المسح لأمن موارد الويب. كيفية حماية تطبيق الويب: النصائح الأساسية والأدوات والروابط المفيدة. الجدة العلمية المزعومة

أظهر أن أكثر من 70% من مواقع الويب التي تم فحصها مصابة بواحدة أو أكثر من نقاط الضعف.

باعتبارك مالك تطبيق ويب، كيف يمكنك التأكد من أن موقعك محمي من التهديدات عبر الإنترنت؟ أو من تسرب المعلومات السرية؟

إذا كنت تستخدم حلاً أمنيًا قائمًا على السحابة، فمن المحتمل أن يكون فحص الثغرات الأمنية بشكل منتظم جزءًا من خطة الأمان الخاصة بك.

ومع ذلك، إذا لم يكن الأمر كذلك، فأنت بحاجة إلى إجراء فحص روتيني واتخاذ الإجراءات اللازمة الإجراءات اللازمةللتخفيف من المخاطر.

هناك نوعان من الماسح الضوئي.

1.تجاري - يمنحك القدرة على أتمتة المسح من أجل الأمان المستمر وإعداد التقارير والتنبيهات، تعليمات مفصلةبشأن تخفيف المخاطر وما إلى ذلك. بعض الأسماء الشهيرة في هذه الصناعة هي:

أكونيتكس
كشف
كواليس

مفتوح المصدر/مجاني - يمكنك تنزيل عمليات التحقق من الأمان وتشغيلها عند الطلب.

لن تكون جميعها قادرة على تغطية مجموعة واسعة من نقاط الضعف مثل الثغرات التجارية.

دعونا نلقي نظرة على ماسحات الثغرات الأمنية مفتوحة المصدر التالية.

1. أراشني

Arachni عبارة عن ماسح ضوئي أمني عالي الأداء تم تصميمه فوق Ruby لتطبيقات الويب الحديثة.

وهو متوفر بتنسيق ثنائي لأنظمة التشغيل Mac وWindows وLinux.

إنه ليس حلاً لموقع ويب ثابت أو CMS أساسي فحسب، بل إن Arachni قادر أيضًا على التكامل مع الأنظمة الأساسية التالية.

ينفذ الشيكات النشطة والسلبية.

ويندوز، سولاريس، لينكس، بي إس دي، يونكس
إنجينكس، أباتشي، تومكات، IIS، جيتي
جافا، روبي، بايثون، ASP، PHP
جانغو، ريلز، CherryPy، CakePHP، ASP.NET MVC، Symfony

بعض نقاط الضعف المكتشفة:

حقن NoSQL / Blind / SQL / Code / LDAP / Command / XPath
طلب تزوير البرمجة النصية عبر المواقع
تجاوز المسار
بما في ذلك الملف المحلي/البعيد
تقسيم الجواب
عبر موقع البرمجة
عمليات إعادة توجيه DOM غير محددة
إفشاء مصدر الرمز

2. اكس اس باي

يتم استخدام أداة فحص الثغرات الأمنية XSS (Cross Site Scripting) المستندة إلى لغة python من قبل العديد من المؤسسات بما في ذلك Microsoft وStanford وMotorola وInformatica وغيرها.

XssPy من Faizan Ahmad هي أداة ذكية. فبدلاً من مجرد التحقق من الصفحة الرئيسية أو الصفحة، فإنه يتحقق من الرابط بأكمله الموجود على مواقع الويب.

يتحقق XssPy أيضًا من النطاق الفرعي.

3.w3af

w3af هو مشروع مفتوح المصدر بدأ في أواخر عام 2006، وهو يعتمد على لغة Python وهو متاح لنظامي التشغيل Linux وWindows. w3af قادر على اكتشاف أكثر من 200 نقطة ضعف، بما في ذلك أعلى 10 نقاط ضعف في OWASP.

وهو يدعم طرق التسجيل المختلفة لإعداد التقارير.مثال:

CSV
لغة البرمجة
وحدة التحكم
نص
XML
بريد إلكتروني عنوان

إنه مبني على بنية المكونات الإضافية ويمكنك التحقق من جميع المكونات الإضافية المتاحة.

4. نيكتو

وهو مشروع مفتوح المصدر برعاية Netsparker، ويهدف إلى اكتشاف التكوينات الخاطئة لخادم الويب والمكونات الإضافية ونقاط الضعف على الإنترنت.

5. فز

Wfuzz (Web Fuzzer) هي أداة لتقييم التطبيقات لاختبار الاختراق.

يمكنك إيقاف البيانات الموجودة في طلب HTTP لأي حقل لاستخدام تطبيق الويب والتحقق من صحته.

يتطلب Wfuzz وجود لغة Python على الكمبيوتر الذي تريد إجراء الفحص عليه.

6. أواسب زاب

ZAP (Zet Attack Proxy) هي إحدى أدوات اختبار الاختراق الشهيرة التي يتم تحديثها بشكل نشط بواسطة مئات المتطوعين حول العالم.

إنها أداة Java مشتركة بين الأنظمة الأساسية ويمكن تشغيلها حتى على Raspberry Pi.

يوجد ملف ZIP بين المتصفح وتطبيق الويب لاعتراض الرسائل والتحقق منها.

تجدر الإشارة إلى بعض ميزات ZAP التالية.

زغب
الماسح الضوئي التلقائي والسلبي
يدعم لغات البرمجة النصية المتعددة
عرض القسري

7. وابيتي

يقوم Wapiti بالزحف إلى صفحات الويب الخاصة بهدف معين ويبحث عن البرامج النصية ونماذج إدخال البيانات لمعرفة ما إذا كان عرضة للخطر.

هذا ليس فحصًا أمنيًا لرمز المصدر، بل هو فحص للصندوق الأسود.

وهو يدعم أساليب GET وPOST HTTP، ووكلاء HTTP وHTTPS، والمصادقة المتعددة، وما إلى ذلك.

8. فيجا

تم تطوير Vega بواسطة Subgraph، وهو برنامج متعدد المنصات مكتوب بلغة Java للعثور على XSS وSQLi وRFI والعديد من الثغرات الأمنية الأخرى.

حصلت فيغا على الراحة واجهة المستخدم الرسوميةوقادر على إجراء المسح التلقائي عن طريق تسجيل الدخول إلى التطبيق باستخدام بيانات الاعتماد المحددة.

إذا كنت مطورًا، فيمكنك استخدام vega API لإنشاء وحدات هجوم جديدة.

9. خريطة SQL

كما يمكنك التخمين من الاسم، يمكنك من خلاله إجراء اختبار الاختراق على قاعدة البيانات للعثور على العيوب.

يعمل مع Python 2.6 أو 2.7 على أي نظام تشغيل. إذا كنت تريد ذلك، فسيكون sqlmap أكثر فائدة من أي وقت مضى.

10. المنتزع

تقوم هذه الأداة الصغيرة المبنية على لغة بايثون ببعض الأشياء بشكل جيد.

بعض مميزات برنامج Grabber :

جافا سكريبت محلل كود المصدر
البرمجة النصية عبر المواقع، وحقن SQL، وحقن SQL الأعمى
اختبار تطبيقات PHP باستخدام PHP-SAT

11. جوليسميرو

إطار عمل لإدارة وتشغيل بعض أدوات الأمان الشائعة مثل Wfuzz وDNS recon وsqlmap وOpenVas ومحلل الروبوت وما إلى ذلك).

يمكن لـ Golismero دمج المراجعات من الأدوات الأخرى وإظهار نتيجة واحدة.

12. أواسب زينوتيكس XSS

Xenotix XSS OWASP هو إطار عمل متقدم للبحث واستغلال البرمجة النصية عبر المواقع.

يحتوي على ثلاثة منصهرات ذكية مدمجة لإجراء مسح سريع وتحسين النتائج.

13. ميتاسكان

الماسح الضوئي للبحث عن نقاط الضعف في تطبيقات الويب من المطورين المحليين

فئة: .

المؤلف: مكسدخان ياكوبوف، بوجدان شكلياريفسكي.

تتناول هذه المقالة مشاكل إدارة موارد الويب، بالإضافة إلى الأساليب والأساليب والتوصيات للإدارة الآمنة والحماية من القرصنة والهجمات الإلكترونية.

الخطوة الأولى في تصميم أو إنشاء أو تشغيل موقع ويب آمن هي التأكد من أن الخادم الذي يستضيفه آمن قدر الإمكان.

المكون الرئيسي لأي خادم ويب هو نظام التشغيل. يعد ضمان سلامته أمرًا بسيطًا نسبيًا: ما عليك سوى تثبيته في الوقت المناسب آخر التحديثاتانظمة حماية.

ومن الجدير بالذكر أن المتسللين يميلون أيضًا إلى أتمتة هجماتهم باستخدام البرامج الضارة التي تمر عبر خادم تلو الآخر، بحثًا عن خادم حيث يكون التحديث قديمًا أو لم يتم تثبيته. ولذلك، يوصى بالتأكد من تثبيت التحديثات بسرعة وبشكل صحيح؛ قد يتعرض أي خادم مثبت عليه إصدارات قديمة من التحديثات للهجوم.

