
WEB-додатком методи перевірки ідентифікатора користувача, служби або
програми (табл.1) [2].
Таблиця
1
Характеристика
атак на методи автентифікації
|
Назва атаки |
Характеристика |
|
Підбір (Brute
force атаки) |
Автоматизований процес спроб, спрямованих на
вгадування ім'я користувача, пароль, номер кредитної картки, ключ шифрування
тощо. |
|
Недостатня
автентифікація (Insufficient Authentication) |
Вразливість виникає за умови дозволу WEB-сервера
отримувати зловмиснику доступ до важливої інформації або функцій сервера без
належної автентифікації. |
|
Небезпечне
відновлення паролів (Weak Password Recovery Validation) |
Вразливість виникає за умови дозволу WEB-сервера
зловмиснику несанкціоновано отримувати, модифікувати або відновлювати паролі
інших користувачів |
Атаки
на методи авторизації. Спрямовані на методи, які
використовуються WEB-сервером для визначення того, чи має користувач, служба
або додаток дозвіл, необхідний, для здійснення будь-яких дій (табл.2).
Таблиця
2
Характеристика
атак на методи авторизації
|
Назва
атаки |
Характеристика |
|
Передбачуване
значення ідентифікатора сесії (Credential/Session Prediction) |
Атака дозволяє перехоплювати сесії інших
користувачів шляхом передбачення або вгадування унікального ідентифікатора
сесії користувача. |
|
Недостатня
авторизація (Insufficient Authorization) |
Виникає за умови дозволу Web-сервера отримувати
зловмиснику доступ до важливої інформації або функцій, доступ до яких повинен
бути обмежений. |
|
Відсутність
таймауту сесії (Insufficient Session Expiration) |
У разі, якщо для ідентифікатора сесії або
облікових даних не передбачений таймаут або його значення надто велике,
зловмисник може скористатися старими даними для авторизації. |
|
Фіксація сесії
(Session Fixation) |
Зловмисник присвоює ідентифікатору сесії
користувача задане значення. |
Атаки
на клієнтів (Client-side Attacks). Спрямовані на користувачів
WEB-додатку (табл.3) [4].
Таблиця
3
Характеристика
атак на клієнтів
|
Назва
атаки |
Характеристика |
|
Підміна вмісту
(Content Spoofing) |
Зловмисник змушує користувача повірити, що
сторінки згенеровані WEB-сервером, а не передані із зовнішнього джерела. |
|
Міжсайтове
виконання сценаріїв (Cross-site Scripting, XSS) |
Дозволяє зловмиснику передати серверу
виконуваний код, який буде переспрямований браузеру користувача. |
|
Розщеплення HTTP-запиту
(HTTP Response Splitting) |
Дає змогу зловмиснику надсилати серверу
спеціальним чином сформований запит, відповідь на який інтерпретується метою
атаки як дві різні відповіді. |
З наведених в таблицях 1-3 даних випливає, що до WEB-додатку можуть бути впровадженими достатня кількість атак, які становлять реальну небезпеку порушення конфіденційності інформаційних ресурсів. Тому під час розробки WEB-додатку слід приділяти необхідну увагу питанням безпеки, використовуючи останні версії фреймворків, системи керування вмістом та додаткові методи автентифікації.
З
позицій інформаційної
безпеки автентифікація - частина процедури надання доступу для роботи в інформаційній системі. Автентифікація є наступною
після ідентифікації і передує авторизації.
Ідентифікація – процедура присвоєння
ідентифікатора об’єкту або встановлення відповідності між об’єктом і його
ідентифікатором; впізнання. Автентифікація – надання доказів, що користувач насправді є тим,
ким ідентифікується. Під автентифікацією також розуміють перевірку, що
користувач знає пароль від облікового запису.
Авторизація – перевірка, чи може автентифікований користувач виконувати певні дії [3].
Як відомо [1], серед методів автентифікації набули популярності наступні.
