Σάρωση για ασφάλεια πόρων Ιστού. Πώς να προστατέψετε μια εφαρμογή Ιστού: βασικές συμβουλές, εργαλεία, χρήσιμοι σύνδεσμοι. Υποτιθέμενη επιστημονική καινοτομία

έδειξε ότι περισσότερο από το 70% των σαρωμένων ιστοτόπων είχαν μολυνθεί με ένα ή περισσότερα τρωτά σημεία.

Ως κάτοχος διαδικτυακής εφαρμογής, πώς διασφαλίζετε ότι ο ιστότοπός σας προστατεύεται από διαδικτυακές απειλές; Ή από διαρροή εμπιστευτικών πληροφοριών;

Εάν χρησιμοποιείτε μια λύση ασφαλείας που βασίζεται σε σύννεφο, η τακτική σάρωση ευπάθειας είναι πιθανόν μέρος του σχεδίου ασφαλείας σας.

Ωστόσο, εάν όχι, πρέπει να εκτελέσετε μια σάρωση ρουτίνας και να προβείτε σε ενέργειες απαραίτητες ενέργειεςγια τον μετριασμό των κινδύνων.

Υπάρχουν δύο τύποι σαρωτών.

1.Commercial - σας δίνει τη δυνατότητα να αυτοματοποιήσετε τη σάρωση για συνεχή ασφάλεια, αναφορές, ειδοποιήσεις, αναλυτικές οδηγίεςσχετικά με τον μετριασμό του κινδύνου κ.λπ. Μερικά από τα διάσημα ονόματα σε αυτόν τον κλάδο είναι:

Acunetix
Εντοπίστε
Qualys

Ανοιχτός κώδικας/Δωρεάν - Μπορείτε να κατεβάσετε και να εκτελέσετε ελέγχους ασφαλείας κατ' απαίτηση.

Δεν θα μπορούν όλοι να καλύψουν ένα ευρύ φάσμα ευπαθειών όπως το εμπορικό.

Ας ρίξουμε μια ματιά στους ακόλουθους σαρωτές ευπάθειας ανοιχτού κώδικα.

1. Αράχνι

Το Arachni είναι ένας σαρωτής ασφαλείας υψηλής απόδοσης χτισμένος πάνω στο Ruby για σύγχρονες διαδικτυακές εφαρμογές.

Είναι διαθέσιμο σε δυαδική μορφή για Mac, Windows και Linux.

Όχι μόνο είναι μια λύση για έναν βασικό στατικό ή CMS ιστότοπο, αλλά το Arachni είναι επίσης ικανό να ενσωματωθεί με τις ακόλουθες πλατφόρμες.

Εκτελεί ενεργητικούς και παθητικούς ελέγχους.

Windows, Solaris, Linux, BSD, Unix
Nginx, Apache, Tomcat, IIS, Jetty
Java, Ruby, Python, ASP, PHP
Django, Rails, CherryPy, CakePHP, ASP.NET MVC, Symfony

Μερικά από τα τρωτά σημεία που ανακαλύφθηκαν:

NoSQL / Blind / SQL / Code / LDAP / Command / XPath injection
Αίτημα πλαστογραφίας δέσμης ενεργειών μεταξύ τοποθεσιών
Διαδρομή παράκαμψης
Συμπεριλαμβανομένου τοπικού/απομακρυσμένου αρχείου
Διαχωρίζοντας την απάντηση
Διαδικτυακή δέσμη ενεργειών
Μη καθορισμένες ανακατευθύνσεις DOM
Αποκάλυψη πηγαίος κώδικας

2. XssPy

Ο σαρωτής ευπάθειας XSS (Cross Site Scripting) που βασίζεται σε python χρησιμοποιείται από πολλούς οργανισμούς όπως οι Microsoft, Stanford, Motorola, Informatica κ.λπ.

Το XssPy από τον Faizan Ahmad είναι ένα έξυπνο εργαλείο. Αντί απλώς να ελέγχει την αρχική σελίδα ή τη σελίδα, ελέγχει ολόκληρο τον σύνδεσμο στους ιστότοπους.