يجب عليك أيضًا تحديث كافة البرامج التي تعمل على خادم الويب في الوقت المحدد. أي برنامج لا علاقة له المكونات الضرورية(على سبيل المثال، خادم DNS أو أدوات الإدارة عن بعد مثل VNC أو خدمات سطح المكتب البعيد) يجب تعطيلها أو إزالتها. إذا كانت أدوات الإدارة عن بعد مطلوبة، فاحرص على عدم استخدام كلمات المرور الافتراضية أو كلمات المرور التي يمكن تخمينها بسهولة. لا تنطبق هذه الملاحظة على أدوات الإدارة عن بعد فحسب، بل تنطبق أيضًا على حسابات المستخدمين وأجهزة التوجيه والمحولات.

التالي نقطة مهمةهو برنامج مكافحة الفيروسات. يعد استخدامه متطلبًا إلزاميًا لأي مورد ويب، بغض النظر عما إذا كان يتم استخدامه كمنصة Windows أو Unix. عند دمجها مع جدار حماية مرن، تصبح برامج مكافحة الفيروسات واحدة من أكثر البرامج طرق فعالةالحماية ضد الهجمات السيبرانية. عندما يصبح خادم الويب هدفًا للهجوم، يحاول المهاجم على الفور تنزيل أدوات القرصنة أو البرامج الضارة من أجل استغلال الثغرات الأمنية. في غياب برامج مكافحة الفيروسات عالية الجودة، يمكن أن تظل الثغرة الأمنية غير مكتشفة لفترة طويلة وتؤدي إلى عواقب غير مرغوب فيها.

أكثر الخيار الأفضلعند حماية موارد المعلومات، هناك نهج متعدد المستويات. على الجانب الأمامي يوجد جدار الحماية ونظام التشغيل؛ برنامج مكافحة الفيروسات الذي يقف خلفهم جاهز لملء أي ثغرات قد تنشأ.

بناء على المعلمات نظام التشغيلووظيفة خادم الويب، يمكن ذكر الأساليب العامة التالية للحماية من الهجمات السيبرانية:

• لا تقم بتثبيت المكونات غير الضرورية. يحمل كل مكون معه تهديدًا منفصلاً؛ كلما زاد عددها، كلما ارتفع إجمالي المخاطر.
• حافظ على تحديث نظام التشغيل والتطبيقات لديك من خلال التحديثات الأمنية.
• استخدم برنامج مكافحة الفيروسات وقم بتشغيله التثبيت التلقائيالتحديثات والتحقق بانتظام من تثبيتها بشكل صحيح.

قد تبدو بعض هذه المهام صعبة، لكن تذكر أن الهجوم لا يتطلب سوى ثغرة أمنية واحدة. تشمل المخاطر المحتملة في هذه الحالة سرقة البيانات وحركة المرور، وإدراج عنوان IP الخاص بالخادم في القائمة السوداء، والإضرار بسمعة المؤسسة، وعدم استقرار موقع الويب.

وفقًا لدرجة خطورة الثغرات الأمنية، كقاعدة عامة، هناك 5 مستويات تحدد حالة الثغرة الأمنية. هذه اللحظةهناك مورد ويب (الجدول 1). عادةً، يحاول المهاجمون، بناءً على أهدافهم ومؤهلاتهم، الحصول على موطئ قدم على المورد المخترق وإخفاء وجودهم.

لا يمكن دائمًا التعرف على اختراق الموقع من خلال علامات خارجية (إعادة التوجيه عبر الهاتف المحمول، أو روابط البريد العشوائي على الصفحات، أو لافتات الأشخاص الآخرين، أو التشويه، وما إلى ذلك). وفي حالة تعرض الموقع للاختراق، فقد لا تكون هذه العلامات الخارجية موجودة. يمكن أن يعمل المورد بشكل طبيعي، دون انقطاعات أو أخطاء أو إدراجه في القوائم السوداء لمكافحة الفيروسات. لكن هذا لا يعني أن الموقع آمن. المشكلة هي أنه من الصعب ملاحظة حقيقة القرصنة وتنزيل البرامج النصية للقرصنة دون إجراء تدقيق أمني، ويمكن أن تظل أغطية الويب والأبواب الخلفية وأدوات القرصنة الأخرى نفسها على الاستضافة لفترة طويلة ولا يتم استخدامها لأغراضهم الغرض المقصود. ولكن في يوم من الأيام تأتي لحظة يبدأ فيها أحد المهاجمين في استغلالها بشدة، مما يؤدي إلى مشاكل لمالك الموقع. بالنسبة للبريد العشوائي أو نشر صفحات التصيد، يتم حظر الموقع على الاستضافة (أو يتم تعطيل جزء من الوظيفة)، ويكون ظهور عمليات إعادة التوجيه أو الفيروسات على الصفحات محفوفًا بالحظر من برامج مكافحة الفيروسات والعقوبات من محركات البحث. في مثل هذه الحالة، من الضروري "معالجة" الموقع بشكل عاجل، ثم تثبيت الحماية ضد القرصنة حتى لا تكرر المؤامرة نفسها. في كثير من الأحيان، لا تتعرف برامج مكافحة الفيروسات القياسية على بعض أنواع أحصنة طروادة وقذائف الويب، وقد يكون السبب في ذلك هو التحديثات غير المناسبة أو البرامج القديمة. عند التحقق من مورد الويب بحثًا عن الفيروسات والبرامج النصية، يجب عليك استخدام برامج مكافحة الفيروساتمن تخصصات مختلفة، في هذه الحالة يمكن اكتشاف حصان طروادة الذي لم يتم العثور عليه بواسطة أحد برامج مكافحة الفيروسات بواسطة برنامج آخر. يوضح الشكل 1 مثالاً لتقرير فحص برنامج مكافحة الفيروسات، ومن المهم ملاحظة حقيقة أن برامج مكافحة الفيروسات الأخرى لم تتمكن من اكتشاف البرامج الضارة.

يستخدم المهاجمون أحصنة طروادة مثل "PHP/Phishing.Agent.B" و"Linux/Roopre.E.Gen" و"PHP/Kryptik.AE" من أجل جهاز التحكمحاسوب. غالبًا ما تدخل مثل هذه البرامج إلى موقع الويب من خلاله بريد إلكترونيأو البرامج المجانية أو مواقع الويب الأخرى أو غرف الدردشة. في معظم الأحيان، يعمل هذا البرنامج كملف مفيد. ومع ذلك، فهو عبارة عن حصان طروادة ضار يقوم بجمع المعلومات الشخصية للمستخدمين ونقلها إلى المهاجمين. بالإضافة إلى ذلك، يمكنه الاتصال تلقائيًا بمواقع ويب معينة وتنزيل أنواع أخرى من البرامج الضارة على النظام. لتجنب الكشف والإزالة، قد يقوم "Linux/Roopre.E.Gen" بتعطيل ميزات الأمان. تم تطوير برنامج حصان طروادة هذا باستخدام تقنية الجذور الخفية، مما يسمح له بالاختباء داخل النظام.

• "PHP/WebShell.NCL" هو برنامج حصان طروادة الذي يمكن أن يؤدي وظائف مختلفة، مثل حذف ملفات النظام، تحميل البرمجيات الخبيثةأو إخفاء المكونات الموجودة أو المعلومات الشخصية التي تم تنزيلها والبيانات الأخرى. يمكن لهذا البرنامج تجاوز الفحص العام لمكافحة الفيروسات والدخول إلى النظام دون علم المستخدم. هذا البرنامجقادر على تثبيت باب خلفي للمستخدمين البعيدين للتحكم في موقع ويب مصاب. وباستخدام هذا البرنامج، يمكن للمهاجم التجسس على المستخدم وإدارة الملفات وتثبيت برامج إضافية والتحكم في النظام بأكمله.
• "JS/TrojanDownloader.FakejQuery. أ" - برنامج طروادة، أهدافه الرئيسية هي المواقع المطورة باستخدام نظام إدارة المحتوى "WordPress" و"Joomla". عندما يقوم أحد المهاجمين باختراق موقع ويب، فإنه يقوم بتشغيل برنامج نصي يحاكي تثبيت مكونات WordPress أو Joomla الإضافية ثم يقوم بإدخال تعليمات برمجية JavaScript ضارة في ملف header.php.
• "PHP/small.NBK" - هو تطبيق ضار يسمح للمتسللين بالوصول عن بعد إليه نظام الكمبيوترمما يسمح لهم بتعديل الملفات وسرقة المعلومات الشخصية وتثبيت المزيد من البرامج الضارة. عادةً ما يتم تنزيل هذه الأنواع من التهديدات، والتي تسمى أحصنة طروادة، بواسطة مهاجم أو يتم تنزيلها بواسطة برنامج آخر. وقد تظهر أيضًا بسبب تثبيت التطبيقات المصابة أو الألعاب عبر الإنترنت، وكذلك عند زيارة المواقع المصابة.

