Veb resurs təhlükəsizliyi üçün skan edilir. Veb tətbiqini necə qorumaq olar: əsas məsləhətlər, alətlər, faydalı bağlantılar. İddia edilən elmi yenilik

skan edilmiş veb-saytların 70%-dən çoxunun bir və ya bir neçə boşluqla yoluxduğunu göstərdi.

Veb proqram sahibi olaraq saytınızın onlayn təhlükələrdən qorunmasını necə təmin edirsiniz? Yoxsa məxfi məlumatların sızmasından?

Bulud əsaslı təhlükəsizlik həllindən istifadə edirsinizsə, zəifliyin müntəzəm skan edilməsi, ehtimal ki, təhlükəsizlik planınızın bir hissəsidir.

Bununla belə, yoxsa, adi bir skan etməli və hərəkətə keçməlisiniz zəruri tədbirlər riskləri azaltmaq üçün.

İki növ skaner var.

1.Commercial - sizə davamlı təhlükəsizlik, hesabat, xəbərdarlıq, ətraflı təlimatlar riskin azaldılması və s. haqqında. Bu sənayedəki məşhur adlardan bəziləri bunlardır:

Acunetix
Aşkar etmək
Qualys

Açıq Mənbə/Pulsuz - Siz tələb olunduqda təhlükəsizlik yoxlamalarını yükləyə və icra edə bilərsiniz.

Onların heç də hamısı kommersiya kimi zəifliklərin geniş spektrini əhatə edə bilməyəcək.

Aşağıdakı açıq mənbə zəiflik skanerlərinə nəzər salaq.

1. Araxni

Arachni müasir veb proqramları üçün Ruby üzərində qurulmuş yüksək performanslı təhlükəsizlik skaneridir.

Mac, Windows və Linux üçün ikili formatda mövcuddur.

Bu, yalnız əsas statik və ya CMS veb saytı üçün həll yolu deyil, Arachni də aşağıdakı platformalarla inteqrasiya edə bilir.

Aktiv və passiv yoxlamalar aparır.

Windows, Solaris, Linux, BSD, Unix
Nginx, Apache, Tomcat, IIS, Jetty
Java, Ruby, Python, ASP, PHP
Django, Rails, CherryPy, CakePHP, ASP.NET MVC, Symfony

Aşkar edilmiş zəifliklərdən bəziləri:

NoSQL / Blind / SQL / Code / LDAP / Command / XPath injection
Saxta saytlar arası skript tələb edin
Yan yol
Yerli/uzaq fayl daxil olmaqla
Cavabın bölünməsi
Saytlararası skript
Müəyyən edilməmiş DOM yönləndirmələri
Açıqlama mənbə kodu

2. XssPy

Python əsaslı XSS ​​(Cross Site Scripting) zəiflik skaneri bir çox təşkilatlar, o cümlədən Microsoft, Stanford, Motorola, Informatica və s.

Faizan Ahmad tərəfindən XssPy ağıllı bir vasitədir. Sadəcə ana səhifəni və ya səhifəni yoxlamaq əvəzinə, veb-saytlardakı bütün linki yoxlayır.

XssPy subdomeni də yoxlayır.

3. w3af

2006-cı ilin sonlarında başlayan açıq mənbəli layihə olan w3af Python-a əsaslanır və Linux və Windows OS üçün əlçatandır. w3af 200-dən çox zəifliyi, o cümlədən OWASP top 10-u aşkar etməyə qadirdir.

Hesabat üçün müxtəlif giriş üsullarını dəstəkləyir. Misal:

CSV
HTML
Konsol
Mətn
XML
E-poçt ünvanı

O, plagin arxitekturası üzərində qurulub və siz bütün mövcud plaginləri yoxlaya bilərsiniz.

4. Nikto

Netsparker tərəfindən maliyyələşdirilən açıq mənbəli layihə, İnternetdə veb server səhv konfiqurasiyalarını, plaginləri və zəiflikləri tapmaq məqsədi daşıyır.

5. Wfuzz

Wfuzz (Web Fuzzer) nüfuz testi üçün tətbiqi qiymətləndirmə vasitəsidir.

Veb tətbiqindən istifadə etmək və onu təsdiqləmək üçün hər hansı bir sahə üçün HTTP sorğusunda verilənləri ləkələyə bilərsiniz.

Wfuzz, skan etmək istədiyiniz kompüterdə Python tələb edir.

6. OWASP ZAP

ZAP (Zet Attack Proxy) bütün dünyada yüzlərlə könüllü tərəfindən fəal şəkildə yenilənən məşhur nüfuz sınağı vasitələrindən biridir.

Bu, hətta Raspberry Pi-də işləyə bilən çarpaz platformalı Java alətidir.

ZIP mesajları ələ keçirmək və yoxlamaq üçün brauzer və veb tətbiqi arasında oturur.

Aşağıdakı ZAP xüsusiyyətlərindən bəzilərini qeyd etməyə dəyər.

Fuzzer
Avtomatik və passiv skaner
Çoxlu skript dilini dəstəkləyir
Məcburi Baxış

7. Wapiti

Wapiti verilmiş hədəfin veb səhifələrini tarayır və onun həssas olub-olmadığını görmək üçün skriptlər və məlumat daxiletmə formalarını axtarır.

Bu mənbə kodu təhlükəsizlik yoxlanışı deyil, qara qutu yoxlanışıdır.

GET və POST HTTP metodlarını, HTTP və HTTPS proksilərini, çoxsaylı autentifikasiyaları və s. dəstəkləyir.

8. Vega

Vega XSS, SQLi, RFI və bir çox digər zəiflikləri tapmaq üçün Java-da yazılmış çox platformalı proqram təminatı olan Subgraph tərəfindən hazırlanmışdır.

Vega rahat oldu GUI və verilmiş etimadnamə ilə proqrama daxil olaraq avtomatik skan edə bilir.

Əgər siz tərtibatçısınızsa, yeni hücum modulları yaratmaq üçün vega API-dən istifadə edə bilərsiniz.

9. SQLmap

Adından da təxmin edə bildiyiniz kimi, onunla çatışmazlıqları tapmaq üçün verilənlər bazasında nüfuz sınağı keçirə bilərsiniz.

İstənilən OS-də Python 2.6 və ya 2.7 ilə işləyir. İstəyirsinizsə, onda sqlmap həmişəkindən daha faydalı olacaq.

10. Qrabber

Bu kiçik Python əsaslı alət bir neçə şeyi olduqca yaxşı edir.

Grabber-in bəzi xüsusiyyətləri:

JavaScript Mənbə Kodu Analizatoru
Saytlararası skript, SQL enjeksiyonu, kor SQL inyeksiyası
PHP-SAT istifadə edərək PHP proqramlarının sınaqdan keçirilməsi

11. Qolismero

Wfuzz, DNS recon, sqlmap, OpenVas, robot analizator və s. kimi bəzi məşhur təhlükəsizlik alətlərini idarə etmək və işə salmaq üçün çərçivə).

Golismero digər alətlərdən rəyləri birləşdirə və bir nəticə göstərə bilər.

12. OWASP Xenotix XSS

Xenotix XSS OWASP saytlararası skriptin axtarışı və istismarı üçün inkişaf etmiş çərçivədir.

Sürətli skan və təkmilləşdirilmiş nəticələr üçün daxili üç ağıllı füzerə malikdir.

13. Metascan

Yerli tərtibatçıların veb proqram zəifliklərini axtarmaq üçün skaner

Kateqoriya: .

Müəllif: Maksadxan Yakubov, Boqdan Şklyarevski.

Bu məqalədə veb-resursların idarə edilməsi problemləri, həmçinin təhlükəsiz idarəetmə və hakerlik və kiberhücumlardan qorunmaq üçün üsullar, üsullar və tövsiyələr müzakirə olunur.

Təhlükəsiz veb-saytın dizaynında, yaradılmasında və ya istismarında ilk addım onu ​​yerləşdirən serverin mümkün qədər təhlükəsiz olmasını təmin etməkdir.

İstənilən veb serverin əsas komponenti əməliyyat sistemidir. Onun təhlükəsizliyini təmin etmək nisbətən sadədir: sadəcə onu vaxtında quraşdırın Ən son yeniləmələr təhlükəsizlik sistemləri.

Xatırlamaq yerinə düşər ki, hakerlər bir-birinin ardınca serverdən keçən zərərli proqramlardan istifadə etməklə öz hücumlarını avtomatlaşdırmağa meyllidirlər, yeniləmənin vaxtı keçmiş və ya quraşdırılmamış server axtarırlar. Buna görə də, yeniləmələrin tez və düzgün qurulmasını təmin etmək tövsiyə olunur; Yeniləmələrin köhnə versiyaları quraşdırılmış istənilən server hücuma məruz qala bilər.

Siz həmçinin veb serverdə işləyən bütün proqram təminatını vaxtında yeniləməlisiniz. Əlaqəsi olmayan hər hansı proqram təminatı zəruri komponentlər(məsələn, DNS serveri və ya VNC və ya Uzaq Masaüstü Xidmətləri kimi uzaqdan idarəetmə vasitələri) söndürülməli və ya silinməlidir. Uzaqdan idarəetmə vasitələri tələb olunarsa, asanlıqla təxmin edilə bilən standart parollardan və ya parollardan istifadə etməməyə diqqət yetirin. Bu qeyd yalnız uzaqdan idarəetmə alətlərinə deyil, həm də istifadəçi hesablarına, marşrutlaşdırıcılara və açarlara aiddir.