Το XssPy ελέγχει επίσης τον υποτομέα.

3. w3af

Το w3af, ένα έργο ανοιχτού κώδικα που ξεκίνησε στα τέλη του 2006, βασίζεται στην Python και είναι διαθέσιμο για Linux και Windows OS. Το w3af είναι σε θέση να ανιχνεύσει περισσότερα από 200 τρωτά σημεία, συμπεριλαμβανομένου του κορυφαίου 10 του OWASP.

Υποστηρίζει διάφορες μεθόδους καταγραφής για την αναφορά.Παράδειγμα:

CSV
HTML
Κονσόλα
Κείμενο
XML
ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ διεύθυνση

Είναι χτισμένο σε μια αρχιτεκτονική plugin και μπορείτε να ελέγξετε όλα τα διαθέσιμα πρόσθετα.

4. Νίκτο

Ένα έργο ανοιχτού κώδικα που χρηματοδοτείται από τη Netsparker, στοχεύει στην εύρεση εσφαλμένων διαμορφώσεων διακομιστή ιστού, προσθηκών και τρωτών σημείων στο Διαδίκτυο.

5. Wfuzz

Το Wfuzz (Web Fuzzer) είναι ένα εργαλείο αξιολόγησης εφαρμογών για δοκιμές διείσδυσης.

Μπορείτε να αποτυπώσετε τα δεδομένα στο αίτημα HTTP για οποιοδήποτε πεδίο για να χρησιμοποιήσετε την εφαρμογή Ιστού και να το επικυρώσετε.

Το Wfuzz απαιτεί Python στον υπολογιστή στον οποίο θέλετε να εκτελέσετε τη σάρωση.

6. OWASP ZAP

Το ZAP (Zet Attack Proxy) είναι ένα από τα διάσημα εργαλεία δοκιμών διείσδυσης που ενημερώνεται ενεργά από εκατοντάδες εθελοντές σε όλο τον κόσμο.

Είναι ένα εργαλείο Java cross-platform που μπορεί να τρέξει ακόμη και στο Raspberry Pi.

Το ZIP βρίσκεται ανάμεσα στο πρόγραμμα περιήγησης και την εφαρμογή Ιστού για να παρακολουθεί και να επαληθεύει μηνύματα.

Αξίζει να αναφερθούν μερικά από τα ακόλουθα χαρακτηριστικά του ZAP.

Fuzzer
Αυτόματος και παθητικός σαρωτής
Υποστηρίζει πολλές γλώσσες δέσμης ενεργειών
Αναγκαστική προβολή

7. Wapiti

Το Wapiti ανιχνεύει τις ιστοσελίδες ενός δεδομένου στόχου και αναζητά σενάρια και φόρμες εισαγωγής δεδομένων για να δει αν είναι ευάλωτος.

Δεν πρόκειται για έλεγχο ασφαλείας πηγαίου κώδικα, αλλά για έλεγχο μαύρου κουτιού.

Υποστηρίζει μεθόδους GET και POST HTTP, διακομιστές μεσολάβησης HTTP και HTTPS, πολλαπλούς ελέγχους ταυτότητας κ.λπ.

8. Βέγκα

Το Vega αναπτύχθηκε από την Subgraph, ένα λογισμικό πολλαπλών πλατφορμών γραμμένο σε Java για την εύρεση XSS, SQLi, RFI και πολλά άλλα τρωτά σημεία.

Ο Βέγκα βολεύτηκε GUIκαι είναι σε θέση να εκτελεί αυτόματη σάρωση με σύνδεση στην εφαρμογή με τα δεδομένα διαπιστευτηρίων.

Εάν είστε προγραμματιστής, μπορείτε να χρησιμοποιήσετε το vega API για να δημιουργήσετε νέες ενότητες επίθεσης.

9. SQLmap

Όπως μπορείτε να μαντέψετε από το όνομα, με αυτό μπορείτε να εκτελέσετε δοκιμές διείσδυσης σε μια βάση δεδομένων για να βρείτε ελαττώματα.