لسوء الحظ، لا يتم اكتشاف البرامج النصية للهاكر عن طريق علامات خارجية أو عن طريق الماسحات الضوئية الخارجية. لذلك، لن تقوم برامج مكافحة فيروسات محركات البحث أو برامج مكافحة الفيروسات المثبتة على كمبيوتر مشرف الموقع بالإبلاغ عن مشكلات أمان الموقع. إذا كانت البرامج النصية موجودة في مكان ما في أدلة نظام الموقع (وليس في الجذر أو الصور) أو تم إدخالها في البرامج النصية الموجودة، فلن يتم ملاحظتها أيضًا عن طريق الخطأ.

الشكل 1. مثال على تقرير فحص برنامج مكافحة الفيروسات

ولذلك، قد تكون التوصيات التالية بمثابة تدابير ضرورية لحماية موارد الويب:

1. عادي دعمكل المحتوى نظام الملفاتوقواعد البيانات وسجلات الأحداث (ملفات السجل).
2. تحديث نظام إدارة المحتوى بانتظام إلى أحدث إصدار ثابت من نظام إدارة المحتوى (CMS).
3. استخدام كلمات مرور معقدة. متطلبات كلمة المرور: يجب أن تحتوي كلمة المرور على ثمانية أحرف على الأقل، ويجب استخدام الأحرف الكبيرة والصغيرة وكذلك الأحرف الخاصة عند إنشاء كلمة المرور.
4. من الضروري استخدام الوظائف الإضافية أو المكونات الإضافية للأمان لمنع الهجمات مثل هجوم XSS أو حقن SQL.
5. يجب أن يتم استخدام وتثبيت الوظائف الإضافية (المكونات الإضافية أو القوالب أو الإضافات) فقط من مصادر موثوقة أو مواقع المطورين الرسمية.
6. فحص نظام الملفات مرة واحدة على الأقل في الأسبوع باستخدام برامج مكافحة الفيروسات واستخدام توقيعات قاعدة البيانات الحديثة.
7. توفير استخدام آلية CAPTCHA لحماية الموقع من الاختراق عن طريق كلمات المرور الغاشمة أثناء التفويض وإدخال البيانات في أي نموذج طلب (نموذج تعليقوالبحث وغيرها).
8. تقييد القدرة على الدخول لوحة إداريةالتحكم في موقع الويب بعد عدد معين من المحاولات غير الناجحة.
9. قم بتكوين سياسة أمان موقع الويب بشكل صحيح من خلال ملف تكوين خادم الويب، مع مراعاة المعلمات مثل:

• الحد من عدد عناوين IP التي يستخدمها المسؤول للوصول إلى لوحة التحكم الإدارية للموقع لمنع الوصول إليها من عناوين IP غير المصرح بها؛
• منع إرسال أي علامات بأي وسيلة أخرى غير تنسيق النص (مثل p b i u) لمنع هجمات XSS.

1. نقل الملفات التي تحتوي على معلومات حول الوصول إلى قاعدة البيانات والوصول إلى FTP وما إلى ذلك من الدلائل الافتراضية إلى الآخرين ثم إعادة تسمية هذه الملفات.

حتى بالنسبة للمتسللين الأقل خبرة، فمن السهل جدًا اختراق موقع Joomla إذا لم توفر الحماية. لكن لسوء الحظ، غالبًا ما يؤجل مشرفو المواقع حماية مواقعهم من الاختراق إلى وقت لاحق، معتبرين أن ذلك أمر غير ضروري. ستستغرق استعادة الوصول إلى موقعك وقتًا وجهدًا أكبر بكثير من اتخاذ التدابير اللازمة لحمايته. إن أمان مورد الويب ليس فقط مهمة المطور والمضيف، الملزم بضمان أقصى قدر من الأمان للخوادم، ولكن أيضًا مهمة مسؤول الموقع.

مقدمة

في الأعمال الحديثةاكتسبت تقنيات الويب شعبية هائلة. معظم المواقع الشركات الكبيرةهي مجموعة من التطبيقات التي تحتوي على أدوات تفاعلية وتخصيصية ووسائل للتفاعل مع العملاء (المتاجر الإلكترونية، المتاجر عن بعد خدمات بنكية)، وفي كثير من الأحيان - وسائل التكامل مع تطبيقات الشركة الداخلية.

ومع ذلك، بمجرد أن يصبح موقع الويب متاحًا على الإنترنت، يصبح هدفًا للهجمات السيبرانية. معظم بطريقة بسيطةالهجمات على موقع الويب اليوم هي استغلال نقاط الضعف في مكوناته. والمشكلة الرئيسية هي أن نقاط الضعف أصبحت شائعة جدًا على مواقع الويب الحديثة.

تمثل نقاط الضعف تهديدًا وشيكًا ومتزايدًا. وهي، في معظمها، نتيجة عيوب أمنية في كود تطبيق الويب والتكوين الخاطئ لمكونات موقع الويب.

دعونا نعطي بعض الإحصاءات. وفقًا للبيانات الواردة في تقرير التهديدات السيبرانية للنصف الأول من عام 2016، يُصدر High-Tech Bridge اتجاهات أمان الويب للنصف الأول من عام 2016، والذي أعدته High-Tech Bridge:

• أكثر من 60% من خدمات الويب أو واجهات برمجة التطبيقات لـ تطبيقات الهاتف الجوالتحتوي على ثغرة أمنية خطيرة واحدة على الأقل تسمح باختراق قاعدة البيانات؛
• 35% من المواقع المعرضة لهجمات XSS معرضة أيضًا لهجمات SQL وهجمات XXE؛
• 23% من المواقع تحتوي على ثغرة POODLE، و0.43% فقط - Heartbleed؛
• زادت حالات استغلال الثغرات الأمنية الخطيرة (على سبيل المثال، السماح بحقن SQL) أثناء هجمات RansomWeb بمقدار 5 مرات؛
• 79.9% من خوادم الويب لديها رؤوس http خاطئة أو غير آمنة؛
• تم تثبيت التحديثات والإصلاحات المطلوبة اليوم على 27.8% فقط من خوادم الويب.

لحماية موارد الويب والمتخصصين أمن المعلوماتاستخدام مجموعة مختلفة من الأدوات. على سبيل المثال، يتم استخدام شهادات SSL لتشفير حركة المرور، ويتم تثبيت جدار حماية تطبيقات الويب (WAF) على محيط خوادم الويب، الأمر الذي يتطلب تكوينًا جديًا وتعلمًا ذاتيًا طويلًا. من الوسائل الفعالة بنفس القدر لضمان أمان موقع الويب هو التحقق بشكل دوري من حالة الأمان (البحث عن نقاط الضعف)، وأدوات إجراء مثل هذه الفحوصات هي أدوات فحص أمان موقع الويب، والتي تم ذكرها أيضًا سنتحدثفي هذا الاستعراض.

يحتوي موقعنا الإلكتروني بالفعل على مراجعة مخصصة لبرامج فحص أمان تطبيقات الويب - ""، والتي استعرضت المنتجات من رواد السوق. في هذه المراجعة، لن نتطرق بعد الآن إلى هذه المواضيع، بل سنركز على مراجعة أدوات فحص أمان مواقع الويب المجانية.

موضوع البرمجيات الحرة له أهمية خاصة اليوم. نظرًا للوضع الاقتصادي غير المستقر في روسيا، تعمل العديد من المؤسسات (سواء التجارية أو القطاع العام) حاليًا على تحسين ميزانيات تكنولوجيا المعلومات الخاصة بها، وغالبًا ما لا يكون هناك ما يكفي من المال لشراء منتجات تجارية باهظة الثمن لتحليل أمان النظام. في الوقت نفسه، هناك العديد من الأدوات المساعدة المجانية (المجانية، مفتوحة المصدر) للبحث عن نقاط الضعف التي لا يعرفها الناس ببساطة. علاوة على ذلك، فإن البعض منهم ليس أقل شأنا في وظائفلمنافسيهم المدفوعين. لذلك، سنتحدث في هذه المقالة عن أدوات فحص أمان مواقع الويب المجانية الأكثر إثارة للاهتمام.

ما هي الماسحات الضوئية الأمنية للموقع؟

أدوات فحص أمان مواقع الويب هي أدوات برمجية (أجهزة وبرامج) تبحث عن العيوب في تطبيقات الويب (نقاط الضعف) التي تؤدي إلى انتهاك سلامة النظام أو بيانات المستخدم، أو سرقتها، أو السيطرة على النظام ككل.

باستخدام أدوات فحص أمان مواقع الويب، يمكنك اكتشاف نقاط الضعف في الفئات التالية:

• نقاط الضعف في مرحلة الترميز؛
• نقاط الضعف في مرحلة التنفيذ والتكوين لتطبيق الويب؛
• نقاط الضعف في مرحلة تشغيل الموقع.

تشمل الثغرات الأمنية في مرحلة الترميز الثغرات المرتبطة بالمعالجة غير الصحيحة لبيانات الإدخال والإخراج (حقن SQL، XSS).