Sonrakı mühüm məqam antivirus proqramıdır. Onun istifadəsi Windows və ya Unix platforması kimi istifadə olunmasından asılı olmayaraq istənilən veb resurs üçün məcburi tələbdir. Çevik bir firewall ilə birləşdirildikdə, antivirus proqramı ən çox birinə çevrilir təsirli yollar kiberhücumlardan müdafiə. Veb server hücumun hədəfinə çevrildikdə, təcavüzkar təhlükəsizlik boşluqlarından istifadə etmək üçün dərhal haker alətləri və ya zərərli proqram təminatı yükləməyə çalışır. Yüksək keyfiyyətli anti-virus proqram təminatı olmadıqda, təhlükəsizlik zəifliyi uzun müddət aşkarlanmaya bilər və arzuolunmaz nəticələrə səbəb ola bilər.

Ən çox ən yaxşı variantdırİnformasiya resurslarının mühafizəsi zamanı çoxsəviyyəli yanaşma mövcuddur. Ön cinahda firewall və əməliyyat sistemi var; onların arxasındakı antivirus yaranan boşluqları doldurmağa hazırdır.

Parametrlər əsasında əməliyyat sistemi və veb server funksionallığı baxımından kiberhücumlardan qorunmaq üçün aşağıdakı ümumi üsulları qeyd etmək olar:

• Lazımsız komponentləri quraşdırmayın. Hər bir komponent özü ilə ayrıca bir təhlükə daşıyır; nə qədər çox olarsa, ümumi risk bir o qədər yüksək olar.
• Əməliyyat sisteminizi və tətbiqlərinizi təhlükəsizlik yeniləmələri ilə güncəl saxlayın.
• Antivirusdan istifadə edin, onu yandırın avtomatik quraşdırma yeniləmələri və onların düzgün quraşdırıldığını mütəmadi olaraq yoxlayın.

Bu tapşırıqların bəziləri çətin görünə bilər, lakin unutmayın ki, hücum etmək üçün yalnız bir təhlükəsizlik çuxuru lazımdır. Bu halda potensial risklərə məlumatların və trafikin oğurlanması, serverin IP ünvanının qara siyahıya salınması, təşkilatın reputasiyasının zədələnməsi və veb-saytın qeyri-sabitliyi daxildir.

Zəifliklərin kritiklik dərəcəsinə görə, bir qayda olaraq, zəifliyin vəziyyətini müəyyən edən 5 səviyyə var. Bu an internet resursu mövcuddur (Cədvəl 1). Tipik olaraq, hücumçular məqsədlərinə və ixtisaslarına əsaslanaraq, sındırılmış resursda mövqe tutmağa və varlıqlarını gizlətməyə çalışırlar.

Saytın sındırılması həmişə xarici əlamətlərlə (mobil yönləndirmə, səhifələrdəki spam keçidləri, digər insanların bannerləri, korlanma və s.) aşkar edilə bilməz. Saytın təhlükəsizliyi pozulursa, bu xarici əlamətlər olmaya bilər. Resurs fasiləsiz, səhvsiz və ya antivirus qara siyahılarına daxil edilmədən normal işləyə bilər. Amma bu o demək deyil ki, sayt təhlükəsizdir. Problem ondadır ki, təhlükəsizlik auditi aparmadan haker skriptlərinin sındırılması və yüklənməsi faktını müşahidə etmək çətindir və veb qabıqlar, arxa qapılar və digər haker alətləri özləri hostinqdə kifayət qədər uzun müddət qala bilər və öz məqsədləri üçün istifadə oluna bilməzlər. nəzərdə tutulan məqsəd. Amma bir gün elə bir an gəlir ki, onlar təcavüzkar tərəfindən ciddi şəkildə istismar edilməyə başlayır və nəticədə sayt sahibi üçün problemlər yaranır. Spam və ya fişinq səhifələrinin yerləşdirilməsi üçün sayt hostinqdə bloklanır (və ya funksionallığın bir hissəsi söndürülür) və səhifələrdə yönləndirmələrin və ya virusların görünməsi antivirusların qadağan edilməsi və sanksiyalarla doludur. Axtarış motorları. Belə bir vəziyyətdə, saytı təcili olaraq "müalicə etmək" və sonra süjetin təkrarlanmaması üçün hackdən qorunmaq lazımdır. Çox vaxt standart antiviruslar bəzi troyan növlərini və veb qabıqlarını tanımır, bunun səbəbi vaxtsız yeniləmələr və ya köhnəlmiş proqram təminatı ola bilər. Veb resursunu viruslar və skriptlər üçün yoxlayarkən istifadə etməlisiniz antivirus proqramları müxtəlif ixtisaslar üzrə, bu halda bir antivirus proqramı tərəfindən tapılmayan troyan digəri tərəfindən aşkarlana bilər. Şəkil 1 antivirus proqramının skan hesabatının nümunəsini göstərir və digər antivirus proqramlarının zərərli proqramı aşkarlaya bilmədiyini qeyd etmək vacibdir.

“PHP/Phishing.Agent.B”, “Linux/Roopre.E.Gen”, “PHP/Kryptik.AE” kimi troyanlar təcavüzkarlar tərəfindən istifadə olunur. uzaqdan nəzarət kompüter. Bu cür proqramlar tez-tez veb-sayta daxil olur e-poçt, pulsuz proqram təminatı, digər vebsaytlar və ya söhbət otağı. Çox vaxt belə bir proqram faydalı fayl kimi çıxış edir. Bununla belə, istifadəçilərin şəxsi məlumatlarını toplayan və təcavüzkarlara ötürən zərərli troyandır. Bundan əlavə, o, avtomatik olaraq müəyyən veb-saytlara qoşula və sistemə digər zərərli proqram növlərini yükləyə bilər. Aşkarlanma və silinmənin qarşısını almaq üçün "Linux/Roopre.E.Gen" təhlükəsizlik xüsusiyyətlərini deaktiv edə bilər. Bu Trojan proqramı sistem daxilində gizlənməyə imkan verən rootkit texnologiyasından istifadə etməklə hazırlanmışdır.

• "PHP/WebShell.NCL" silmək kimi müxtəlif funksiyaları yerinə yetirə bilən Trojan atı proqramıdır sistem faylları, yüklənir zərərli proqram, mövcud komponentləri və ya yüklənmiş şəxsi məlumatları və digər məlumatları gizlədin. Bu proqram istifadəçinin xəbəri olmadan ümumi antivirus taramasından yan keçə və sistemə daxil ola bilər. Bu proqram uzaq istifadəçilər üçün yoluxmuş vebsayta nəzarət etmək üçün arxa qapı quraşdırmağa qadirdir. Təcavüzkar bu proqramdan istifadə edərək istifadəçiyə casusluq edə, faylları idarə edə, əlavə proqram təminatı quraşdıra və bütün sistemi idarə edə bilər.
• "JS/TrojanDownloader.FakejQuery. A" - əsas hədəfləri CMS “WordPress” və “Joomla” istifadə edərək hazırlanmış saytlar olan Trojan proqramı. Təcavüzkar veb-saytı sındırdıqda, WordPress və ya Joomla plaginlərinin quraşdırılmasını simulyasiya edən skript işlədir və sonra header.php faylına zərərli JavaScript kodunu yeridir.
• "PHP/small.NBK" - hakerlərə uzaqdan giriş əldə etməyə imkan verən zərərli proqramdır kompüter sistemi, onlara faylları dəyişdirmək, şəxsi məlumatları oğurlamaq və daha çox zərərli proqram quraşdırmaq imkanı verir. Trojan atları adlanan bu cür təhdidlər adətən təcavüzkar tərəfindən yüklənir və ya başqa proqram tərəfindən endirilir. Onlar həmçinin yoluxmuş proqramların və ya onlayn oyunların quraşdırılması səbəbindən, həmçinin yoluxmuş saytlara baş çəkərkən görünə bilər.

Təəssüf ki, haker skriptləri xarici işarələr və ya xarici skanerlər tərəfindən aşkar edilmir. Buna görə də, nə axtarış motoru antivirusları, nə də vebmasterin kompüterində quraşdırılmış antivirus proqramı saytın təhlükəsizlik problemləri barədə məlumat verməyəcək. Skriptlər saytın sistem kataloqlarının bir yerində yerləşirsə (kökdə və ya şəkillərdə deyil) və ya mövcud skriptlərə yeridilirsə, onlar da təsadüfən fərq edilməyəcəkdir.