Автентифікація на основі
паролів. Цей метод ґрунтується
на наданні користувачем під час його реєстрації в системі пари
username/password для успішної ідентифікації і автентифікації. При цьому в
якості username може виступати адреса електронної пошти користувача.
Автентифікація на основі
сертифікатів. Сертифікат є набором атрибутів, що
ідентифікують власника, підписаний certificate
authority. Останній виступає в ролі посередника - гаранта достовірності
сертифікатів. Слід зазначити, що сертифікат криптографічно пов'язаний із
закритим ключем, який зберігається у власника сертифіката та дозволяє
однозначно підтвердити факт володіння сертифікатом.
Автентифікація на
основі одноразових паролів. Автентифікація
за одноразовими паролями застосовується, зазвичай, додатково до автентифікації
за паролями для реалізації Two-factor Authentication, яка
дозволяє в значній мірі збільшити рівень безпеки. У даному разі користувачу
необхідно надати інформацію двох типів для входу в систему - те, що користувач
знає (наприклад, пароль), і те, чим користувач володіє (наприклад, пристрій для
генерації одноразових паролів).
Автентифікація на
основі ключів доступу. Спосіб зазнав розповсюдження для автентифікації пристроїв, сервісів або
інших додатків при зверненні до WEB-сервісів. Використовуються ключі доступу (access key, API key) — довгі
унікальні рядки, що містять довільний набір символів, по суті замінюють
комбінацію username/password.
Автентифікація на основі токенів. Даний спосіб автентифікації набув розповсюдження при побудові
розподілених систем Single Sign-On
(SSO), де один додаток (service provider) делегує функцію автентифікації
користувачів іншому додатку (identity provider) [1].
Узагальнена
інформація щодо методів автентифікації наведена у табл. 4.
Таблиця 4
Порівняльна
характеристика методів автентифікації
|
Методи
на основі |
Основне
застосування |
Протоколи |
|
Паролів |
Автентифікація користувачів |
HTTP, Forms |
|
Сертифікатів |
Автентифікація користувачів у безпечних додатках;
автентифікація сервісів |
SSL/TLS |
|
Одноразових паролів |
Додаткова автентифікація користувачів (для досягнення
Two-factor Аuthentication) |
Forms |
|
Ключів доступу |
Автентифікація сервісів та додатків |
— |
|
Токенів |
Делегування автентифікації користувачів; делегування
авторизації додатків |
SAML, WS-Federation, OAuth, OpenID Connect |
Можна констатувати існування значної кількості методів автентифікації, які можна впровадити у WEB-додаток для належного захисту. Але недостатньо автентифіковувати користувачів тільки на основі паролів, оскільки пароль може бути підібраним, наприклад, за допомогою brute-force атаки, що вимагає використання паролів великої довжини із символами різних регістрів та повторної автентифікації користувача для важливих дій, таких, як зміни пароля, зміна e-mail адреси тощо. Для побудови WEB - додатку з підвищеним рівнем автентифікації доцільно пропонувати двохфакторну автентифікацію (Two-factor Authentication), першим етапом якої є реєстрація за паролем, другим – генерація одноразового паролю.
Висновок Система засобів захисту за умов сформованої моделі загроз має бути спрямованою на досягнення певного рівня захищеності інформації. Задля підвищення рівня убезпечення конфіденційності користувачів пропонується використовувати двохфакторну автентифікацію та надання привілеїв користувачам під час авторизації.
Список літератури:
1. Выростков Д. Обзор способов и протоколов аутентификации в веб-приложениях [Електронний ресурс]. Режим доступу: https://habrahabr.ru/company/dataart/blog/262817/
2. Классификация угроз безопасности Web-приложений [Електронний ресурс]. – Режим доступу: http://www.protectme.ru/websec/classification
3. НД ТЗІ 1.1-003-99 «Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу».
4. Сафонов Л. Основные угрозы безопасности сайта [Електронний ресурс]. – Режим доступу: https://habrahabr.ru/company/pentestit/blog/279787/