تتضمن الثغرات الأمنية في مرحلة تنفيذ موقع الويب الثغرات المرتبطة بالإعدادات غير الصحيحة لبيئة تطبيق الويب (خادم الويب، خادم التطبيقات، SSL/TLS، إطار العمل، مكونات الطرف الثالث، وجود وضع التصحيح، وما إلى ذلك).

تشمل نقاط الضعف في المرحلة التشغيلية لموقع الويب نقاط الضعف المرتبطة باستخدام البرامج القديمة، كلمات مرور بسيطة، تخزين النسخ المؤرشفة على خادم الويب في الوصول العاموتوافر وحدات الخدمة المتاحة للعامة (phpinfo)، وما إلى ذلك.

كيف تعمل الماسحات الضوئية الأمنية لموقع الويب

بشكل عام، مبدأ تشغيل فاحص أمان موقع الويب هو كما يلي:

• جمع المعلومات حول الكائن قيد الدراسة.
• تدقيق برامج موقع الويب بحثًا عن نقاط الضعف باستخدام قواعد بيانات الضعف.
• تحديد نقاط الضعف في النظام.
• تشكيل توصيات للقضاء عليها.

فئات الماسحات الضوئية الأمنية للموقع

يمكن تقسيم أدوات فحص أمان مواقع الويب، حسب الغرض منها، إلى الفئات (الأنواع) التالية:

• الماسحات الضوئية للشبكة - هذا النوعتكشف الماسحات الضوئية عن خدمات الشبكة المتوفرة، وتقوم بتثبيت إصداراتها، وتحدد نظام التشغيل، وما إلى ذلك.
• الماسحات الضوئية للبحث عن نقاط الضعف في البرامج النصية على شبكة الإنترنت- يبحث هذا النوع من الماسحات الضوئية عن الثغرات الأمنية مثل SQL inj، أو XSS، أو LFI/RFI، وما إلى ذلك، أو عن الأخطاء (غير الملفات المؤقتة المحذوفة، أو فهرسة الدليل، وما إلى ذلك).
• استغلال المكتشفون- تم تصميم هذا النوع من الماسحات الضوئية للبحث الآلي عن عمليات الاستغلال في برمجةوالنصوص.
• أدوات أتمتة الحقن- المرافق التي تتعامل بشكل خاص مع البحث عن الحقن واستغلالها.
• مصححات الأخطاء- أدوات لإصلاح الأخطاء وتحسين التعليمات البرمجية في تطبيق الويب.

هناك أيضًا أدوات مساعدة عالمية تتضمن إمكانيات عدة فئات من الماسحات الضوئية في وقت واحد.

فيما يلي نظرة عامة مختصرة على أدوات فحص أمان مواقع الويب المجانية. نظرا لوجود الكثير من الأدوات المساعدة المجانية، يتم تضمين الأدوات المجانية الأكثر شعبية فقط لتحليل أمان تقنيات الويب في المراجعة. عند تضمين أداة مساعدة معينة في المراجعة، تم تحليل الموارد المتخصصة حول موضوع أمان تكنولوجيا الويب:

مراجعة موجزة لبرامج فحص أمان مواقع الويب المجانية

الماسحات الضوئية للشبكة

نماب

نوع الماسح الضوئي: ماسح شبكي.

Nmap (مخطط الشبكة) هو أداة مساعدة مجانية ومفتوحة المصدر. وهو مصمم لفحص الشبكات بأي عدد من الكائنات، وتحديد حالة كائنات الشبكة الممسوحة ضوئيًا، بالإضافة إلى المنافذ والخدمات المقابلة لها. للقيام بذلك، يستخدم Nmap العديد من طرق المسح المختلفة، مثل UDP، واتصال TCP، وTCP SYN (نصف مفتوح)، وكيل FTP (اختراق ftp)، والمعرف العكسي، وICMP (ping)، وFIN، وACK، وشجرة عيد الميلاد، وSYN. والمسح الضوئي.

يدعم Nmap أيضًا مجموعة واسعة من الميزات الإضافية، وهي: تحديد نظام التشغيل للمضيف البعيد باستخدام بصمات حزمة TCP/IP، والمسح "غير المرئي"، والحساب الديناميكي لزمن الوصول وإعادة إرسال الحزمة، والمسح المتوازي، وتحديد المضيفين غير النشطين باستخدام استقصاء ping المتوازي ، والمسح باستخدام مضيفين زائفين، والكشف عن وجود مرشحات الحزم، ومسح RPC المباشر (بدون استخدام portmapper)، والمسح الضوئي باستخدام تجزئة IP، بالإضافة إلى الإشارة التعسفية لعناوين IP وأرقام منافذ الشبكات الممسوحة ضوئيًا.

حصل Nmap على حالة المنتج الأمني ​​لهذا العام من المجلات والمجتمعات مثل Linux Journal وInfo World وLinuxQuestions.Org وCodetalker Digest.

النظام الأساسي: الأداة المساعدة مشتركة بين الأنظمة الأساسية.

مزيد من التفاصيل من الماسح الضوئي نمابيمكن استشارتها.

أدوات الملكية الفكرية

نوع الماسح الضوئي: ماسح شبكي.

أدوات IP عبارة عن محلل بروتوكول يدعم قواعد التصفية ومحول التصفية وفك تشفير الحزم ووصف البروتوكول وغير ذلك الكثير. معلومات مفصلةكل حزمة موجودة في شجرة الأنماط، وتسمح لك قائمة النقر بزر الماوس الأيمن بمسح عنوان IP المحدد.

بالإضافة إلى أداة شم الحزم، تقدم IP Tools مجموعة كاملة من أدوات الشبكة، بما في ذلك محول الإحصائيات ومراقبة حركة مرور IP وغير ذلك الكثير.

يمكنك معرفة المزيد عن الماسح الضوئي IP-Tools.

سكيفيش

يقوم ماسح ثغرات الويب عبر الأنظمة الأساسية Skipfish من المبرمج Michal Zalewski بإجراء تحليل متكرر لتطبيق الويب والتحقق من القاموس الخاص به، وبعد ذلك يقوم بإنشاء خريطة موقع مشروحة بتعليقات حول الثغرات الأمنية المكتشفة.

يتم تطوير الأداة داخليًا بواسطة Google.

يقوم الماسح الضوئي بإجراء تحليل مفصل لتطبيق الويب. من الممكن أيضًا إنشاء قاموس للاختبار اللاحق لنفس التطبيق. يحتوي تقرير Skipfish التفصيلي على معلومات حول الثغرات الأمنية المكتشفة، وعنوان URL للمورد الذي يحتوي على الثغرة الأمنية، والطلب المرسل. في التقرير، يتم فرز البيانات التي تم الحصول عليها حسب مستوى الخطورة ونوع الضعف. يتم إنشاء التقرير بتنسيق html.

تجدر الإشارة إلى أن أداة فحص ثغرات الويب Skipfish تولد قدرًا كبيرًا جدًا من حركة المرور، ويستغرق الفحص وقتًا طويلاً جدًا.

الأنظمة الأساسية: ماك، لينكس، ويندوز.

يمكنك معرفة المزيد عن الماسح الضوئي Skipfish.

وابيتي

نوع الماسح الضوئي: ماسح ضوئي للبحث عن الثغرات الأمنية في نصوص الويب.

Wapiti هي أداة مساعدة لوحدة التحكم لتدقيق تطبيقات الويب. إنه يعمل على مبدأ "الصندوق الأسود".

يعمل Wapiti على النحو التالي: أولاً، يقوم الماسح الضوئي WASS بتحليل بنية الموقع، والبحث عن البرامج النصية المتاحة، وتحليل المعلمات. يقوم Wapiti بعد ذلك بتشغيل التشويش ويستمر في المسح حتى يتم العثور على جميع النصوص البرمجية المعرضة للخطر.

يعمل الماسح الضوئي Wapiti WASS مع أنواع الثغرات الأمنية التالية:

• الكشف عن الملف (التضمين/الطلب المحلي والبعيد، fopen، readfile).
• حقن قاعدة البيانات (حقن PHP/JSP/ASP SQL وحقن XPath).
• حقن XSS (البرمجة عبر المواقع) (منعكس ودائم).
• كشف تنفيذ الأوامر (eval()، system()، passtru()...).
• حقن CRLF (تقسيم استجابة HTTP، تثبيت الجلسة...).
• حقن XXE (الكيان XmleXternal).
• استخدام الملفات التي يحتمل أن تكون خطرة.
• تكوينات .htaccess الضعيفة التي يمكن تجاوزها.
• وجود ملفات احتياطية تعطي معلومات حساسة (الكشف عن كود المصدر).

تم تضمين Wapiti في الأدوات المساعدة لتوزيع Kali Linux. يمكنك تنزيل المصادر من SourceForge واستخدامها على أي توزيعة تعتمد على Linux kernel. يدعم Wapiti طرق طلب GET وPOST HTTP.

الأنظمة الأساسية: ويندوز، يونكس، ماك.

يمكنك معرفة المزيد عن الماسح الضوئي Wapiti.