Şəkil 1. Antivirus proqram təminatının skan hesabatının nümunəsi

Beləliklə, aşağıdakı tövsiyələr veb resurslarını qorumaq üçün zəruri tədbirlər ola bilər:

1. Daimi ehtiyat nüsxəsi bütün məzmun fayl sistemi, verilənlər bazası və hadisə qeydləri (log faylları).
2. Məzmun idarəetmə sisteminin CMS-in ən son stabil versiyasına (məzmun idarəetmə sistemi) mütəmadi olaraq yenilənməsi.
3. Mürəkkəb parollardan istifadə. Parol tələbləri: Parol ən azı səkkiz simvoldan ibarət olmalıdır və parol yaradılarkən böyük və kiçik hərflərdən, həmçinin xüsusi simvollardan istifadə edilməlidir.
4. XSS hücumu və ya SQL inyeksiyası kimi hücumların qarşısını almaq üçün təhlükəsizlik əlavələri və ya plaginlərdən istifadə etmək məcburidir.
5. Əlavələrin (pluginlər, şablonlar və ya genişləndirmələr) istifadəsi və quraşdırılması yalnız etibarlı mənbələrdən və ya rəsmi tərtibatçı veb-saytlarından həyata keçirilməlidir.
6. Ən azı həftədə bir dəfə antivirus proqramları ilə fayl sistemini skan etmək və ən son verilənlər bazası imzalarından istifadə etmək.
7. Avtorizasiya və məlumatların istənilən sorğu formasına (forma) daxil edilməsi zamanı vebsaytı kobud güc parolları ilə sındırmadan qorumaq üçün CAPTCHA mexanizminin istifadəsini təmin edin rəy, axtarış və s.).
8. Daxil olmaq imkanını məhdudlaşdırın inzibati panel müəyyən sayda uğursuz cəhddən sonra veb-sayt nəzarəti.
9. Aşağıdakı kimi parametrləri nəzərə alaraq veb-server konfiqurasiya faylı vasitəsilə vebsaytın təhlükəsizlik siyasətini düzgün şəkildə konfiqurasiya edin:

• icazəsiz IP ünvanlarından ona girişin qarşısını almaq üçün veb-saytın inzibati idarəetmə panelinə daxil olmaq üçün administrator tərəfindən istifadə olunan IP ünvanlarının sayını məhdudlaşdırmaq;
• XSS hücumlarının qarşısını almaq üçün hər hansı teqlərin mətn formatından başqa hər hansı vasitə ilə ötürülməsinin qarşısını almaq (məsələn, p b i u).

1. Verilənlər bazasına giriş, FTP girişi və s. haqqında məlumatı ehtiva edən faylların standart qovluqlardan başqalarına köçürülməsi və sonra bu faylların adının dəyişdirilməsi.

Daha az təcrübəli haker üçün belə, qoruma təmin etməsəniz, Joomla veb-saytını sındırmaq olduqca asandır. Ancaq təəssüf ki, veb ustaları çox vaxt saytlarını sındırmaqdan qorumağı vacib olmayan məsələ hesab edərək sonraya qədər təxirə salırlar. Saytınıza girişi bərpa etmək onu qorumaq üçün tədbirlər görməkdən daha çox vaxt və səy tələb edəcəkdir. Veb resursunun təhlükəsizliyi təkcə serverlərin maksimum təhlükəsizliyini təmin etməyə borclu olan tərtibatçı və hosterin deyil, həm də sayt administratorunun vəzifəsidir.

Giriş

IN müasir biznes Veb texnologiyaları böyük populyarlıq qazandı. Əksər saytlar böyük şirkətlər interaktivliyə, fərdiləşdirmə vasitələrinə və müştərilərlə qarşılıqlı əlaqə vasitələrinə malik olan proqramlar toplusudur (onlayn mağazalar, uzaqdan idarəetmə bank xidmətləri), və tez-tez - şirkətin daxili korporativ tətbiqləri ilə inteqrasiya vasitələri.

Bununla belə, veb-sayt internetdə mövcud olduqdan sonra kiberhücumların hədəfinə çevrilir. Ən çox sadə şəkildə Bu gün veb-sayta edilən hücumlar onun komponentlərinin zəifliklərindən istifadə etməkdir. Əsas problem isə odur ki, müasir internet saytlarında zəifliklər kifayət qədər adi hala çevrilib.

Zəifliklər qaçılmaz və artan təhlükədir. Bunlar, əksər hallarda, veb proqram kodundakı təhlükəsizlik qüsurlarının və veb sayt komponentlərinin yanlış konfiqurasiyasının nəticəsidir.

Gəlin bir az statistika verək. 2016-cı ilin birinci yarısı üçün kibertəhlükələrə dair hesabatın məlumatlarına əsasən High-Tech Bridge, High-Tech Bridge tərəfindən hazırlanmış 2016-cı ilin birinci yarısının veb təhlükəsizliyi tendensiyalarını dərc edir:

• üçün veb xidmətləri və ya API-lərin 60%-dən çoxu mobil proqramlar verilənlər bazasına təhlükə yaratmağa imkan verən ən azı bir təhlükəli zəifliyi ehtiva edir;
• XSS hücumlarına qarşı həssas olan saytların 35%-i SQL inyeksiyalarına və XXE hücumlarına da həssasdır;
• Saytların 23%-də POODLE zəifliyi, yalnız 0,43%-də isə Heartbleed var;
• RansomWeb hücumları zamanı təhlükəli boşluqların istismarı (məsələn, SQL inyeksiyasına icazə verilməsi) halları 5 dəfə artıb;
• Veb serverlərin 79,9%-i səhv konfiqurasiya edilmiş və ya etibarsız http başlıqlarına malikdir;
• Bu gün tələb olunan yeniləmələr və düzəlişlər veb serverlərin yalnız 27,8%-də quraşdırılıb.

Veb resurslarını qorumaq üçün mütəxəssislər informasiya təhlükəsizliyi müxtəlif alətlər dəsti istifadə edin. Məsələn, trafiki şifrələmək üçün SSL sertifikatları istifadə olunur və ciddi konfiqurasiya və uzun müddət özünü öyrənmə tələb edən veb serverlərin perimetrində Veb Tətbiq Firewall (WAF) quraşdırılır. Veb-saytın təhlükəsizliyini təmin etmək üçün eyni dərəcədə effektiv vasitə təhlükəsizlik statusunu vaxtaşırı yoxlamaqdır (zəifliklərin axtarışı) və belə yoxlamaların aparılması üçün alətlər də qeyd olunan veb-sayt təhlükəsizlik skanerləridir. danışarıq bu baxışda.

Veb saytımızda artıq bazar liderlərinin məhsullarını nəzərdən keçirən veb tətbiqi təhlükəsizlik skanerlərinə həsr olunmuş "" icmalı var idi. Bu araşdırmada biz artıq bu mövzulara toxunmayacağıq, lakin pulsuz vebsayt təhlükəsizlik skanerlərinin nəzərdən keçirilməsinə diqqət yetirəcəyik.

Azad proqram təminatı mövzusu bu gün xüsusilə aktualdır. Rusiyadakı qeyri-sabit iqtisadi vəziyyətə görə, bir çox təşkilat (həm kommersiya, həm də dövlət sektoru) hazırda İT büdcələrini optimallaşdırır və sistemin təhlükəsizliyini təhlil etmək üçün bahalı kommersiya məhsulları almaq üçün çox vaxt kifayət qədər pul yoxdur. Eyni zamanda, insanların sadəcə olaraq bilmədiyi zəiflikləri axtarmaq üçün çoxlu pulsuz (pulsuz, açıq mənbə) kommunal proqramlar mövcuddur. Üstəlik, onlardan bəziləri heç də aşağı deyil funksionallıqödənişli rəqiblərinə. Buna görə də, bu yazıda ən maraqlı pulsuz veb sayt təhlükəsizlik skanerləri haqqında danışacağıq.

Veb sayt təhlükəsizlik skanerləri nədir?

Veb-saytın təhlükəsizlik skanerləri sistem və ya istifadəçi məlumatlarının bütövlüyünün pozulmasına, onların oğurlanmasına və ya bütövlükdə sistem üzərində nəzarətin əldə edilməsinə səbəb olan veb proqramlardakı qüsurları (zəiflikləri) axtaran proqram təminatı (avadanlıq və proqram təminatı) alətləridir.

Veb sayt təhlükəsizlik skanerlərindən istifadə edərək, aşağıdakı kateqoriyalar üzrə zəiflikləri aşkar edə bilərsiniz:

• kodlaşdırma mərhələsində zəifliklər;
• veb proqramın tətbiqi və konfiqurasiya mərhələsində zəifliklər;
• veb saytın əməliyyat mərhələsinin zəiflikləri.

Kodlaşdırma mərhələsindəki boşluqlara daxilolma və çıxış məlumatlarının (SQL injectionları, XSS) düzgün işlənməməsi ilə bağlı zəifliklər daxildir.

Veb-saytın tətbiqi mərhələsində olan boşluqlara veb proqram mühitinin (veb server, proqram serveri, SSL/TLS, çərçivə, üçüncü tərəf komponentləri, DEBUG rejiminin mövcudluğu və s.) yanlış parametrləri ilə bağlı zəifliklər daxildir.

Veb saytın əməliyyat fazasındakı boşluqlara köhnəlmiş proqram təminatının istifadəsi ilə bağlı zəifliklər, sadə parollar, arxivləşdirilmiş nüsxələrin veb serverdə saxlanması ictimai çıxış, ictimaiyyətə açıq xidmət modullarının (phpinfo) mövcudluğu və s.

Veb sayt təhlükəsizlik skanerləri necə işləyir

Ümumiyyətlə, veb-sayt təhlükəsizlik skanerinin iş prinsipi aşağıdakı kimidir:

• Tədqiq olunan obyekt haqqında məlumatların toplanması.
• Zəiflik verilənlər bazalarından istifadə edərək, zəifliklər üçün veb-sayt proqram təminatının auditi.
• Sistem zəifliklərinin müəyyən edilməsi.
• Onların aradan qaldırılması üçün tövsiyələrin formalaşdırılması.