Λειτουργεί με Python 2.6 ή 2.7 σε οποιοδήποτε λειτουργικό σύστημα. Αν θέλετε, τότε το sqlmap θα είναι πιο χρήσιμο από ποτέ.

10. Αρπαχτής

Αυτό το μικρό εργαλείο που βασίζεται σε Python κάνει μερικά πράγματα αρκετά καλά.

Μερικά από τα χαρακτηριστικά του Grabber:

Αναλυτής πηγαίου κώδικα JavaScript
Διασταυρούμενη δέσμη ενεργειών, SQL injection, blind SQL injection
Δοκιμή εφαρμογών PHP με χρήση PHP-SAT

11. Γκολισμόρο

Ένα πλαίσιο για τη διαχείριση και την εκτέλεση ορισμένων δημοφιλών εργαλείων ασφαλείας όπως το Wfuzz, το DNS recon, το sqlmap, το OpenVas, ο αναλυτής ρομπότ κ.λπ.).

Το Golismero μπορεί να ενοποιήσει κριτικές από άλλα εργαλεία και να δείξει ένα αποτέλεσμα.

12. OWASP Xenotix XSS

Το Xenotix XSS OWASP είναι ένα προηγμένο πλαίσιο για αναζήτηση και εκμετάλλευση δέσμης ενεργειών μεταξύ τοποθεσιών.

Διαθέτει ενσωματωμένους τρεις έξυπνους φούρνους για γρήγορη σάρωση και βελτιωμένα αποτελέσματα.

13. Μετασκάνη

Σαρωτής για αναζήτηση ευπαθειών εφαρμογών web από εγχώριους προγραμματιστές

Κατηγορία: .

Συγγραφέας: Maksadkhan Yakubov, Bogdan Shklyarevsky.

Αυτό το άρθρο εξετάζει τα προβλήματα διαχείρισης πόρων ιστού, καθώς και μεθόδους, μεθόδους και συστάσεις για ασφαλή διαχείριση και προστασία από πειρατεία και επιθέσεις στον κυβερνοχώρο.

Το πρώτο βήμα για το σχεδιασμό, τη δημιουργία ή τη λειτουργία ενός ασφαλούς ιστότοπου είναι να διασφαλιστεί ότι ο διακομιστής που τον φιλοξενεί είναι όσο το δυνατόν ασφαλέστερος.

Το κύριο συστατικό οποιουδήποτε διακομιστή ιστού είναι το λειτουργικό σύστημα. Η διασφάλιση της ασφάλειάς του είναι σχετικά απλή: απλώς εγκαταστήστε το εγκαίρως Τελευταίες ενημερώσειςσυστήματα ασφαλείας.

Αξίζει να θυμόμαστε ότι οι χάκερ τείνουν επίσης να αυτοματοποιούν τις επιθέσεις τους χρησιμοποιώντας κακόβουλο λογισμικό που περνάει από τον έναν διακομιστή μετά τον άλλο, αναζητώντας έναν διακομιστή όπου η ενημέρωση δεν είναι ενημερωμένη ή δεν έχει εγκατασταθεί. Επομένως, συνιστάται να διασφαλίσετε ότι οι ενημερώσεις εγκαθίστανται έγκαιρα και σωστά. Οποιοσδήποτε διακομιστής που έχει εγκατεστημένες παλιές εκδόσεις ενημερώσεων ενδέχεται να υποστεί επίθεση.

Θα πρέπει επίσης να ενημερώσετε έγκαιρα όλο το λογισμικό που εκτελείται στον διακομιστή web. Οποιοδήποτε λογισμικό που δεν σχετίζεται με απαραίτητα εξαρτήματα(για παράδειγμα, ένας διακομιστής DNS ή εργαλεία απομακρυσμένης διαχείρισης, όπως το VNC ή οι υπηρεσίες απομακρυσμένης επιφάνειας εργασίας) θα πρέπει να απενεργοποιηθούν ή να καταργηθούν. Εάν απαιτούνται εργαλεία απομακρυσμένης διαχείρισης, προσέξτε να μην χρησιμοποιείτε προεπιλεγμένους κωδικούς πρόσβασης ή κωδικούς πρόσβασης που μπορούν εύκολα να μαντέψουν. Αυτή η σημείωση δεν ισχύει μόνο για εργαλεία απομακρυσμένης διαχείρισης, αλλά και για λογαριασμούς χρηστών, δρομολογητές και διακόπτες.