نيسوس

يعد الماسح الضوئي Nessus أداة قوية وموثوقة تنتمي إلى العائلة الماسحات الضوئية للشبكة، مما يسمح لك بالبحث عن نقاط الضعف في خدمات الشبكة التي تقدمها أنظمة التشغيل وجدران الحماية وأجهزة توجيه التصفية ومكونات الشبكة الأخرى. للبحث عن نقاط الضعف، يتم استخدامها ك الوسائل القياسيةاختبار وجمع المعلومات حول تكوين الشبكة وتشغيلها، و وسائل خاصة، ومحاكاة تصرفات المهاجم لاختراق الأنظمة المتصلة بالشبكة.

يمكنك معرفة المزيد عن الماسح الضوئي Nessus.

bsqlbf-v2

نوع الماسح الضوئي: أداة أتمتة الحقن.

bsqlbf-v2 هو برنامج نصي مكتوب بلغة Perl. القوة الغاشمة لحقن SQL العمياء. يعمل الماسح الضوئي مع كل من القيم الصحيحة في عنوان URL وقيم السلسلة.

الأنظمة الأساسية: MS-SQL، MySQL، PostgreSQL، Oracle.

يمكنك معرفة المزيد عن الماسح الضوئي bsqlbf-v2.

مصححات الأخطاء

جناح التجشؤ

نوع الماسح الضوئي: مصحح أخطاء.

Burp Suite عبارة عن مجموعة من التطبيقات المستقلة نسبيًا والمتعددة المنصات والمكتوبة بلغة Java.

جوهر المجمع هو وحدة Burp Proxy، التي تؤدي وظائف خادم وكيل محلي؛ المكونات المتبقية للمجموعة هي Spider و Intruder و Repeater و Sequencer و Decoder و Comparer. جميع المكونات مترابطة في كل واحد بحيث يمكن إرسال البيانات إلى أي جزء من التطبيق، على سبيل المثال، من الوكيل إلى الدخيل لإجراء فحوصات مختلفة على تطبيق الويب، من الدخيل إلى المكرر لإجراء تحليل يدوي أكثر شمولاً رؤوس HTTP.

المنصات: برامج متعددة المنصات.

يمكنك معرفة المزيد عن الماسح الضوئي Burp Suite.

العابث

نوع الماسح الضوئي: مصحح أخطاء.

Fiddler هو وكيل تصحيح يقوم بتسجيل كل حركة مرور HTTP(S). تتيح لك الأداة فحص حركة المرور هذه وتعيين نقطة توقف و"اللعب" بالبيانات الواردة أو الصادرة.

الميزات الوظيفية لعازف الكمان:

• القدرة على التحكم في جميع الطلبات، بسكويتالمعلمات المنقولة بواسطة متصفحات الإنترنت.
• وظيفة لتغيير استجابات الخادم على الطاير.
• القدرة على التعامل مع الرؤوس والطلبات.
• وظيفة لتغيير عرض القناة.

المنصات: برامج متعددة المنصات.

يمكنك معرفة المزيد عن الماسح الضوئي Fiddler.

N-Stalker Web Application Security Scanner X الإصدار المجاني

نوع الماسح الضوئي: ماسح ضوئي للبحث عن الثغرات الأمنية في سكربتات الويب، واستغلال أداة البحث.

أداة فعالة لخدمات الويب هي N-Stealth Security Scanner من N-Stalker. تبيع الشركة نسخة أكثر تميزًا من N-Stealth، ولكنها مجانية نسخه تجريبيهمناسبة تمامًا للتقييم البسيط. يحتوي المنتج المدفوع على أكثر من 30 ألف اختبار أمان لخادم الويب، ولكن أيضًا نسخة مجانيةيكتشف أكثر من 16 ألف ثغرة محددة، بما في ذلك نقاط الضعف في خوادم الويب المستخدمة على نطاق واسع مثل Microsoft IIS وApache. على سبيل المثال، يبحث N-Stealth عن البرامج النصية الضعيفة لواجهة البوابة العامة (CGI) والمعالج المسبق للنص التشعبي (PHP) ويستخدم الهجمات لاختراق خادم قاعدة البياناتوالسيناريوهات النموذجية عبر المواقع والفجوات الأخرى في خوادم الويب الشائعة.

يدعم N-Stealth كلاً من HTTP وHTTP Secure (HTTPS - باستخدام SSL)، ويطابق الثغرات الأمنية مع قاموس الثغرات الأمنية والتعرضات الشائعة (CVE) وقاعدة بيانات Bugtraq، وينشئ تقارير جيدة. يتم استخدام N-Stealth للعثور على نقاط الضعف الأكثر شيوعًا في خوادم الويب ويساعد في تحديد نواقل الهجوم الأكثر احتمالية.

بالطبع، للحصول على تقييم أكثر موثوقية لأمان موقع الويب أو التطبيقات، يوصى بشراء نسخة مدفوعة.

يمكنك معرفة المزيد عن الماسح الضوئي N-Stealth.

الاستنتاجات

يعد اختبار مواقع الويب لتحديد نقاط الضعف إجراءً وقائيًا جيدًا. يوجد حاليًا العديد من أدوات فحص أمان مواقع الويب التجارية والمتاحة مجانًا. في الوقت نفسه، يمكن أن تكون الماسحات الضوئية عالمية (حلول شاملة) ومتخصصة، ومصممة فقط لتحديد أنواع معينة من نقاط الضعف.

تعد بعض الماسحات الضوئية المجانية أدوات قوية جدًا وتُظهر عمقًا كبيرًا وعمقًا كبيرًا جودة جيدةالشيكات الموقع. ولكن قبل استخدام الأدوات المساعدة المجانية لتحليل أمان مواقع الويب، عليك التأكد من جودتها. يوجد اليوم بالفعل العديد من الطرق للقيام بذلك (على سبيل المثال، معايير تقييم ماسح تطبيق الويب الأمني، مشروع مواصفات ماسح تطبيق الويب OWASP).

الحلول الشاملة فقط هي التي يمكن أن توفر الصورة الأكثر اكتمالاً لأمن بنية تحتية معينة. في بعض الحالات، يكون من الأفضل استخدام العديد من أدوات الفحص الأمني.

1. الهدف والغايات

الغرض من العمل هو تطوير خوارزميات لزيادة أمان الوصول إلى الأجهزة الخارجية مصادر المعلوماتمن الشبكات التعليمية للشركات، مع الأخذ في الاعتبار التهديدات الأمنية المميزة لها، بالإضافة إلى خصائص مجموعة المستخدمين، والسياسات الأمنية، والحلول المعمارية، ودعم الموارد.

بناءً على الهدف، يتم حل المهام التالية في العمل:

1. إجراء تحليل للتهديدات الرئيسية لأمن المعلومات في الشبكات التعليمية.

2. تطوير طريقة للحد من الوصول إلى مصادر المعلومات غير المرغوب فيها في الشبكات التعليمية.

3. تطوير الخوارزميات التي تسمح بمسح صفحات الويب والبحث عن الاتصالات المباشرة وتنزيل الملفات لمزيد من التحليل للرموز الضارة المحتملة على المواقع.

4. تطوير خوارزمية لتحديد مصادر المعلومات غير المرغوب فيها على مواقع الويب.

2. أهمية الموضوع

تعتمد أنظمة التدريب الذكية الحديثة على الويب وتزود مستخدميها بالقدرة على العمل معها أنواع مختلفةالموارد التعليمية المحلية والبعيدة. مشكلة الاستخدام الآمنأصبحت موارد المعلومات (IR) المنشورة على الإنترنت ذات أهمية متزايدة باستمرار. إحدى الطرق المستخدمة لحل هذه المشكلة هي تقييد الوصول إلى موارد المعلومات غير المرغوب فيها.

يُطلب من المشغلين الذين يوفرون الوصول إلى الإنترنت للمؤسسات التعليمية التأكد من أن الوصول إلى المعلومات غير المرغوب فيها محدود. يتم تنفيذ التقييد عن طريق التصفية بواسطة المشغلين باستخدام القوائم التي يتم تحديثها بانتظام وفقًا للإجراء المحدد. ومع ذلك، وبالنظر إلى غرض الشبكات التعليمية وجمهور مستخدميها، فمن المستحسن استخدام نظام أكثر مرونة للتعلم الذاتي يتعرف ديناميكيًا على الموارد غير المرغوب فيها ويحمي المستخدمين منها.

بشكل عام، ينطوي الوصول إلى الموارد غير المرغوب فيها على التهديدات التالية: الدعاية للأعمال غير القانونية والاجتماعية، مثل: التطرف السياسي والإرهاب وإدمان المخدرات وتوزيع المواد الإباحية وغيرها من المواد؛ صرف انتباه الطلاب عن استخدام شبكات الحاسوب للأغراض التعليمية. صعوبة الوصول إلى الإنترنت بسبب التحميل الزائد على القنوات الخارجية ذات النطاق الترددي المحدود. غالبًا ما تُستخدم الموارد المذكورة أعلاه لإدخال البرامج الضارة والتهديدات المرتبطة بها.