Veb sayt təhlükəsizlik skanerlərinin kateqoriyaları

Məqsədlərindən asılı olaraq vebsayt təhlükəsizlik skanerləri aşağıdakı kateqoriyalara (növlərə) bölünə bilər:

• Şəbəkə skanerləri - bu tip skanerlər mövcud şəbəkə xidmətlərini aşkar edir, onların versiyalarını quraşdırır, OS-ni müəyyənləşdirir və s.
• Veb skriptlərində boşluqların axtarışı üçün skanerlər- bu tip skaner SQL inj, XSS, LFI/RFI və s. kimi zəiflikləri və ya xətaları (silinməyən müvəqqəti fayllar, kataloqların indeksləşdirilməsi və s.) axtarır.
• Exploit Finders- bu tip skaner istismarların avtomatlaşdırılmış axtarışı üçün nəzərdə tutulub proqram təminatı və skriptlər.
• Enjeksiyon avtomatlaşdırma vasitələri- xüsusi olaraq inyeksiyaların axtarışı və istismarı ilə məşğul olan kommunal xidmətlər.
• Sazlayıcılar- veb proqramında səhvləri düzəltmək və kodu optimallaşdırmaq üçün alətlər.

Eyni anda bir neçə kateqoriyalı skanerin imkanlarını özündə birləşdirən universal yardım proqramları da var.

Aşağıda pulsuz vebsayt təhlükəsizlik skanerlərinin qısa icmalı verilmişdir. Çox sayda pulsuz kommunal olduğundan, veb texnologiyalarının təhlükəsizliyini təhlil etmək üçün yalnız ən populyar pulsuz vasitələr nəzərdən keçirilir. Müəyyən bir yardım proqramı nəzərdən keçirərkən, veb texnologiyasının təhlükəsizliyi mövzusunda ixtisaslaşmış resurslar təhlil edildi:

Pulsuz Vebsayt Təhlükəsizlik Skanerlərinin Qısa İcmalı

Şəbəkə skanerləri

Nmap

Skaner növü: şəbəkə skaneri.

Nmap (Network Mapper) pulsuz və açıq mənbə proqramıdır. İstənilən sayda obyektlə şəbəkələri skan etmək, skan edilmiş şəbəkənin obyektlərinin vəziyyətini, habelə portları və onlara uyğun xidmətləri müəyyən etmək üçün nəzərdə tutulmuşdur. Bunun üçün Nmap UDP, TCP connect, TCP SYN (yarı açıq), FTP proxy (ftp sıçrayışı), Reverse-ident, ICMP (ping), FIN, ACK, Xmas tree, SYN kimi bir çox fərqli skan etmə metodlarından istifadə edir. və NULL- tarama.

Nmap həmçinin geniş spektrli əlavə funksiyaları dəstəkləyir, yəni: TCP/IP yığın barmaq izlərindən istifadə edərək uzaq hostun əməliyyat sisteminin müəyyən edilməsi, “görünməz” skan, gecikmənin və paketlərin təkrar ötürülməsinin dinamik hesablanması, paralel skan edilməsi, paralel ping sorğusundan istifadə edərək qeyri-aktiv hostların müəyyən edilməsi. , yalançı hostlardan istifadə edərək skan etmək, paket filtrlərinin mövcudluğunu aşkar etmək, birbaşa (portmapper istifadə etmədən) RPC skan etmək, IP parçalanması ilə skan etmək, həmçinin skan edilmiş şəbəkələrin IP ünvanlarının və port nömrələrinin ixtiyari göstərilməsi.

Nmap Linux Journal, Info World, LinuxQuestions.Org və Codetalker Digest kimi jurnal və icmalardan İlin Təhlükəsizlik Məhsulu statusu alıb.

Platforma: Köməkçi proqram çarpaz platformadır.

Ətraflı təfərrüatlardan Nmap skaner məsləhətləşmək olar.

IP Alətləri

Skaner növü: şəbəkə skaneri.

IP Tools filtrləmə qaydalarını, filtrləmə adapterini, paketin dekodlanmasını, protokolun təsvirini və daha çoxunu dəstəkləyən protokol analizatorudur. Ətraflı məlumat hər bir paket stil ağacında yerləşir, sağ klik menyusu seçilmiş IP ünvanını skan etməyə imkan verir.

Paket snifferinə əlavə olaraq, IP Alətləri tam dəsti təklif edir şəbəkə alətləri, o cümlədən statistika adapteri, IP trafik monitorinqi və daha çox.

Siz IP-Tools skaneri haqqında daha çox məlumat əldə edə bilərsiniz.

Skipfish

Proqramçı Michal Zalewski-dən olan “Skipfish” platformalararası veb boşluq skaneri veb proqramın rekursiv təhlilini və onun lüğət əsasında yoxlanışını həyata keçirir, bundan sonra aşkar edilmiş boşluqlar haqqında şərhlərin əks olunduğu sayt xəritəsini yaradır.

Alət Google tərəfindən daxili olaraq hazırlanır.

Skaner veb proqramın ətraflı təhlilini həyata keçirir. Eyni tətbiqin sonrakı sınaqdan keçirilməsi üçün lüğət yaratmaq da mümkündür. Skipfish-in təfərrüatlı hesabatında aşkar edilmiş boşluqlar, zəifliyi ehtiva edən resursun URL-i və göndərilən sorğu haqqında məlumat var. Hesabatda əldə edilən məlumatlar ciddilik səviyyəsinə və zəiflik növünə görə çeşidlənir. Hesabat html formatında hazırlanır.

Qeyd etmək lazımdır ki, Skipfish veb zəifliyi skaneri çox böyük miqdarda trafik yaradır və skan etmək çox uzun vaxt aparır.

Platformalar: MacOS, Linux, Windows.

Skipfish skaneri haqqında daha çox məlumat əldə edə bilərsiniz.

Wapiti

Skaner növü: veb skriptlərdə boşluqların axtarışı üçün skaner.

Wapiti veb proqramları yoxlamaq üçün konsol yardım proqramıdır. O, “qara qutu” prinsipi ilə işləyir.

Wapiti aşağıdakı kimi işləyir: birincisi, WASS skaneri sayt strukturunu təhlil edir, mövcud skriptləri axtarır və parametrləri təhlil edir. Wapiti daha sonra fuzzeri yandırır və bütün həssas skriptlər tapılana qədər skan etməyə davam edir.

Wapiti WASS skaneri aşağıdakı zəiflik növləri ilə işləyir:

• Faylın açıqlanması (Yerli və uzaqdan daxil edilir/tələb olunur, fopen, readfile).
• Database Injection (PHP/JSP/ASP SQL Enjeksiyonları və XPath Enjeksiyonları).
• XSS (Cross Site Scripting) inyeksiyası (əks olunan və daimi).
• Komanda icrasının aşkarlanması (eval(), system(), paststru()…).
• CRLF Enjeksiyonu (HTTP Cavabının Parçalanması, sessiya fiksasiyası...).
• XXE (XmleXternal Entity) inyeksiyası.
• Bildiyiniz potensial təhlükəli faylların istifadəsi.
• Yan keçə bilən zəif .htaccess konfiqurasiyaları.
• Həssas məlumat verən ehtiyat faylların olması (mənbə kodunun açıqlanması).

Wapiti Kali Linux paylanmasının utilitlərinə daxildir. Mənbələri SourceForge-dan yükləyə və Linux nüvəsinə əsaslanan istənilən paylamada istifadə edə bilərsiniz. Wapiti GET və POST HTTP sorğu üsullarını dəstəkləyir.

Platformalar: Windows, Unix, MacOS.

Wapiti skaneri haqqında daha çox məlumat əldə edə bilərsiniz.

Nessus

Nessus skaneri ailəyə məxsus güclü və etibarlı vasitədir şəbəkə skanerləri, əməliyyat sistemləri, təhlükəsizlik duvarları, filtrləmə marşrutlaşdırıcıları və digər şəbəkə komponentləri tərəfindən təklif olunan şəbəkə xidmətlərində zəiflikləri axtarmağa imkan verir. Zəiflikləri axtarmaq üçün onlar kimi istifadə olunur standart vasitələrşəbəkənin konfiqurasiyası və işləməsi haqqında məlumatların sınaqdan keçirilməsi və toplanması və xüsusi vasitələr, şəbəkəyə qoşulmuş sistemlərə nüfuz etmək üçün təcavüzkarın hərəkətlərini təqlid etmək.

Nessus skaneri haqqında daha çox məlumat əldə edə bilərsiniz.

bsqlbf-v2

Skaner növü: enjeksiyon avtomatlaşdırma aləti.

bsqlbf-v2 Perl-də yazılmış skriptdir. Kor SQL inyeksiyaları üçün qəddar qüvvə. Skaner həm URL-də, həm də sətir dəyərlərində tam ədədlərlə işləyir.

Platformalar: MS-SQL, MySQL, PostgreSQL, Oracle.

Siz bsqlbf-v2 skaneri haqqında ətraflı məlumat əldə edə bilərsiniz.

Sazlayıcılar

Burp Suite

Skaner növü: sazlayıcı.

Burp Suite Java-da yazılmış nisbətən müstəqil, çarpaz platforma proqramları toplusudur.