Επόμενο σημαντικό σημείοείναι λογισμικό προστασίας από ιούς. Η χρήση του είναι υποχρεωτική απαίτηση για οποιονδήποτε πόρο Ιστού, ανεξάρτητα από το αν χρησιμοποιείται ως πλατφόρμα Windows ή Unix. Όταν συνδυάζεται με ένα ευέλικτο τείχος προστασίας, το λογισμικό προστασίας από ιούς γίνεται ένα από τα πλέον αποτελεσματικούς τρόπουςπροστασία από επιθέσεις στον κυβερνοχώρο. Όταν ένας διακομιστής ιστού γίνεται στόχος μιας επίθεσης, ο εισβολέας προσπαθεί αμέσως να κατεβάσει εργαλεία εισβολής ή κακόβουλο λογισμικό προκειμένου να εκμεταλλευτεί τα τρωτά σημεία ασφαλείας. Ελλείψει λογισμικού προστασίας από ιούς υψηλής ποιότητας, μια ευπάθεια ασφαλείας μπορεί να παραμείνει απαρατήρητη για μεγάλο χρονικό διάστημα και να οδηγήσει σε ανεπιθύμητες συνέπειες.

Το περισσότερο η καλύτερη επιλογήΚατά την προστασία των πόρων πληροφοριών, υπάρχει μια προσέγγιση πολλαπλών επιπέδων. Στην μπροστινή πλευρά είναι το τείχος προστασίας και το λειτουργικό σύστημα. το antivirus πίσω από αυτά είναι έτοιμο να καλύψει τυχόν κενά που προκύπτουν.

Με βάση τις παραμέτρους λειτουργικό σύστημακαι τη λειτουργικότητα του διακομιστή ιστού, μπορούν να αναφερθούν οι ακόλουθες γενικές τεχνικές για την προστασία από επιθέσεις στον κυβερνοχώρο:

• Μην εγκαθιστάτε περιττά εξαρτήματα. Κάθε στοιχείο φέρει μαζί του μια ξεχωριστή απειλή. όσο περισσότερα υπάρχουν, τόσο μεγαλύτερος είναι ο συνολικός κίνδυνος.
• Διατηρήστε το λειτουργικό σύστημα και τις εφαρμογές σας ενημερωμένα με ενημερώσεις ασφαλείας.
• Χρησιμοποιήστε antivirus, ενεργοποιήστε το αυτόματη εγκατάστασηενημερώσεις και ελέγχετε τακτικά ότι έχουν εγκατασταθεί σωστά.

Μερικές από αυτές τις εργασίες μπορεί να φαίνονται δύσκολες, αλλά να θυμάστε ότι χρειάζεται μόνο μία τρύπα ασφαλείας για να επιτεθεί. Οι πιθανοί κίνδυνοι σε αυτήν την περίπτωση περιλαμβάνουν κλοπή δεδομένων και επισκεψιμότητας, προσθήκη στη μαύρη λίστα της διεύθυνσης IP του διακομιστή, βλάβη στη φήμη του οργανισμού και αστάθεια του ιστότοπου.

Σύμφωνα με τον βαθμό κρισιμότητας των τρωτών σημείων, κατά κανόνα, υπάρχουν 5 επίπεδα που καθορίζουν την κατάσταση της ευπάθειας. αυτή τη στιγμήυπάρχει ένας πόρος Ιστού (Πίνακας 1). Συνήθως, οι επιτιθέμενοι, με βάση τους στόχους και τα προσόντα τους, προσπαθούν να αποκτήσουν βάση στον πόρο που έχει παραβιαστεί και να συγκαλύψουν την παρουσία τους.