تتمتع الأنظمة الحالية لتقييد الوصول إلى موارد الشبكة بالقدرة على التحقق ليس فقط من الحزم الفردية للتأكد من امتثالها للقيود المحددة، ولكن أيضًا محتواها - المحتوى المرسل عبر الشبكة. حاليًا، تستخدم أنظمة تصفية المحتوى الطرق التالية لتصفية محتوى الويب: حسب اسم DNS أو عنوان IP محدد، حسب الكلمات الرئيسية داخل محتوى الويب وحسب نوع الملف. لمنع الوصول إلى موقع ويب معين أو مجموعة مواقع معينة، يجب عليك تحديد عناوين URL متعددة تحتوي على محتوى غير مناسب. توفر تصفية عناوين URL تحكمًا شاملاً في أمان الشبكة. ومع ذلك، من المستحيل التنبؤ مسبقًا بجميع عناوين URL المحتملة غير الملائمة. بالإضافة إلى ذلك، فإن بعض مواقع الويب ذات المحتوى المشكوك فيه لا تعمل مع عناوين URL، بل تعمل حصريًا مع عناوين IP.

إحدى طرق حل المشكلة هي تصفية المحتوى المستلم عبر بروتوكول HTTP. عيب أنظمة تصفية المحتوى الحالية هو استخدام قوائم التحكم في الوصول التي تم إنشاؤها بشكل ثابت. لملئها، يقوم مطورو أنظمة تصفية المحتوى التجاري بتعيين موظفين يقومون بتقسيم المحتوى إلى فئات وترتيب السجلات في قاعدة البيانات.

للتخلص من أوجه القصور في أنظمة تصفية المحتوى الحالية للشبكات التعليمية، من المناسب تطوير أنظمة تصفية حركة مرور الويب مع التحديد الديناميكي لفئة مورد الويب بناءً على محتوى صفحاته.

3. الجدة العلمية المدركة

خوارزمية لتقييد وصول مستخدمي أنظمة التعلم الذكي إلى الموارد غير المرغوب فيها على مواقع الإنترنت، بناءً على التشكيل الديناميكي لقوائم الوصول إلى موارد المعلومات من خلال تصنيفها المتأخر.

4. النتائج العملية المخططة

يمكن استخدام الخوارزميات المطورة في أنظمة لتقييد الوصول إلى الموارد غير المرغوب فيها في أنظمة التعلم الحاسوبية الذكية.

5. مراجعة البحث والتطوير

5.1 نظرة عامة على البحث والتطوير حول الموضوع على المستوى العالمي

عمل علماء مشهورين مثل: سمو مكرس لمشاكل ضمان أمن المعلومات. بيزروكوف، ب.د. زكزدا، أ.م. إيفاشكو، أ. كوستوجريزوف، ف. كورباتوف ك. ليندفر، د. ماكلين، أ.أ. مولدوفيان، ه.أ. مولدوفيان، أ.أ. ماليوك، إ.أ.ديربين، ر.ساندو، ج.م.كارول، وآخرون. في الوقت نفسه، وعلى الرغم من الحجم الهائل لمصادر النصوص في شبكات الشركات والمفتوحة، ففي مجال تطوير أساليب وأنظمة أمن المعلومات، تهدف الأبحاث إلى تحليل التهديدات الأمنية ودراسة الحد من الوصول إلى الموارد غير المرغوب فيها في التدريب على الكمبيوتر مع الوصول إلى الويب .

في أوكرانيا، الباحث الرئيسي في هذا المجال هو V. V. Domarev. . بحث أطروحته مخصص لمشاكل إنشاء أنظمة أمن المعلومات المعقدة. مؤلف الكتب: "السلامة تقنيات المعلومات. منهجية إنشاء أنظمة الحماية "،" أمن تكنولوجيا المعلومات ". النهج المنهجي"، وما إلى ذلك، مؤلف أكثر من 40 مقالاً ومنشورًا علميًا.

5.2 مراجعة البحث والتطوير حول الموضوع على المستوى الوطني

في جامعة دونيتسك الوطنية التقنية، تطوير نماذج وأساليب لإنشاء نظام أمن المعلومات شبكة الشركةشاركت شركة Khimka S.S في المشروع، مع مراعاة المعايير المختلفة. . احتل Yu.S. حماية المعلومات في الأنظمة التعليمية. .

6. مشكلات تقييد الوصول إلى موارد الويب في الأنظمة التعليمية

يتيح لنا تطور تكنولوجيا المعلومات حاليًا التحدث عن جانبين لوصف الموارد: محتوى الإنترنت والبنية التحتية للوصول. عادةً ما تُفهم البنية التحتية للوصول على أنها مجموعة من الأجهزة و برمجة، وتوفير نقل البيانات بتنسيق حزمة IP، ويتم تعريف المحتوى على أنه مزيج من نموذج العرض (على سبيل المثال، كسلسلة من الأحرف في ترميز معين) ومحتوى (دلالات) المعلومات. ومن بين الخصائص المميزة لهذا الوصف ينبغي تسليط الضوء على ما يلي:

1. استقلال المحتوى عن البنية التحتية للوصول؛

2. التغيرات النوعية والكمية المستمرة في المحتوى.

3. ظهور مصادر معلومات تفاعلية جديدة ("المجلات الحية"، وسائل التواصل الاجتماعي، الموسوعات المجانية، وما إلى ذلك)، والتي يشارك فيها المستخدمون بشكل مباشر في إنشاء محتوى عبر الإنترنت.

عند حل مشاكل التحكم في الوصول إلى موارد المعلومات، فإن قضايا تطوير السياسات الأمنية، والتي يتم حلها فيما يتعلق بخصائص البنية التحتية ومحتوى الشبكة، لها أهمية كبيرة. كلما ارتفع مستوى وصف نموذج أمن المعلومات، كلما زاد تركيز التحكم في الوصول على دلالات موارد الشبكة. من الواضح أن عناوين MAC وIP (الرابط و طبقة الشبكةالتفاعل) من واجهات أجهزة الشبكة لا يمكن ربطها بأي فئة من البيانات، حيث أن نفس العنوان يمكن أن يمثل خدمات مختلفة. عادةً ما تعطي أرقام المنافذ (طبقة النقل) فكرة عن نوع الخدمة، ولكنها لا تصف نوعيًا المعلومات التي تقدمها هذه الخدمة. على سبيل المثال، ليس من الممكن تصنيف موقع ويب معين إلى إحدى الفئات الدلالية (الوسائط، والأعمال التجارية، والترفيه، وما إلى ذلك) بناءً على معلومات طبقة النقل فقط. حماية أمن المعلوماتعلى مستوى التطبيق يقترب من مفهوم تصفية المحتوى، أي. التحكم في الوصول مع الأخذ بعين الاعتبار دلالات موارد الشبكة. وبالتالي، كلما كان نظام التحكم في الوصول أكثر توجهاً نحو المحتوى، كلما كان النهج أكثر تمايزًا فيما يتعلق بفئات مختلفة من المستخدمين وموارد المعلومات التي يمكن تنفيذها بمساعدته. على وجه الخصوص، يمكن لنظام التحكم الموجه لغويًا أن يحد بشكل فعال من وصول الطلاب في المؤسسات التعليمية إلى الموارد التي لا تتوافق مع عملية التعلم.

يتم عرض الخيارات الممكنة لعملية الحصول على مورد الويب في الشكل 1

الشكل 1 - عملية الحصول على مورد الويب عبر بروتوكول HTTP

لضمان التحكم المرن في استخدام موارد الإنترنت، من الضروري تقديم سياسة مناسبة لاستخدام الموارد من قبل مؤسسة تعليمية في الشركة المشغلة. يمكن تنفيذ هذه السياسة إما يدويًا أو تلقائيًا. التنفيذ "اليدوي" يعني أن الشركة لديها فريق عمل خاص يراقب نشاط مستخدمي المؤسسات التعليمية في الوقت الفعلي أو باستخدام سجلات من أجهزة التوجيه أو الخوادم الوكيلة أو جدران الحماية. مثل هذا الرصد يمثل مشكلة لأنه يتطلب الكثير من العمل. لتوفير تحكم مرن في استخدام موارد الإنترنت، يجب على الشركة تزويد المسؤول بأداة لتنفيذ سياسة استخدام موارد المؤسسة. تصفية المحتوى تخدم هذا الغرض. يكمن جوهرها في تحليل كائنات تبادل المعلومات إلى مكونات، وتحليل محتويات هذه المكونات، وتحديد مدى امتثال معلماتها للسياسة المقبولة لاستخدام موارد الإنترنت واتخاذ إجراءات معينة بناءً على نتائج هذا التحليل. في حالة تصفية حركة مرور الويب، يُفهم أن كائنات تبادل المعلومات هي طلبات الويب ومحتويات صفحات الويب والملفات المنقولة بناءً على طلب المستخدم.

يمكن لمستخدمي المؤسسة التعليمية الوصول إلى الإنترنت حصريًا من خلال خادم وكيل. في كل مرة تحاول الوصول إلى مورد معين، يتحقق الخادم الوكيل مما إذا كان المورد مدرجًا في قاعدة بيانات خاصة. إذا تم وضع هذا المورد في قاعدة بيانات الموارد المحظورة، فسيتم حظر الوصول إليه، ويتم إعطاء المستخدم رسالة مقابلة على الشاشة.