Kompleksin əsasını yerli proksi serverin funksiyalarını yerinə yetirən Burp Proxy modulu təşkil edir; dəstin qalan komponentləri Hörümçək, İntruder, Təkrarlayıcı, Sequencer, Dekoder və Müqayisə edəndir. Bütün komponentlər bir bütövlükdə bir-birinə elə bağlıdır ki, verilənlər tətbiqin istənilən hissəsinə, məsələn, veb proqramda müxtəlif yoxlamalar aparmaq üçün Proxy-dən Intruder-ə, daha hərtərəfli əl təhlili üçün Intruderdən Təkrarlayıcıya qədər göndərilə bilər. HTTP başlıqları.

Platformalar: çarpaz platforma proqram təminatı.

Burp Suite skaneri haqqında daha çox məlumat əldə edə bilərsiniz.

skripkaçı

Skaner növü: sazlayıcı.

Fiddler bütün HTTP(S) trafikini qeyd edən sazlama proksisidir. Alət bu trafiki yoxlamağa, kəsmə nöqtəsi təyin etməyə və daxil olan və ya gedən məlumatlarla "oynamağa" imkan verir.

Fiddler-in funksional xüsusiyyətləri:

• Bütün sorğulara nəzarət etmək bacarığı, Peçenyelər, İnternet brauzerləri tərəfindən ötürülən parametrlər.
• Tez server cavablarını dəyişdirmək üçün funksiya.
• Başlıqları və sorğuları manipulyasiya etmək bacarığı.
• Kanal genişliyini dəyişdirmək üçün funksiya.

Platformalar: çarpaz platforma proqram təminatı.

Fiddler skaneri haqqında daha çox məlumat əldə edə bilərsiniz.

N-Stalker Veb Tətbiqi Təhlükəsizlik Skaneri X Pulsuz Nəşr

Skaner növü: veb skriptlərdə boşluqların axtarışı üçün skaner, istismar axtarış aləti.

Veb xidmətləri üçün effektiv vasitə N-Stalker-dən N-Stealth Təhlükəsizlik Skaneridir. Şirkət N-Stealth-in daha tam xüsusiyyətli versiyasını satır, lakin pulsuzdur sınaq versiyası sadə qiymətləndirmə üçün olduqca uyğundur. Ödənişli məhsulda 30 mindən çox veb server təhlükəsizlik testi var, həm də pulsuz versiya Microsoft IIS və Apache kimi geniş istifadə olunan veb serverlərdə zəifliklər də daxil olmaqla 16 mindən çox spesifik boşluq aşkarlayır. Məsələn, N-Stealth həssas Common Gateway Interface (CGI) və Hypertext Preprocessor (PHP) skriptlərini axtarır və nüfuz etmək üçün hücumlardan istifadə edir. SQL Server, tipik saytlararası ssenarilər və populyar veb serverlərdəki digər boşluqlar.

N-Stealth həm HTTP, həm də HTTP Təhlükəsizliyini (HTTPS - SSL istifadə edərək) dəstəkləyir, Ümumi Zəifliklər və Təsirlər (CVE) lüğətinə və Bugtraq verilənlər bazasına qarşı zəiflikləri uyğunlaşdırır və layiqli hesabatlar yaradır. N-Stealth veb serverlərdə ən ümumi boşluqları tapmaq üçün istifadə olunur və ən çox ehtimal olunan hücum vektorlarını müəyyən etməyə kömək edir.

Əlbəttə ki, veb saytın və ya tətbiqlərin təhlükəsizliyinin daha etibarlı qiymətləndirilməsi üçün ödənişli versiyanı almaq tövsiyə olunur.

N-Stealth skaneri haqqında daha çox məlumat əldə edə bilərsiniz.

nəticələr

Zəiflikləri müəyyən etmək üçün veb saytları sınaqdan keçirmək yaxşı bir profilaktik tədbirdir. Hal-hazırda, bir çox kommersiya və sərbəst mövcud veb sayt təhlükəsizlik skanerləri var. Eyni zamanda, skanerlər həm universal (hərtərəfli həllər), həm də ixtisaslaşdırılmış ola bilər, yalnız müəyyən növ zəiflikləri müəyyən etmək üçün nəzərdə tutulmuşdur.

Bəzi pulsuz skanerlər olduqca güclü alətlərdir və böyük dərinlik göstərir və yaxşı keyfiyyət vebsayt yoxlamaları. Ancaq veb-saytların təhlükəsizliyini təhlil etmək üçün pulsuz yardım proqramlarından istifadə etməzdən əvvəl onların keyfiyyətinə əmin olmalısınız. Bu gün bunun üçün artıq bir çox üsul var (məsələn, Veb Tətbiqinin Təhlükəsizliyi Skanerinin Qiymətləndirilməsi Meyarları, OWASP Veb Tətbiqi Skanerinin Spesifikasiyası Layihəsi).

Yalnız hərtərəfli həllər müəyyən bir infrastrukturun təhlükəsizliyinin ən tam mənzərəsini təmin edə bilər. Bəzi hallarda bir neçə təhlükəsizlik skanerindən istifadə etmək daha yaxşıdır.

1. Məqsəd və məqsədlər

İşin məqsədi xaricə girişin təhlükəsizliyini artırmaq üçün alqoritmlərin işlənib hazırlanmasıdır informasiya resursları korporativ təhsil şəbəkələrindən, onların xarakterik təhlükəsizlik təhdidlərini, həmçinin istifadəçi kütləsinin xüsusiyyətlərini, təhlükəsizlik siyasətlərini, arxitektura həllərini və resurs dəstəyini nəzərə alaraq.

Məqsəddən asılı olaraq işdə aşağıdakı vəzifələr həll olunur:

1. Təhsil şəbəkələrində informasiya təhlükəsizliyinə əsas təhlükələrin təhlilini aparın.

2. Təhsil şəbəkələrində arzuolunmaz informasiya resurslarına çıxışın məhdudlaşdırılması metodunun işlənib hazırlanması.

3. Saytlardakı potensial zərərli kodun sonrakı təhlili üçün veb-səhifələrin skan edilməsinə, birbaşa əlaqələrin axtarışına və faylların yüklənməsinə imkan verən alqoritmlər hazırlayın.

4. Veb saytlarda arzuolunmaz informasiya resurslarının müəyyən edilməsi üçün alqoritm hazırlayın.

2. Mövzunun aktuallığı

Müasir intellektual təlim sistemləri Veb-əsaslıdır və istifadəçilərinə onlarla işləmək imkanı verir müxtəlif növlər yerli və uzaq təhsil resursları. Problem təhlükəsiz istifadəİnternetdə yerləşdirilən informasiya resursları (İR) getdikcə aktuallaşır. Bu problemin həlli üçün istifadə olunan üsullardan biri də arzuolunmaz informasiya resurslarına çıxışın məhdudlaşdırılmasıdır.

Təhsil müəssisələrinə İnternetə çıxışı təmin edən operatorlardan arzuolunmaz məlumatlara çıxışın məhdudlaşdırılmasını təmin etmək tələb olunur. Məhdudiyyət müəyyən edilmiş qaydada mütəmadi olaraq yenilənən siyahılardan istifadə etməklə operatorlar tərəfindən filtrasiya yolu ilə həyata keçirilir. Bununla belə, təhsil şəbəkələrinin məqsədini və istifadəçi auditoriyasını nəzərə alaraq, arzuolunmaz resursları dinamik olaraq tanıyan və istifadəçiləri onlardan qoruyan daha çevik, özünü öyrənən sistemdən istifadə etmək məqsədəuyğundur.

Ümumiyyətlə, arzuolunmaz resurslara çıxış aşağıdakı təhlükələri daşıyır: qeyri-qanuni və asossial hərəkətlərin təbliği, məsələn: siyasi ekstremizm, terrorizm, narkomaniya, pornoqrafiya və digər materialların yayılması; tələbələri kompüter şəbəkələrindən təhsil məqsədləri üçün istifadə etməkdən yayındırmaq; məhdud bant genişliyi ilə xarici kanalların həddən artıq yüklənməsi səbəbindən İnternetə çıxışda çətinlik. Yuxarıda sadalanan resurslar tez-tez zərərli proqramları və onlarla əlaqəli təhlükələri yeritmək üçün istifadə olunur.

Şəbəkə resurslarına girişi məhdudlaşdıran mövcud sistemlər təkcə fərdi paketləri deyil, həm də onların məzmununu - şəbəkə vasitəsilə ötürülən məzmunu yoxlamaq imkanına malikdir. Hazırda məzmun filtrləmə sistemləri veb məzmunu filtrləmək üçün aşağıdakı üsullardan istifadə edir: DNS adı və ya xüsusi IP ünvanı, veb məzmunun içindəki açar sözlər və fayl növü ilə. Müəyyən bir Veb saytına və ya saytlar qrupuna girişi bloklamaq üçün siz uyğun olmayan məzmunu ehtiva edən bir neçə URL göstərməlisiniz. URL filtri şəbəkə təhlükəsizliyi üzərində hərtərəfli nəzarəti təmin edir. Bununla belə, bütün mümkün uyğunsuz URL-ləri əvvəlcədən proqnozlaşdırmaq mümkün deyil. Bundan əlavə, bəzi şübhəli məzmunlu veb saytlar URL-lərlə deyil, yalnız IP ünvanları ilə işləyir.

