Сучасні інформаційні технології/4. Інформаційна безпека

Коваль Д. Р., студент, Мелешко О. О., доц.

Національний авіаційний університет, Київ

ВЕБ-СЕРВЕРИ, ЗАГРОЗИ ЇМ ТА ЗАХОДИ ЗАХИСТУ

У зв’язку з швидким розвитком цієї області, веб-додатки, а в основному це веб-сайти, найбільш уразливі до різних несанкціонованих дій на відміну від інших клієнт-серверних додатків. Як правило, окрім соціальної інженерії, можливість несанкціонованих дій з’являється від нестачі належної уваги з боку розробника до свого продукту. Так можливі такі загрози:

·        SSI(Server Side Includes) ін’єкції. Перед генерацією HTML сторінки сервер може виконувати SSI-сценарії. Атаки даного класу дозволять зловмиснику передати виконуваний код на сторону веб-серверу, де він в подальшому буде виконуватися. Це дозволяє зловмиснику отримувати доступ до виконання команд в операційній системи та змінювати її вміст. Уразливості, що призводять до цих атак, зазвичай полягають у недостатній або зовсім відсутній перевірці даних, наданих користувачем, перед їх збереженням на сервері. Спосіб протидії – грамотна фільтрація одержуваних строкових параметрів та їх усічення.

·        SQL(Structured Query Language) ін’єкції. Атаки реалізуються так само як і SSI ін’єкції але спрямовані на веб-сервери, що створюють SQL запити до серверів СУБД на основі даних, що вводять користувачі. Таким чином зловмисник може отримати доступ до баз даних веб-серверу та змінювати їх зміст. Способами протидії може слугувати вищеописаний спосіб для захисту від SSI ін’єкцій, а також створення користувача БД з обмеженими правами, що дозволить обмежити можливості зловмисника.

·        Атака на переповнення буфера. Це метод атаки,  реалізація котрої основана на записі даних на сервер виходячи за межі буферу, тим самим перезаписуючи недоступні дані. Для захисту від цього класу атак потрібно, ретельно перевіряти вхідні параметри CGI(Common Gateway Interface) сценаріїв написаних на мовах, таких як C або C++ де контроль за переповненням даних відслідковується на рівні не самої мови а на рівні розробника. Вхідні параметри CGI сценаріїв не повинні дозволити зловмиснику передавати дані, більші ніж виділений для них розмір. Також слід подбати про своєчасне оновлення програм серверів.

·        XSS(Cross-Site Scripting) ін’єкції. Наявність уразливості XSS, дозволяє атакуючому виконати ін’єкцію сценарію в контент веб-сайту, тобто передати через сервер виконуваний код, який буде переадресовано браузеру користувача. На сьогодні найпоширеніший вид атаки, оскільки з ростом популярності на веб, інтернет наповнився різними формами зворотного зв’язку. Захист від цього виду атак зводиться до фільтрації даних, одержаних від користувача.

·        Недостатня автентифікація та авторизація. Ця вразливість виникає, коли веб-сервер дозволяє атакуючому отримувати доступ до важливої інформації без належної автентифікації. Рішенням для усунення цієї вразливості слугує  додаткова автентифікація користувача для доступу до адміністраторської частини сайту, не дивлячись на загальну автентифікацію на сайті. Слід відслідковувати адреси сайту на відсутність доступу до ділянки сайту котра призначена для адміністрації, без потрібної автентифікації. Потрібне чітке розмежовування прав користувачів.

·        Відсутність часу життя сесії. У разі, якщо до ідентифікатора сесії або облікових даних час життя занадто великий або взагалі відсутній, зловмисник може скористатися старими даними для автентифікації. Таким чином, потрібно обмежувати час життя сесії для запобігання атак.

·        Передбачуване значення ідентифікатора сесії. Дозволяє перехоплювати сесії інших користувачів. Подібні атаки виконуються шляхом передбачення або вгадування унікального ідентифікатора сесії користувача. Засобами боротьби з цим видом атак є правильна конфігурація веб сервера, і надійна реалізація механізму сесій.

·        Виконання команд операційної системи. Атаки цього класу спрямовані на виконання команд операційної системи на веб сервері шляхом маніпуляції вихідними даними. Рішення даної проблеми – правильно налаштований сервер.

·        Індексація директорій. При відсутності сторінки, яка відображається за замовчуванням (index.html, home.html, default.html, тощо), веб сервер може надавати список файлів в директорії. Цей список може використовуватися для перегляду інформації, доступ до якої повинен бути закритий для звичайних користувачів. Рішенням цієї проблеми є встановлення фалу-сторінки за замовчуванням, навіть якщо він порожній чи встановлення на директорії прав доступу.

·        Відмова в обслуговуванні. Даний клас атак спрямований на порушення доступності веб сервера. Поширений вид атак, засобами захисту від котрих є введення обмежень на кількість посилань на сервер в одиницю часу.

·        Підбір. Найпростіший метод атак шляхом перебору всіх можливих варіантів. Існує безліч варіантів реалізації захисту від цього типу атак таких, як статичне обмеження на кількість помилок чи обмеження на кількість запитів до серверу з подальшим зростанням проміжку часу між запитами.

·        Вразливості в готових додатках. При використанні готових додатків можлива наявність в них помилок. Більшість таких додатків, публічні і мають відкритий код, що дозволяє атакуючому проаналізувати помилки та виявити вразливості в системі. Засобами захисту слугує своєчасне оновлення додатків, переховування їх версій чи використання своїх рішень.