إذا لم يكن المورد المطلوب موجودًا في قاعدة بيانات الموارد المحظورة، فسيتم منح الوصول إليه، ولكن يتم تسجيل سجل زيارة هذا المورد في سجل خدمة خاص. مرة واحدة يوميًا (أو على فترات أخرى)، يقوم الخادم الوكيل بإنشاء قائمة بالموارد الأكثر زيارة (في شكل قائمة عناوين URL) ويرسلها إلى الخبراء. يقوم الخبراء (مسؤولو النظام)، باستخدام المنهجية المناسبة، بفحص قائمة الموارد الناتجة وتحديد طبيعتها. إذا كان المورد ذو طبيعة غير مستهدفة، يقوم الخبير بتصنيفه (مصدر إباحي، مصدر ألعاب) وإجراء تغيير على قاعدة البيانات. بعد إجراء جميع التغييرات اللازمة، يتم إرسال الإصدار المحدث من قاعدة البيانات تلقائيًا إلى جميع الخوادم الوكيلة المتصلة بالنظام. يظهر في الشكل نظام التصفية للموارد غير المستهدفة على الخوادم الوكيلة. 2.

الشكل 2 - المبادئ الأساسية لتصفية الموارد غير المستهدفة على الخوادم الوكيلة

مشاكل تصفية الموارد غير المستهدفة على الخوادم الوكيلة هي كما يلي. مع الترشيح المركزي، مطلوب معدات عالية الأداء للوحدة المركزية، كبيرة الحجم الإنتاجيةقنوات الاتصال في العقدة المركزية، يؤدي فشل العقدة المركزية إلى الفشل الكامل لنظام الترشيح بأكمله.

ومع التصفية اللامركزية "في الميدان" مباشرةً على محطات العمل أو الخوادم الخاصة بالمؤسسة، تكون تكلفة النشر والدعم مرتفعة.

عند التصفية حسب العنوان في مرحلة إرسال الطلب، لا يوجد رد فعل وقائي لوجود محتوى غير مرغوب فيه، كما توجد صعوبات في تصفية مواقع الويب "المقنعة".

عند التصفية حسب المحتوى، من الضروري معالجة كميات كبيرة من المعلومات عند تلقي كل مورد، كما أن تعقيد معالجة الموارد المعدة باستخدام أدوات مثل Java وFlash.

7. أمن معلومات موارد الويب لمستخدمي أنظمة التعلم الذكية

دعونا نفكر في إمكانية التحكم في الوصول إلى موارد المعلومات باستخدام حل مشترك يعتمد على المبدأ الهرمي لدمج أدوات التحكم في الوصول إلى موارد الإنترنت (الشكل 3). يمكن تقييد الوصول إلى الأشعة تحت الحمراء غير المرغوب فيها من IOS من خلال مجموعة من التقنيات مثل جدار الحماية، واستخدام الخوادم الوكيلة، وتحليل الأنشطة الشاذة للكشف عن عمليات التطفل، والحد من عرض النطاق الترددي، والتصفية بناءً على تحليل المحتوى، والتصفية بناءً على قوائم الوصول. في هذه الحالة، إحدى المهام الرئيسية هي تشكيل واستخدام قوائم تقييد الوصول الحديثة.

يتم تصفية الموارد غير المرغوب فيها وفقًا للتيار الحالي الوثائق التنظيميةبناء على القوائم المنشورة وفقا للإجراءات المتبعة. يتم تقييد الوصول إلى موارد المعلومات الأخرى على أساس معايير خاصة وضعها مشغل الشبكة التعليمية.

يعد وصول المستخدم ضمن التردد المحدد، حتى إلى مورد غير مرغوب فيه، أمرًا مقبولاً. تخضع الموارد المطلوبة فقط للتحليل والتصنيف، أي تلك التي تجاوز عدد طلبات المستخدمين لها حدًا محددًا. يتم إجراء المسح والتحليل بعد مرور بعض الوقت بعد أن يتجاوز عدد الطلبات قيمة العتبة (خلال فترة الحد الأدنى من التحميل على القنوات الخارجية).

لا يتم فحص صفحات الويب الفردية فحسب، بل يتم فحص جميع الموارد المرتبطة بها (من خلال تحليل الروابط الموجودة على الصفحة). ونتيجة لذلك، يتيح لك هذا الأسلوب تحديد وجود روابط لبرامج ضارة أثناء فحص الموارد.

الشكل 3 - التسلسل الهرمي لأدوات التحكم في الوصول إلى موارد الإنترنت

(رسوم متحركة، 24 إطارًا، 25 كيلوبايت)

يتم إجراء التصنيف الآلي للموارد على خادم الشركة الخاص بالعميل - مالك النظام. يتم تحديد زمن التصنيف من خلال الطريقة المستخدمة والتي تعتمد على مفهوم تصنيف الموارد المتأخرة. ويفترض هذا أن وصول المستخدم تحت تردد محدد، حتى إلى مورد يحتمل أن يكون غير مرغوب فيه، أمر مقبول. وهذا يتجنب التصنيف السريع المكلف. تخضع الموارد المطلوبة فقط للتحليل والتصنيف الآلي، أي الموارد التي تجاوز تكرار طلبات المستخدم لها حدًا محددًا. يتم إجراء المسح والتحليل بعد مرور بعض الوقت بعد أن يتجاوز عدد الطلبات قيمة العتبة (خلال فترة الحد الأدنى من التحميل على القنوات الخارجية). تطبق الطريقة مخططًا لإنشاء ثلاث قوائم ديناميكيًا: "أسود" (ChSP)، "أبيض" (BSP) و"رمادي" (GSP). يحظر الوصول إلى الموارد الموجودة في القائمة السوداء. تحتوي القائمة البيضاء على الموارد المسموح بها التي تم التحقق منها. تحتوي القائمة "الرمادية" على الموارد التي طلبها المستخدمون مرة واحدة على الأقل، ولكن لم يتم تصنيفها. يتم إجراء التكوين الأولي والتعديل "اليدوي" الإضافي للقائمة "السوداء" على أساس المعلومات الرسمية حول عناوين الموارد المحظورة المقدمة من الهيئة الحكومية المعتمدة. يتكون المحتوى الأولي للقائمة "البيضاء" من الموارد الموصى باستخدامها. يتم قبول أي طلب لمورد غير موجود في القائمة السوداء. إذا لم يكن هذا المورد ضمن القائمة "البيضاء"، فسيتم وضعه في القائمة "الرمادية"، حيث يتم تسجيل عدد الطلبات المقدمة إلى هذا المورد. إذا تجاوز تكرار الطلبات قيمة عتبة معينة، فسيتم إجراء تصنيف تلقائي للمورد، بناءً على إدراجه في القائمة "السوداء" أو "البيضاء".

8. خوارزميات تحديد أمن معلومات موارد الويب لمستخدمي أنظمة التدريب الذكية

خوارزمية تقييد الوصول. تستند القيود المفروضة على الوصول إلى الموارد غير المرغوب فيها على مواقع الإنترنت إلى التعريف التالي لمفهوم خطر الوصول إلى الأشعة تحت الحمراء غير المرغوب فيها في نظام التشغيل IOS. إن خطر الوصول إلى i-th IR غير المرغوب فيه، المصنف على أنه فئة k-th IR، سيكون قيمة متناسبة مع تقييم الخبراء للضرر الناجم عن IR غير المرغوب فيه لنوع معين من IOS أو هوية المستخدم و عدد مرات الوصول إلى هذا المورد لفترة زمنية معينة:

وبالقياس على التعريف الكلاسيكي للمخاطر باعتبارها نتاج احتمالية تحقيق التهديد وتكلفة الضرر الناجم، يفسر هذا التعريف المخاطر على أنها التوقع الرياضي لمقدار الضرر المحتمل من الوصول إلى IR غير المرغوب فيه. وفي هذه الحالة، يتم تحديد حجم الضرر المتوقع من خلال درجة تأثير الأشعة تحت الحمراء على شخصيات المستخدمين، والتي بدورها تتناسب طرديًا مع عدد المستخدمين الذين تعرضوا لهذا التأثير.

في عملية تحليل أي مورد ويب، من وجهة نظر الرغبة أو عدم الرغبة في الوصول إليه، من الضروري مراعاة المكونات الرئيسية التالية لكل صفحة من صفحاته: المحتوى، أي النص وغيره (الرسم، الصور والفيديو) المعلومات المنشورة على هذه الصفحة؛ المحتوى المنشور على صفحات أخرى من نفس الموقع (يمكنك الحصول على روابط داخلية من محتوى الصفحات المحملة عن طريق التعبيرات العادية); اتصالات بالمواقع الأخرى (سواء من حيث ممكن التحميلالفيروسات وأحصنة طروادة)، ومن وجهة نظر وجود محتوى غير مرغوب فيه. يظهر الشكل خوارزمية لتقييد الوصول إلى الموارد غير المرغوب فيها باستخدام القوائم. 4.