Problemi həll etməyin bir yolu HTTP protokolu ilə alınan məzmunu filtrləməkdir. Mövcud məzmun filtrləmə sistemlərinin dezavantajı statik olaraq yaradılan girişə nəzarət siyahılarının istifadəsidir. Onları doldurmaq üçün kommersiya məzmununun filtrasiya sistemlərinin tərtibatçıları məzmunu kateqoriyalara bölən və verilənlər bazasında qeydləri sıralayan işçiləri işə götürürlər.

Təhsil şəbəkələri üçün mövcud məzmun süzgəc sistemlərinin çatışmazlıqlarını aradan qaldırmaq üçün onun səhifələrinin məzmunu əsasında veb resursun kateqoriyasının dinamik müəyyən edilməsi ilə veb-trafik filtrləmə sistemlərinin hazırlanması aktualdır.

3. Qəbul edilən elmi yenilik

İntellektual təlim sistemlərinin istifadəçilərinin internet saytlarında arzuolunmaz resurslara çıxışının məhdudlaşdırılması alqoritmi, onların gecikdirilmiş təsnifatı vasitəsilə informasiya resurslarına giriş siyahılarının dinamik formalaşdırılmasına əsaslanır.

4. Planlaşdırılmış praktiki nəticələr

Hazırlanmış alqoritmlər intellektual kompüter öyrənmə sistemlərində arzuolunmaz resurslara çıxışın məhdudlaşdırılması sistemlərində istifadə oluna bilər.

5. Tədqiqat və inkişafa baxış

5.1 Qlobal səviyyədə mövzu üzrə tədqiqat və inkişafa baxış

H.H. kimi məşhur alimlərin işi informasiya təhlükəsizliyinin təmin edilməsi problemlərinə həsr edilmişdir. Bezrukov, P.D. Zeqzda, A.M. İvaşko, A.I. Kostogryzov, V.I. Kurbatov K. Lendver, D. McLean, A.A. Moldovyan, H.A. Moldovyan, A.A.Malyuk, E.A.Derbin, R.Sandhu, J.M.Kerroll və b. Eyni zamanda, korporativ və açıq şəbəkələrdə mətn mənbələrinin hədsiz həcminə baxmayaraq, informasiya təhlükəsizliyi üçün metod və sistemlərin işlənib hazırlanması sahəsində, təhlükəsizlik təhdidlərinin təhlilinə və İnternetə çıxış ilə kompüter təlimində arzuolunmaz resurslara girişin məhdudlaşdırılmasına yönəlmiş tədqiqatlar .

Ukraynada bu sahədə aparıcı tədqiqatçı V.V.Domarevdir. . Onun dissertasiya tədqiqatları mürəkkəb informasiya təhlükəsizliyi sistemlərinin yaradılması problemlərinə həsr edilmişdir. Kitabların müəllifi: “Təhlükəsizlik informasiya texnologiyaları. Mühafizə sistemlərinin yaradılması metodologiyası”, “İnformasiya texnologiyalarının təhlükəsizliyi. Sistemli yanaşma” və s., 40-dan çox elmi məqalə və nəşrin müəllifidir.

5.2 Milli səviyyədə mövzu üzrə tədqiqat və işlənmə işlərinin nəzərdən keçirilməsi

Donetsk Milli Texniki Universitetində informasiya təhlükəsizliyi sisteminin yaradılması üçün model və metodların işlənib hazırlanması korporativ şəbəkə“Ximka S.S.” müxtəlif meyarlar nəzərə alınmaqla müəssisəyə cəlb edilib. . Təhsil sistemlərində informasiyanın mühafizəsi Yu.S. .

6. Təhsil sistemlərində veb-resurslara çıxışın məhdudlaşdırılması problemləri

İnformasiya texnologiyalarının inkişafı hazırda resursların təsvirinin iki aspektindən danışmağa imkan verir: İnternet məzmunu və giriş infrastrukturu. Giriş infrastrukturu adətən aparat və avadanlıq dəsti kimi başa düşülür proqram təminatı, IP paket formatında məlumat ötürülməsini təmin edən və məzmun təqdimat formasının (məsələn, müəyyən kodlaşdırmada simvol ardıcıllığı kimi) və məlumatın məzmununun (semantikasının) birləşməsi kimi müəyyən edilir. Belə bir təsvirin xarakterik xüsusiyyətləri arasında aşağıdakıları vurğulamaq lazımdır:

1. məzmunun giriş infrastrukturundan müstəqilliyi;

2. məzmunda davamlı keyfiyyət və kəmiyyət dəyişiklikləri;

3. yeni interaktiv informasiya resurslarının (“canlı jurnallar”, sosial Mediya, pulsuz ensiklopediyalar və s.), istifadəçilərin onlayn məzmunun yaradılmasında birbaşa iştirak etdikləri.

İnformasiya resurslarına girişə nəzarət problemlərinin həlli zamanı infrastrukturun xüsusiyyətləri və şəbəkə məzmunu ilə bağlı həll olunan təhlükəsizlik siyasətinin işlənib hazırlanması məsələləri böyük əhəmiyyət kəsb edir. İnformasiya təhlükəsizliyi modelinin təsviri səviyyəsi nə qədər yüksək olarsa, girişə nəzarət şəbəkə resurslarının semantikasına bir o qədər çox diqqət yetirilir. Aydındır ki, MAC və IP ünvanları (link və şəbəkə qatıŞəbəkə cihazı interfeyslərinin qarşılıqlı əlaqəsi) hər hansı bir məlumat kateqoriyasına bağlana bilməz, çünki eyni ünvan müxtəlif xidmətləri təmsil edə bilər. Port nömrələri (nəqliyyat təbəqəsi), bir qayda olaraq, xidmət növü haqqında fikir verir, lakin bu xidmətin təqdim etdiyi məlumatları keyfiyyətcə xarakterizə etmir. Məsələn, yalnız nəqliyyat təbəqəsi məlumatlarına əsaslanaraq, konkret Web saytını semantik kateqoriyalardan birinə (media, biznes, əyləncə və s.) təsnif etmək mümkün deyil. Təhlükəsizlik informasiya təhlükəsizliyi tətbiq səviyyəsində məzmunun filtrasiyası konsepsiyasına yaxınlaşır, yəni. şəbəkə resurslarının semantikasını nəzərə alaraq girişə nəzarət. Nəticə etibarilə, girişə nəzarət sistemi nə qədər məzmun yönümlüdürsə, onun köməyi ilə müxtəlif kateqoriyalı istifadəçilərə və informasiya resurslarına münasibətdə yanaşma bir o qədər fərqləndirilə bilər. Xüsusilə, semantik yönümlü idarəetmə sistemi təhsil müəssisələrində tələbələrin təlim prosesi ilə bir araya sığmayan resurslara çıxışını effektiv şəkildə məhdudlaşdıra bilər.

Veb resursun əldə edilməsi prosesinin mümkün variantları Şəkil 1-də təqdim olunur

Şəkil 1 - HTTP protokolu vasitəsilə veb resursun əldə edilməsi prosesi

İnternet resurslarından istifadəyə çevik nəzarəti təmin etmək üçün operator şirkətində təhsil təşkilatı tərəfindən resurslardan istifadəyə dair müvafiq siyasət tətbiq etmək lazımdır. Bu siyasət ya əl ilə, ya da avtomatik həyata keçirilə bilər. “Manual” tətbiqi o deməkdir ki, şirkətdə real vaxt rejimində təhsil müəssisəsi istifadəçilərinin fəaliyyətinə nəzarət edən və ya marşrutlaşdırıcılardan, proksi serverlərdən və ya firewalllardan olan loglardan istifadə edən xüsusi işçi heyəti var. Bu cür monitorinq problemlidir, çünki çox əmək tələb edir. İnternet resurslarından istifadəyə çevik nəzarəti təmin etmək üçün şirkət idarəçiyə təşkilatın resurslardan istifadə siyasətini həyata keçirmək üçün alət təqdim etməlidir. Məzmun filtrasiyası bu məqsədə xidmət edir. Onun mahiyyəti informasiya mübadiləsi obyektlərinin komponentlərə parçalanmasından, bu komponentlərin məzmununun təhlilindən, onların parametrlərinin internet resurslarından istifadə üzrə qəbul edilmiş siyasətə uyğunluğunun müəyyən edilməsindən və belə təhlilin nəticələrinə əsasən müəyyən tədbirlərin görülməsindən ibarətdir. Veb-trafikin süzülməsi vəziyyətində məlumat mübadiləsi obyektləri veb sorğular, veb-səhifələrin məzmunu və istifadəçi tələbi ilə ötürülən fayllar başa düşülür.

Təhsil təşkilatının istifadəçiləri yalnız proxy server vasitəsilə İnternetə çıxış əldə edirlər. Hər dəfə müəyyən resursa daxil olmağa çalışdığınız zaman, proxy server resursun xüsusi verilənlər bazasına daxil olub-olmadığını yoxlayır. Əgər belə resurs qadağan olunmuş resursların bazasına yerləşdirilirsə, ona giriş bloklanır və istifadəçiyə ekranda müvafiq mesaj verilir.