Μια παραβίαση ιστότοπου δεν μπορεί πάντα να αναγνωριστεί από εξωτερικές πινακίδες (ανακατεύθυνση για κινητά, σύνδεσμοι ανεπιθύμητης αλληλογραφίας σε σελίδες, banner άλλων ατόμων, παραμόρφωση κ.λπ.). Εάν η τοποθεσία έχει παραβιαστεί, αυτά τα εξωτερικά σημάδια ενδέχεται να μην υπάρχουν. Ο πόρος μπορεί να λειτουργεί κανονικά, χωρίς διακοπές, σφάλματα ή να συμπεριλαμβάνεται σε μαύρες λίστες προστασίας από ιούς. Αυτό όμως δεν σημαίνει ότι ο ιστότοπος είναι ασφαλής. Το πρόβλημα είναι ότι είναι δύσκολο να παρατηρήσετε το γεγονός της παραβίασης και λήψης σεναρίων χάκερ χωρίς τη διενέργεια ελέγχου ασφαλείας και τα ίδια τα κελύφη ιστού, τα backdoors και άλλα εργαλεία χάκερ μπορούν να παραμείνουν στη φιλοξενία για αρκετό καιρό και να μην χρησιμοποιηθούν για επιδιωκόμενο σκοπό. Αλλά μια μέρα έρχεται μια στιγμή που αρχίζουν να γίνονται αντικείμενο σοβαρής εκμετάλλευσης από έναν εισβολέα, με αποτέλεσμα να δημιουργούνται προβλήματα για τον ιδιοκτήτη του ιστότοπου. Για ανεπιθύμητη αλληλογραφία ή ανάρτηση σελίδων phishing, ο ιστότοπος είναι αποκλεισμένος στη φιλοξενία (ή μέρος της λειτουργικότητας είναι απενεργοποιημένο) και η εμφάνιση ανακατευθύνσεων ή ιών στις σελίδες είναι γεμάτη με απαγόρευση από ιούς και κυρώσεις από μηχανές αναζήτησης. Σε μια τέτοια περίπτωση, είναι απαραίτητο να "επεξεργαστείτε" επειγόντως τον ιστότοπο και, στη συνέχεια, να εγκαταστήσετε προστασία από το hacking, ώστε η πλοκή να μην επαναληφθεί. Συχνά, τα τυπικά προγράμματα προστασίας από ιούς δεν αναγνωρίζουν ορισμένους τύπους Trojans και κελύφη Ιστού· ο λόγος για αυτό μπορεί να είναι οι άκαιρες ενημερώσεις ή το απαρχαιωμένο λογισμικό. Όταν ελέγχετε έναν πόρο Ιστού για ιούς και σενάρια, θα πρέπει να χρησιμοποιείτε προγράμματα προστασίας από ιούςδιαφορετικών ειδικοτήτων, σε αυτήν την περίπτωση ένας Trojan που δεν βρέθηκε από ένα πρόγραμμα προστασίας από ιούς μπορεί να εντοπιστεί από ένα άλλο. Το σχήμα 1 δείχνει ένα παράδειγμα αναφοράς σάρωσης λογισμικού προστασίας από ιούς και είναι σημαντικό να σημειωθεί το γεγονός ότι άλλα προγράμματα προστασίας από ιούς δεν μπόρεσαν να εντοπίσουν το κακόβουλο λογισμικό.

Trojans όπως "PHP/Phishing.Agent.B", "Linux/Roopre.E.Gen", "PHP/Kryptik.AE" χρησιμοποιούνται από εισβολείς για τηλεχειριστήριουπολογιστή. Τέτοια προγράμματα συχνά εισέρχονται σε έναν ιστότοπο μέσω ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ, δωρεάν λογισμικό, άλλους ιστότοπους ή αίθουσα συνομιλίας. Τις περισσότερες φορές, ένα τέτοιο πρόγραμμα λειτουργεί ως χρήσιμο αρχείο. Ωστόσο, είναι ένας κακόβουλος Trojan που συλλέγει τα προσωπικά στοιχεία των χρηστών και τα μεταφέρει σε εισβολείς. Επιπλέον, μπορεί να συνδεθεί αυτόματα σε συγκεκριμένους ιστότοπους και να κατεβάσει άλλους τύπους κακόβουλου λογισμικού στο σύστημα. Για να αποφευχθεί ο εντοπισμός και η αφαίρεση, το "Linux/Roopre.E.Gen" ενδέχεται να απενεργοποιήσει τις λειτουργίες ασφαλείας. Αυτό το πρόγραμμα Trojan έχει αναπτυχθεί χρησιμοποιώντας τεχνολογία rootkit, η οποία του επιτρέπει να κρύβεται μέσα στο σύστημα.