الشكل 4 - خوارزمية تقييد الوصول إلى الموارد غير المرغوب فيها

خوارزمية لتحديد صفحات الويب غير المرغوب فيها. لتصنيف المحتوى - نصوص صفحات الويب - من الضروري حل المشكلات التالية: تحديد فئات التصنيف؛ استخراج المعلومات من النصوص المصدرية التي يمكن تحليلها تلقائيا؛ إنشاء مجموعات من النصوص المصنفة؛ بناء وتدريب مصنف يعمل مع مجموعات البيانات التي تم الحصول عليها.

يتم تحليل المجموعة التدريبية للنصوص المصنفة، وتحديد المصطلحات - أشكال الكلمات الأكثر استخدامًا بشكل عام ولكل فئة تصنيف على حدة. يتم تمثيل كل نص مصدر كمتجه، ومكوناته هي خصائص حدوث مصطلح معين في النص. ومن أجل تجنب تناثر المتجهات وتقليل أبعادها، فمن المستحسن تقليل أشكال الكلمات إلى شكلها الأولي باستخدام طرق التحليل الصرفي. بعد ذلك، يجب تطبيع المتجه، مما يسمح لنا بتحقيق نتيجة تصنيف أكثر دقة. بالنسبة لصفحة ويب واحدة، يمكن إنشاء متجهين: للمعلومات المعروضة للمستخدم، وللنص المقدم لمحركات البحث.

هناك طرق مختلفة لإنشاء مصنفات صفحات الويب. الأكثر استخدامًا هي: المصنف بايزي؛ الشبكات العصبية; المصنفات الخطية. آلة دعم المتجهات (SVM). تتطلب جميع الأساليب المذكورة أعلاه التدريب على مجموعة التدريب والاختبار على مجموعة الاختبار. بالنسبة للتصنيف الثنائي، يمكنك اختيار حل بايز الساذج، والذي يفترض أن الخصائص في الفضاء المتجه مستقلة عن بعضها البعض. سنفترض أنه يجب تصنيف جميع الموارد على أنها مرغوبة وغير مرغوب فيها. ثم يتم تقسيم المجموعة الكاملة لعينات نص صفحة الويب إلى فئتين: C=(C1, C2) والاحتمال المسبق لكل فئة هو P(Ci), i=1,2. مع مجموعة كبيرة بما فيه الكفاية من العينات، يمكننا أن نفترض أن P(Ci) تساوي نسبة عدد عينات الفئة Ci إلى العدد الإجمالي للعينات. لكي يتم تصنيف بعض العينات D، من الاحتمال الشرطي P(D/Ci)، وفقًا لنظرية بايز، يمكن الحصول على القيمة P(Ci /D):

مع الأخذ في الاعتبار ثبات P (D) نحصل على:

بافتراض أن الحدود في الفضاء المتجه مستقلة عن بعضها البعض، يمكننا الحصول على العلاقة التالية:

من أجل تصنيف النصوص المتشابهة في خصائصها بشكل أكثر دقة (على سبيل المثال، للتمييز بين المواد الإباحية والخيال الذي يصف المشاهد المثيرة)، ينبغي إدخال معاملات الترجيح:

إذا كن = ك؛ إذا كانت kn أقل من k، kn.=1/|k|. هنا M هو تكرار جميع المصطلحات في قاعدة بيانات العينة، وL هو عدد جميع العينات.

9. توجيهات لتحسين الخوارزميات

في المستقبل، من المخطط تطوير خوارزمية لتحليل الروابط من أجل اكتشاف إدخال تعليمات برمجية ضارة في كود صفحة الويب ومقارنة المصنف Bayesian مع آلة ناقل الدعم.

10. الاستنتاجات

تم إجراء تحليل لمشكلة تقييد الوصول إلى موارد الويب في الأنظمة التعليمية. تم اختيار المبادئ الأساسية لتصفية الموارد غير المستهدفة على الخوادم الوكيلة بناءً على تشكيل واستخدام قوائم تقييد الوصول الحالية. تم تطوير خوارزمية لتقييد الوصول إلى الموارد غير المرغوب فيها باستخدام القوائم، مما يجعل من الممكن إنشاء قوائم الوصول إلى IR وتحديثها ديناميكيًا بناءً على تحليل محتواها، مع مراعاة تكرار الزيارات وعدد المستخدمين. لتحديد المحتوى غير المرغوب فيه، تم تطوير خوارزمية تعتمد على مصنف بايز الساذج.

قائمة المصادر

1. الشتاء V. M. الأمن العالمي تقنيات الشبكة/ V. Zima، A. مولدوفيان، ن. مولدوفيان. - الطبعة الثانية. - سانت بطرسبرغ: BHV-بطرسبرغ، 2003. - 362 ص.
2. Vorotnitsky Yu.I. الحماية من الوصول إلى موارد المعلومات الخارجية غير المرغوب فيها في المجال العلمي والتعليمي شبكات الحاسب/ يو آي فوروتنيتسكي، شيه جينباو // مات. الرابع عشر كثافة العمليات. أسيوط. "الحماية الشاملة للمعلومات." - موغيليف، 2009. - ص 70-71.

أفضل خدمات الويب التي يمكنك من خلالها فحص المواقع بحثًا عن نقاط الضعف. تقدر شركة HP أن 80% من جميع نقاط الضعف ناتجة عن إعدادات خادم الويب غير الصحيحة، أو استخدام برامج قديمة، أو مشكلات أخرى كان من الممكن تجنبها بسهولة.

تساعد الخدمات الموجودة في المراجعة في تحديد مثل هذه المواقف. عادةً ما تقوم الماسحات الضوئية بالتحقق من قاعدة بيانات الثغرات الأمنية المعروفة. بعضها بسيط للغاية ويتم التحقق منه فقط المنافذ المفتوحة، بينما يعمل الآخرون بعناية أكبر ويحاولون إجراء حقن SQL.

ويب سانت

SAINT هو ماسح ضوئي معروف للثغرات الأمنية، على أساسه يتم إنشاء خدمات الويب WebSAINT وWebSAINT Pro. وباعتبارها موردًا معتمدًا للمسح الضوئي، تقوم الخدمة بإجراء فحص ASV لمواقع الويب الخاصة بالمؤسسات التي يكون هذا مطلوبًا لها بموجب شروط شهادة PCI DSS. ويمكنه العمل وفقًا لجدول زمني وإجراء فحوصات دورية، وإنشاء تقارير متنوعة بناءً على نتائج المسح. يقوم WebSAINT بفحص منافذ TCP وUDP على عناوين محددة على شبكة المستخدم. يضيف الإصدار "الاحترافي" اختبارات Pentests ومسح تطبيقات الويب والتقارير المخصصة.

مناعة ويب

تستخدم خدمة ImmuniWeb من High-Tech Bridge أسلوبًا مختلفًا قليلًا للمسح الضوئي: بالإضافة إلى المسح التلقائي، فهي تقدم أيضًا اختبارات اختراق يدوية. يبدأ الإجراء في الوقت الذي يحدده العميل ويستغرق ما يصل إلى 12 ساعة. تتم مراجعة التقرير من قبل موظفي الشركة قبل إرساله إلى العميل. وهو يحدد ثلاث طرق على الأقل لإزالة كل ثغرة أمنية تم تحديدها، بما في ذلك خيارات تغيير الكود المصدري لتطبيق الويب، وتغيير قواعد جدار الحماية، وتثبيت التصحيح.

عليك أن تدفع مقابل العمل البشري أكثر من مقابله فحص تلقائي. تبلغ تكلفة الفحص الكامل باستخدام اختبارات ImmuniWeb 639 دولارًا.

بيوندساس

سوف تكلف BeyondTrust's BeyondSaaS أكثر من ذلك. يُعرض على العملاء اشتراك بقيمة 3500 دولار، وبعد ذلك يمكنهم إجراء عدد غير محدود من عمليات التدقيق على مدار العام. تبلغ تكلفة الفحص لمرة واحدة 700 دولار. يتم فحص مواقع الويب بحثًا عن عمليات حقن SQL وXSS وCSRF ونقاط الضعف في نظام التشغيل. يذكر المطورون أن احتمال النتائج الإيجابية الكاذبة لا يزيد عن 1%، ويشيرون في التقارير أيضًا إلى خيارات لتصحيح المشكلات.

تقدم BeyondTrust أدوات أخرى لفحص الثغرات الأمنية، بما في ذلك مجتمع Retina Network Community المجاني، والذي يقتصر على 256 عنوان IP.

ديل الآمنة تعمل

ربما يكون Dell Secure Works هو الأكثر تقدمًا بين ماسحات الويب التي تمت مراجعتها. إنه يعمل على تقنية QualysGuard Vulnerability Management ويتحقق من خوادم الويب، أجهزة الشبكةوخوادم التطبيقات ونظام إدارة قواعد البيانات داخل شبكة الشركة وعلى الاستضافة السحابية. تتوافق خدمة الويب مع متطلبات PCI وHIPAA وGLBA وNERC CIP.