Əgər tələb olunan resurs qadağan olunmuş resursların verilənlər bazasında deyilsə, ona giriş icazəsi verilir, lakin bu resursa daxil olma qeydi xüsusi xidmət jurnalında qeyd olunur. Gündə bir dəfə (və ya digər fasilələrlə) proksi server ən çox ziyarət edilən resursların siyahısını yaradır (URL siyahısı şəklində) və ekspertlərə göndərir. Mütəxəssislər (sistem administratorları) müvafiq metodologiyadan istifadə edərək, əldə edilən resursların siyahısını yoxlayır və onların xarakterini müəyyənləşdirirlər. Əgər resurs qeyri-məqsəd xarakterlidirsə, ekspert onu təsnif edir (porno resurs, oyun resursu) və verilənlər bazasında dəyişiklik edir. Bütün lazımi dəyişikliklər edildikdən sonra verilənlər bazasının yenilənmiş versiyası avtomatik olaraq sistemə qoşulmuş bütün proxy serverlərə göndərilir. Proksi serverlərdə qeyri-məqsədli resurslar üçün filtrləmə sxemi Şəkil 1-də göstərilmişdir. 2.

Şəkil 2 - Proksi serverlərdə qeyri-məqsədli resursların filtrlənməsinin əsas prinsipləri

Proksi serverlərdə qeyri-məqsədli resursların filtrasiyası ilə bağlı problemlər aşağıdakılardır. Mərkəzləşdirilmiş filtrasiya ilə mərkəzi bölmənin yüksək performanslı avadanlığı tələb olunur, böyük ötürmə qabiliyyəti mərkəzi node-də rabitə kanalları, mərkəzi node uğursuzluq bütün filtrasiya sisteminin tam uğursuzluq gətirib çıxarır.

Birbaşa təşkilatın iş stansiyalarında və ya serverlərində "sahədə" qeyri-mərkəzləşdirilmiş filtrasiya ilə yerləşdirmə və dəstəyin dəyəri yüksəkdir.

Sorğunun göndərilməsi mərhələsində ünvana görə süzgəcdən keçirərkən, arzuolunmaz məzmunun mövcudluğuna qarşı heç bir profilaktik reaksiya və “maskalı” veb-saytların filtrasiyasında çətinliklər yoxdur.

Məzmuna görə süzgəcdən keçirərkən hər bir resursun qəbulu zamanı böyük həcmdə informasiyanı emal etmək lazımdır və Java, Flash kimi alətlərdən istifadə etməklə hazırlanan resursların işlənməsinin mürəkkəbliyi.

7. İntellektual təlim sistemlərinin istifadəçiləri üçün veb-resursların informasiya təhlükəsizliyi

Girişə nəzarət vasitələrinin İnternet resurslarına inteqrasiyasının iyerarxik prinsipinə əsaslanan ümumi həll yolu ilə informasiya resurslarına çıxışa nəzarət imkanlarını nəzərdən keçirək (şək. 3). İOS-dan arzuolunmaz IR-yə girişin məhdudlaşdırılması firewalling, proksi serverlərin istifadəsi, müdaxilələri aşkar etmək üçün anomal fəaliyyətin təhlili, bant genişliyinin məhdudlaşdırılması, məzmun təhlili əsasında filtrasiya, giriş siyahıları əsasında filtrasiya kimi texnologiyaların kombinasiyası vasitəsilə əldə edilə bilər. Bu halda əsas vəzifələrdən biri müasir giriş məhdudiyyəti siyahılarının formalaşdırılması və istifadəsidir.

İstenmeyen resursların süzülməsi cərəyana uyğun olaraq həyata keçirilir normativ sənədlər müəyyən edilmiş qaydada dərc edilmiş siyahılar əsasında. Digər informasiya ehtiyatlarına çıxışın məhdudlaşdırılması təhsil şəbəkəsinin operatoru tərəfindən hazırlanmış xüsusi meyarlar əsasında həyata keçirilir.

Müəyyən edilmiş tezlikdən aşağı istifadəçi girişi, hətta potensial arzuolunmaz resurs üçün məqbuldur. Yalnız tələb olunan resurslar təhlilə və təsnifata məruz qalır, yəni istifadəçi sorğularının sayı müəyyən edilmiş həddi keçib. Tarama və təhlil sorğuların sayı həddi aşdıqdan bir müddət sonra (xarici kanallarda minimal yüklənmə dövründə) həyata keçirilir.

Skan edilən tək veb səhifələr deyil, onlarla əlaqəli bütün resurslar (səhifədəki keçidləri təhlil etməklə). Nəticədə, bu yanaşma resursun skan edilməsi zamanı zərərli proqramlara keçidlərin mövcudluğunu müəyyən etməyə imkan verir.

Şəkil 3 - İnternet resurslarına girişə nəzarət vasitələrinin iyerarxiyası

(animasiya, 24 kadr, 25 KB)

Resursların avtomatlaşdırılmış təsnifatı müştərinin - sistemin sahibinin korporativ serverində həyata keçirilir. Təsnifat vaxtı gecikmiş resursların təsnifatı konsepsiyasına əsaslanan istifadə olunan metodla müəyyən edilir. Bu, müəyyən tezlikdən aşağı istifadəçi girişinin, hətta potensial arzuolunmaz resursa girişinin məqbul olduğunu nəzərdə tutur. Bu, bahalı on-the-fly təsnifatın qarşısını alır. Yalnız tələb olunan resurslar təhlilə və avtomatlaşdırılmış təsnifata məruz qalır, yəni istifadəçi sorğularının tezliyi müəyyən edilmiş həddi aşmış resurslar. Tarama və təhlil sorğuların sayı həddi aşdıqdan bir müddət sonra (xarici kanallarda minimal yüklənmə dövründə) həyata keçirilir. Metod üç siyahının dinamik şəkildə qurulması sxemini həyata keçirir: “qara” (ChSP), “ağ” (BSP) və “boz” (GSP). Qara siyahıda olan resurslara giriş qadağandır. Ağ siyahı təsdiqlənmiş icazə verilən resursları ehtiva edir. "Boz" siyahıda istifadəçilər tərəfindən ən azı bir dəfə tələb olunan, lakin təsnif olunmayan resurslar var. “Qara” siyahının ilkin formalaşdırılması və sonrakı “əl ilə” düzəliş edilməsi qadağan olunmuş resursların ünvanları haqqında səlahiyyətli dövlət orqanı tərəfindən verilmiş rəsmi məlumatlar əsasında həyata keçirilir. “Ağ” siyahının ilkin məzmunu istifadə üçün tövsiyə olunan resurslardan ibarətdir. Qara siyahıda olmayan resursla bağlı istənilən sorğu təmin edilir. Bu resurs “ağ” siyahıda yoxdursa, bu resursa müraciətlərin sayının qeyd olunduğu “boz” siyahıya salınır. Sorğuların tezliyi müəyyən bir həddi aşarsa, resursun avtomatlaşdırılmış təsnifatı aparılır, bunun əsasında "qara" və ya "ağ" siyahıya daxil edilir.

8. İntellektual təlim sistemlərinin istifadəçiləri üçün veb-resursların informasiya təhlükəsizliyinin müəyyən edilməsi alqoritmləri

Giriş məhdudiyyəti alqoritmi. İnternet saytlarında arzuolunmaz resurslara girişə qoyulan məhdudiyyətlər İOS-da arzuolunmaz İR-yə giriş riski konsepsiyasının aşağıdakı tərifinə əsaslanır. k-ci IR sinfi kimi təsnif edilən arzuolunmaz i-ci İR-yə daxil olmaq riski müəyyən bir İOS növünün arzuolunmaz IR-nin vurduğu zərərin ekspert qiymətləndirməsinə və ya istifadəçinin şəxsiyyətinə mütənasib dəyər olacaqdır. Müəyyən bir müddət ərzində bu mənbəyə girişlərin sayı:

Riskin təhlükənin reallaşma ehtimalının və vurulmuş zərərin dəyərinin məhsulu kimi klassik tərifinə bənzətməklə, bu tərif riski arzuolunmaz İR-yə daxil olmaqdan mümkün zərərin miqdarının riyazi gözləntiləri kimi şərh edir. Bu halda gözlənilən zərərin miqdarı MN-nin istifadəçilərin şəxsiyyətinə təsir dərəcəsi ilə müəyyən edilir ki, bu da öz növbəsində bu təsirə məruz qalmış istifadəçilərin sayı ilə birbaşa mütənasibdir.

Hər hansı bir veb resursu təhlil edərkən, ona girişin arzuolunan və ya arzuolunmazlığı baxımından onun hər bir səhifəsinin aşağıdakı əsas komponentlərini nəzərə almaq lazımdır: məzmun, yəni mətn və digər (qrafik, foto, video) bu səhifədə yerləşdirilən məlumat; eyni veb-saytın digər səhifələrində yerləşdirilən məzmun (yüklənmiş səhifələrin məzmunundan daxili bağlantılar əldə edə bilərsiniz. müntəzəm ifadələr); digər saytlarla əlaqə (hər ikisi baxımından mümkün yükləmə viruslar və troyanlar) və arzuolunmaz məzmunun olması baxımından. Siyahılardan istifadə edərək arzuolunmaz resurslara girişin məhdudlaşdırılması alqoritmi Şəkil 1-də göstərilmişdir. 4.