• "PHP/WebShell.NCL" είναι ένα πρόγραμμα δούρειου ίππου που μπορεί να εκτελέσει διάφορες λειτουργίες, όπως διαγραφή αρχεία συστήματος, φόρτωση κακόβουλο λογισμικό, απόκρυψη υπαρχόντων στοιχείων ή λήψη προσωπικών πληροφοριών και άλλων δεδομένων. Αυτό το πρόγραμμα μπορεί να παρακάμψει τη γενική σάρωση προστασίας από ιούς και να εισέλθει στο σύστημα χωρίς να το γνωρίζει ο χρήστης. Αυτό το πρόγραμμαείναι σε θέση να εγκαταστήσει μια κερκόπορτα για απομακρυσμένους χρήστες για να αναλάβουν τον έλεγχο ενός μολυσμένου ιστότοπου. Χρησιμοποιώντας αυτό το πρόγραμμα, ένας εισβολέας μπορεί να κατασκοπεύσει έναν χρήστη, να διαχειριστεί αρχεία, να εγκαταστήσει πρόσθετο λογισμικό και να ελέγξει ολόκληρο το σύστημα.
• "JS/TrojanDownloader.FakejQuery. ΕΝΑ" - ένα πρόγραμμα Trojan, οι κύριοι στόχοι του οποίου είναι τοποθεσίες που αναπτύχθηκαν χρησιμοποιώντας το CMS «WordPress» και «Joomla». Όταν ένας εισβολέας χακάρει έναν ιστότοπο, εκτελεί ένα σενάριο που προσομοιώνει την εγκατάσταση των πρόσθετων WordPress ή Joomla και στη συνέχεια εισάγει κακόβουλο κώδικα JavaScript στο αρχείο header.php.
• "PHP/small.NBK" - είναι μια κακόβουλη εφαρμογή που επιτρέπει στους χάκερ να αποκτήσουν απομακρυσμένη πρόσβαση σύστημα υπολογιστή, επιτρέποντάς τους να τροποποιούν αρχεία, να κλέβουν προσωπικές πληροφορίες και να εγκαθιστούν περισσότερο κακόβουλο λογισμικό. Αυτοί οι τύποι απειλών, που ονομάζονται Δούρειοι Ίπποι, συνήθως λαμβάνονται από έναν εισβολέα ή κατεβαίνουν από άλλο πρόγραμμα. Μπορεί επίσης να εμφανιστούν λόγω εγκατάστασης μολυσμένων εφαρμογών ή διαδικτυακών παιχνιδιών, καθώς και κατά την επίσκεψη μολυσμένων τοποθεσιών.

Δυστυχώς, τα σενάρια χάκερ δεν εντοπίζονται από εξωτερικές πινακίδες ή από εξωτερικούς σαρωτές. Επομένως, ούτε τα προγράμματα προστασίας από ιούς μηχανών αναζήτησης ούτε το λογισμικό προστασίας από ιούς που είναι εγκατεστημένο στον υπολογιστή του webmaster δεν θα αναφέρουν προβλήματα ασφάλειας του ιστότοπου. Εάν τα σενάρια βρίσκονται κάπου στους καταλόγους συστήματος του ιστότοπου (όχι στη ρίζα ή τις εικόνες) ή έχουν εισαχθεί σε υπάρχοντα σενάρια, επίσης δεν θα γίνουν αντιληπτά κατά λάθος.

