Сучасні інформаційні технології/Інформаційна безпека
Дубчак О.В., Петраш І.Б.
Національний авіаційний університет, Київ, Україна
ПРОБЛЕМИ
ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ СТОРІНОК WEB - ДОДАТКІВ ВІД МІЖСАЙТОВОГО
СКРИПТИНГА
Вступ Провідна роль в умовах
глобальної інформатизації сучасного суспільства
належить інформаційній безпеці. Суцільна інформатизація охопляє, зокрема, сфери забезпечення безпеки особи, суспільства, економіки і фінансів, державної інфраструктури. Відповідно постає питання щодо забезпечення комплексного підходу до проблеми
інформаційної безпеки.
Актуальність На сьогоднішній день однією
з проблем захисту інформації є міжсайтові атаки web - додатків.
Викладення матеріалу Небезпека міжсайтового скриптингу
полягає в тому, що дана уразливість дозволяє зловмиснику виконати довільний JavaScript-код в
рамках сесії користувача. Цей код може сприяти можливості доступу до cookies,
token сесії та іншої життєво важливої
інформації, яка зберігається
браузером [1]. Для сценаріїв JavaScript
встановлюються дуже обмежені повноваження, які зазвичай не дозволяють сценаріям доступ до будь-якої
інформації, що не належить до сайту. Слід наголосити, що, незважаючи на наявність на Web-сайті вразливостей, безпосередньо сайту шкода ніколи
не наноситься. Сценарію цілком
достатньо зібрати cookies і направити їх зловмиснику. У результаті
зловмисник одержує cookies і видає себе за користувача-жертву
[2].За допомогою XSS - атак також можна
незаконно підмінити інформаційні
дані, що відображаються на сайті, та
провести phishing attacks.
До причин
виникненя XSS –
атак можна віднести: сервер не екранує спеціальні символи, що вводяться
користувачем, — '"&<>; сервер дозволяє надсилати небезпечні
параметри в якості значення, що відповідно дозволяє виконати JavaScript-код з
інших джерел.
Існує декілька
способів запобігання атакам:
1. необхідно
самостійно реалізувати фільтрацію вхідних даних (знезараження вихідних даних);
2. використовувати
“фільтрацію виходу”, тобто фільтрувати дані користувача при відправленні їх
назад в браузер, а не при отриманні їх сценарієм. Як приклад може бути
сценарій, що розміщує вихідні дані в базу даних;
3. установити
брандмауер додатків від стороннього постачальника, який виявляє XSS-атаки до того,
як вони досягнуть Web-сервера і уразливих сценаріїв, і блокує
їх. Брандмауери додатків здатні виявляти всі методи введення (включаючи шлях і
заголовки HTTP), незалежно від того, чи є сценарій власним, сценарієм від
стороннього постачальника або сценарієм, що взагалі не вказує на ресурс
(наприклад, сценарій, що викликає появу сторінки 404). Для кожного джерела уведення брандмауер
додатків аналізує дані на наявність різних зразків
тегів HTML і зразків коду JavaScript. Якщо підозрілий
фрагмент знайдений, запит відхиляється, і зловмисний код не потрапляє на
сервер.
На даний
час одним з найбільш дієвих
способів протидії зловмисним атакам на систему є впровадження
механізмів попередження вторгнень, одним з яких є система тестування
на проникнення зловмисників
(pen-тестування).
Метою тестування
на проникнення зловмисників
є виявлення найбільш уразливих місць систем, що досить часто з'являються в результаті невірного їх налаштування, - відповідно при допущених
програмних і технічних помилках та внаслідок недоліків операційних систем [4].
Як відомо [5], реn-тестування складається з розширеного і поліпшеного практично списку перевірок, наведених в міжнародних методиках: “Open
Source Security Testing Methodology Manual” – Institute for Security and Open
Methodologies (ISOM); “Guide for Information Security” – National Institute of
Standards and Technology (NIST); “Guideline on
Network Security Testing” –NIST; “Information
Systems Security Assessments Framework” – Open Information Security Group;
Висновки Отже, міжсайтові атаки з впровадженням сценарію є одним
з найнебезпечніших видів атак на програмному рівні, що застосовуються
зловмисниками для проникнення в Web-додатки. Дана атака спрямована
на досягнення конфіденційної
інформації клієнтів
конкретного Web-сайту. Викрадення або
несанкціонована зміна інформації про користувача може привести до появи “дірок” у системі безпеки. Частіше за все, клієнт або організація часто навіть не підозрюють про те, що піддалися атаці.
Щоб захистити
Web-сайт від подібних зловмисних дій, слід реалізувати
стратегію безпеки при роботі як в автономному режимі, так і в мережі Інтернет. Це передбачає застосування інструментів автоматичного аналізу
вразливостей, які перевіряють на відсутність типових
слабких місць Web-сайту і слабкостей,
специфічних для конкретного додатку. Для повноцінного
захисту в мережі Інтернет важливо встановити брандмауер, спроможній протистояти зміні
коду і контенту, розміщеному на Web-серверах.
Частота перевірки дозволить власнику
сайту мати актуальну
картину безпеки. Відповідно, перевірки
такого роду дозволять в найкоротші терміни виявити більшість поверхневих уразливостей та застарілі версії програмного забезпечення, а також дозволять оперативно вжити заходи
безпеки щодо Web -додатку.
Список літератури:
1.
“Ежеквартальнаяпроверкабезопасностисайта
/ [Електроннийресурс]. – Режимдоступудоресурсу:https://habrahabr.ru/company/pentestit/blog/271985/
2. Category:OWASP Top Ten
Project / [Електроннийресурс]. – Режимдоступу:
https://www.owasp.org/index .php/ OWASP_Top_Ten_Project.
3. OWASP
Guide Project / [Електроннийресурс]. –Режимдоступу: https://www.owasp.org/index.php/OWASP_Guide_Project.
4.
Семенов С.Г. Исследование методов идентификации
программного обеспечения и их характеристик /С.Г.Семенов // Системи
обробки інформації. – Х.:
ХУ ПС,2015. – Вип. 12(137). – С. 148-150.
5.
С.М. Порошин, О.О. Можаєв, М.О.
Можаєв “Методологія проведення pen-тестування веб-додатків”/[Електроннийресурс]. – Режим доступу:
http://www.hups.mil.gov.ua /soi_201 _3_10.pdf.