Şəkil 4 - Arzuolunmaz resurslara girişin məhdudlaşdırılması alqoritmi

Arzuolunmaz Veb səhifələri müəyyən etmək üçün alqoritm. Məzmunu - veb səhifə mətnlərini təsnif etmək üçün aşağıdakı problemləri həll etmək lazımdır: təsnifat kateqoriyalarının dəqiqləşdirilməsi; mənbə mətnlərindən avtomatik təhlil edilə bilən məlumatların çıxarılması; məxfi mətnlər toplularının yaradılması; əldə edilmiş məlumat dəstləri ilə işləyən klassifikatorun qurulması və öyrədilməsi.

Təsnif edilmiş mətnlərin təlim toplusu təhlil edilir, terminlər müəyyən edilir - ümumiyyətlə ən çox istifadə olunan söz formaları və hər bir təsnifat kateqoriyası üçün ayrıca. Hər bir mənbə mətn vektor kimi təqdim olunur, onun komponentləri mətndə verilmiş terminin baş verməsinin xüsusiyyətləridir. Vektor seyrəkliyinin qarşısını almaq və onların ölçüsünü azaltmaq üçün morfoloji təhlil metodlarından istifadə etməklə söz formalarını ilkin formaya salmaq məqsədəuyğundur. Bundan sonra vektor normallaşdırılmalıdır ki, bu da daha düzgün təsnifat nəticəsi əldə etməyə imkan verir. Bir veb səhifə üçün iki vektor yaradıla bilər: istifadəçiyə göstərilən məlumat üçün və axtarış motorlarına təqdim olunan mətn üçün.

Veb səhifə təsnifatının qurulması üçün müxtəlif yanaşmalar mövcuddur. Ən çox istifadə edilənlər bunlardır: Bayes klassifikatoru; neyron şəbəkələri; xətti təsnifatçılar; vektor maşınını (SVM) dəstəkləyir. Yuxarıda göstərilən üsulların hamısı təlim kolleksiyası üzrə təlim və sınaq kolleksiyasında sınaq tələb edir. Binar təsnifat üçün vektor fəzasındakı xüsusiyyətlərin bir-birindən asılı olmadığını nəzərdə tutan sadəlövh Bayes həllini seçə bilərsiniz. Güman edəcəyik ki, bütün resurslar arzuolunan və arzuolunmaz kimi təsnif edilməlidir. Sonra veb-səhifə mətn nümunələrinin bütün kolleksiyası iki sinfə bölünür: C=(C1, C2) və hər bir sinfin ilkin ehtimalı P(Ci), i=1,2-dir. Kifayət qədər böyük nümunələr toplusu ilə, P(Ci)-nin Ci sinfinə aid nümunələrin sayının nümunələrin ümumi sayına nisbətinə bərabər olduğunu düşünə bilərik. Bəzi D nümunəsinin təsnif edilməsi üçün Bayes teoreminə görə şərti ehtimal olan P(D/Ci) üçün P(Ci /D) dəyəri əldə edilə bilər:

P(D) sabitliyini nəzərə alaraq əldə edirik:

Vektor fəzasındakı terminlərin bir-birindən asılı olmadığını fərz etsək, aşağıdakı əlaqəni əldə edə bilərik:

Xüsusiyyətləri oxşar olan mətnləri daha dəqiq təsnif etmək üçün (məsələn, pornoqrafiya ilə erotik səhnələri təsvir edən bədii ədəbiyyatı ayırd etmək üçün) çəki əmsalları tətbiq edilməlidir:

Əgər kn=k; kn k-dan kiçik olarsa, kn.=1/|k|. Burada M nümunə verilənlər bazasındakı bütün terminlərin tezliyi, L bütün nümunələrin sayıdır.

9. Alqoritmlərin təkmilləşdirilməsi istiqamətləri

Gələcəkdə veb-səhifənin koduna zərərli kodun daxil edilməsini aşkar etmək və Bayes klassifikatorunu dəstək vektor maşını ilə müqayisə etmək üçün keçidlərin təhlili alqoritminin hazırlanması planlaşdırılır.

10. Nəticələr

Təhsil sistemlərində veb-resurslara çıxışın məhdudlaşdırılması probleminin təhlili aparılmışdır. Proksi serverlərdə qeyri-məqsədli resursların süzgəcdən keçirilməsinin əsas prinsipləri mövcud giriş məhdudiyyəti siyahılarının formalaşması və istifadəsi əsasında seçilmişdir. Siyahılardan istifadə etməklə arzuolunmaz resurslara girişin məhdudlaşdırılması üçün alqoritm işlənib hazırlanmışdır ki, bu da ziyarətlərin tezliyi və istifadəçi kütləsi nəzərə alınmaqla onların məzmununun təhlili əsasında IR-yə giriş siyahılarını dinamik şəkildə yaratmağa və yeniləməyə imkan verir. Arzuolunmaz məzmunu müəyyən etmək üçün sadəlövh Bayes təsnifatına əsaslanan alqoritm hazırlanmışdır.

Mənbələrin siyahısı

1. Qış V. M. Qlobal Təhlükəsizlik şəbəkə texnologiyaları/ V. Zima, A. Moldovyan, N. Moldovyan. - 2-ci nəşr. - Sankt-Peterburq: BHV-Peterburq, 2003. - 362 s.
2. Vorotnitsky Yu.I. Elmi və təhsildə arzuolunmaz xarici informasiya resurslarına girişdən qorunma kompüter şəbəkələri/ Yu. İ. Vorotnitski, Xie Jinbao // Mat. XIV Int. konf. "İnformasiyanın hərtərəfli qorunması." – Могильев, 2009. – s.70-71.

Saytları zəifliklərə görə yoxlaya biləcəyiniz ən yaxşı veb xidmətləri. HP təxmin edir ki, bütün boşluqların 80%-i səhv veb server parametrləri, köhnəlmiş proqram təminatının istifadəsi və ya asanlıqla qarşısı alına bilən digər problemlərdən qaynaqlanır.

İcmaldakı xidmətlər belə halları müəyyən etməyə kömək edir. Tipik olaraq, skanerlər məlum zəifliklərin verilənlər bazasını yoxlayır. Onlardan bəziləri olduqca sadədir və yalnız yoxlayın açıq portlar, digərləri isə daha diqqətli işləyir və hətta SQL inyeksiyasını həyata keçirməyə çalışırlar.

WebSAINT

SAINT tanınmış zəiflik skaneridir, onun əsasında WebSAINT və WebSAINT Pro veb xidmətləri hazırlanır. Təsdiqlənmiş Skanlama Satıcısı olaraq, xidmət PCI DSS sertifikatı şərtlərinə əsasən tələb olunan təşkilatların vebsaytlarının ASV skanını həyata keçirir. O, qrafikə uyğun işləyə və dövri yoxlamalar apara bilər və skan nəticələrinə əsasən müxtəlif hesabatlar yarada bilər. WebSAINT istifadəçinin şəbəkəsində müəyyən edilmiş ünvanlarda TCP və UDP portlarını skan edir. “Peşəkar” versiya pentestlər və veb proqramların skan edilməsi və xüsusi hesabatlar əlavə edir.

ImmuniWeb

High-Tech Bridge-dən olan ImmuniWeb xidməti skan etmək üçün bir qədər fərqli yanaşmadan istifadə edir: avtomatik skanla yanaşı, əl ilə pentestlər də təklif edir. Prosedur müştəri tərəfindən müəyyən edilmiş vaxtda başlayır və 12 saata qədər davam edir. Hesabat müştəriyə göndərilməzdən əvvəl şirkət işçiləri tərəfindən nəzərdən keçirilir. O, hər bir müəyyən edilmiş zəifliyi aradan qaldırmağın ən azı üç yolunu, o cümlədən veb tətbiqinin mənbə kodunun dəyişdirilməsi, təhlükəsizlik duvarı qaydalarının dəyişdirilməsi və yamağın quraşdırılması variantlarını müəyyən edir.

İnsan əməyinə görə daha çox ödəməlisən avtomatik yoxlama. ImmuniWeb pentestləri ilə tam skan 639 dollara başa gəlir.

BeyondSaaS

BeyondTrust's BeyondSaaS daha baha başa gələcək. Müştərilərə 3500 dollara abunə təklif olunur, bundan sonra onlar il ərzində qeyri-məhdud sayda audit keçirə bilərlər. Birdəfəlik skan 700 dollara başa gəlir. Veb saytlar SQL inyeksiyaları, XSS, CSRF və əməliyyat sistemində zəifliklər üçün yoxlanılır. Tərtibatçılar yanlış pozitivlərin olma ehtimalının 1%-dən çox olmadığını bildirirlər və hesabatlarda problemlərin düzəltmə variantlarını da göstərirlər.

BeyondTrust 256 IP ünvanı ilə məhdudlaşan pulsuz Retina Şəbəkə İcması da daxil olmaqla digər zəiflikləri skan etmək üçün alətlər təklif edir.

Dell Secure Works

Dell Secure Works nəzərdən keçirilən veb skanerlər arasında bəlkə də ən qabaqcıldır. QualysGuard Zəifliyin İdarə Edilməsi texnologiyasında işləyir və veb serverləri yoxlayır, şəbəkə cihazları, proqram serverləri və DBMS həm korporativ şəbəkə daxilində, həm də bulud hostinqində. Veb xidməti PCI, HIPAA, GLBA və NERC CIP tələblərinə uyğundur.