Εικόνα 1. Παράδειγμα αναφοράς σάρωσης λογισμικού προστασίας από ιούς

Επομένως, οι ακόλουθες συστάσεις μπορεί να είναι απαραίτητα μέτρα για την προστασία των πόρων ιστού:

1. Τακτικός αντιγράφων ασφαλείαςόλο το περιεχόμενο σύστημα αρχείων, βάσεις δεδομένων και αρχεία καταγραφής συμβάντων (αρχεία καταγραφής).
2. Τακτική ενημέρωση του συστήματος διαχείρισης περιεχομένου στην πιο πρόσφατη σταθερή έκδοση του CMS (σύστημα διαχείρισης περιεχομένου).
3. Χρήση σύνθετων κωδικών πρόσβασης. Απαιτήσεις κωδικού πρόσβασης: Ο κωδικός πρόσβασης πρέπει να περιέχει τουλάχιστον οκτώ χαρακτήρες και κεφαλαίοι και πεζοί χαρακτήρες, καθώς και ειδικοί χαρακτήρες, πρέπει να χρησιμοποιούνται κατά τη δημιουργία του κωδικού πρόσβασης.
4. Είναι υποχρεωτική η χρήση πρόσθετων ή προσθηκών ασφαλείας για την αποτροπή επιθέσεων όπως η επίθεση XSS ή η ένεση SQL.
5. Η χρήση και η εγκατάσταση πρόσθετων (πρόσθετα, πρότυπα ή επεκτάσεις) πρέπει να γίνεται μόνο από αξιόπιστες πηγές ή επίσημους ιστότοπους προγραμματιστών.
6. Σάρωση του συστήματος αρχείων τουλάχιστον μία φορά την εβδομάδα με προγράμματα προστασίας από ιούς και χρησιμοποιώντας ενημερωμένες υπογραφές βάσης δεδομένων.
7. Παρέχετε τη χρήση του μηχανισμού CAPTCHA για την προστασία του ιστότοπου από παραβίαση μέσω κωδικών πρόσβασης ωμής βίας κατά την εξουσιοδότηση και την εισαγωγή δεδομένων σε οποιαδήποτε φόρμα αιτήματος (φόρμα ανατροφοδότηση, αναζήτηση κ.λπ.).
8. Περιορίστε τη δυνατότητα εισόδου διοικητικό πάνελέλεγχος ιστότοπου μετά από έναν ορισμένο αριθμό ανεπιτυχών προσπαθειών.
9. Διαμορφώστε σωστά την πολιτική ασφαλείας του ιστότοπου μέσω του αρχείου διαμόρφωσης του διακομιστή web, λαμβάνοντας υπόψη παραμέτρους όπως:

• να περιορίσει τον αριθμό των διευθύνσεων IP που χρησιμοποιεί ο διαχειριστής για πρόσβαση στον πίνακα ελέγχου διαχείρισης του ιστότοπου, προκειμένου να αποτρέψει την πρόσβαση σε αυτόν από μη εξουσιοδοτημένες διευθύνσεις IP.
• αποτρέψτε τη μετάδοση οποιωνδήποτε ετικετών με οποιοδήποτε άλλο μέσο εκτός από τη μορφοποίηση κειμένου (π.χ. p b i u) για την αποτροπή επιθέσεων XSS.

1. Μετακίνηση αρχείων που περιέχουν πληροφορίες σχετικά με την πρόσβαση στη βάση δεδομένων, την πρόσβαση FTP κ.λπ. από προεπιλεγμένους καταλόγους σε άλλους και στη συνέχεια μετονομασία αυτών των αρχείων.

Ακόμη και για έναν λιγότερο έμπειρο χάκερ, είναι πολύ εύκολο να χακάρετε έναν ιστότοπο Joomla εάν δεν παρέχετε προστασία. Όμως, δυστυχώς, οι webmasters συχνά αναβάλλουν την προστασία του ιστότοπού τους από το hacking για αργότερα, θεωρώντας ότι είναι ένα μη ουσιώδες ζήτημα. Η αποκατάσταση της πρόσβασης στον ιστότοπό σας θα απαιτήσει πολύ περισσότερο χρόνο και προσπάθεια από τη λήψη μέτρων για την προστασία του. Η ασφάλεια ενός πόρου Ιστού είναι καθήκον όχι μόνο του προγραμματιστή και του οικοδεσπότη, ο οποίος είναι υποχρεωμένος να διασφαλίζει τη μέγιστη ασφάλεια των διακομιστών, αλλά και του διαχειριστή του ιστότοπου.

Εισαγωγή

ΣΕ σύγχρονη επιχείρησηΟι τεχνολογίες Ιστού έχουν αποκτήσει τεράστια δημοτικότητα. Οι περισσότεροι ιστότοποι μεγάλες εταιρείεςείναι ένα σύνολο εφαρμογών που διαθέτουν διαδραστικότητα, εργαλεία εξατομίκευσης και μέσα αλληλεπίδρασης με πελάτες (ηλεκτρονικά καταστήματα, απομακρυσμένα τραπεζικές υπηρεσίες), και συχνά - μέσα ενσωμάτωσης με τις εσωτερικές εταιρικές εφαρμογές της εταιρείας.

Ωστόσο, μόλις ένας ιστότοπος γίνει διαθέσιμος στο Διαδίκτυο, γίνεται στόχος επιθέσεων στον κυβερνοχώρο. Πλέον με απλό τρόποΟι επιθέσεις σε έναν ιστότοπο σήμερα είναι για να εκμεταλλευτούν τα τρωτά σημεία των στοιχείων του. Και το κύριο πρόβλημα είναι ότι τα τρωτά σημεία έχουν γίνει αρκετά κοινά στους σύγχρονους ιστότοπους.

Τα τρωτά σημεία είναι μια επικείμενη και αυξανόμενη απειλή. Είναι, ως επί το πλείστον, αποτέλεσμα ελαττωμάτων ασφαλείας στον κώδικα της εφαρμογής Ιστού και εσφαλμένης διαμόρφωσης των στοιχείων του ιστότοπου.

Ας δώσουμε μερικά στατιστικά στοιχεία. Σύμφωνα με στοιχεία από την έκθεση για τις απειλές στον κυβερνοχώρο για το πρώτο εξάμηνο του 2016, η High-Tech Bridge δημοσιεύει τάσεις ασφάλειας ιστού του πρώτου εξαμήνου του 2016, που ετοίμασε η High-Tech Bridge:

• πάνω από το 60% των υπηρεσιών web ή των API για εφαρμογές για κινητάπεριέχει τουλάχιστον ένα επικίνδυνο θέμα ευπάθειας που επιτρέπει την παραβίαση της βάσης δεδομένων.
• Το 35% των τοποθεσιών που είναι ευάλωτα σε επιθέσεις XSS είναι επίσης ευάλωτα σε ενέσεις SQL και επιθέσεις XXE.
• Το 23% των τοποθεσιών περιέχουν την ευπάθεια POODLE και μόνο το 0,43% - Heartbleed.
• Οι περιπτώσεις εκμετάλλευσης επικίνδυνων τρωτών σημείων (για παράδειγμα, επιτρέποντας την έγχυση SQL) κατά τη διάρκεια επιθέσεων RansomWeb έχουν αυξηθεί 5 φορές.
• Το 79,9% των διακομιστών ιστού έχουν εσφαλμένες ή μη ασφαλείς κεφαλίδες http.
• Οι σημερινές απαιτούμενες ενημερώσεις και επιδιορθώσεις εγκαθίστανται μόνο στο 27,8% των διακομιστών ιστού.

Για την προστασία των πόρων ιστού, ειδικοί ασφάλεια πληροφοριώνχρησιμοποιήστε ένα διαφορετικό σύνολο εργαλείων. Για παράδειγμα, τα πιστοποιητικά SSL χρησιμοποιούνται για την κρυπτογράφηση της κυκλοφορίας και ένα Τείχος προστασίας εφαρμογών Web (WAF) είναι εγκατεστημένο στην περίμετρο των διακομιστών Ιστού, οι οποίοι απαιτούν σοβαρές ρυθμίσεις παραμέτρων και μακρά αυτοεκμάθηση. Ένα εξίσου αποτελεσματικό μέσο για τη διασφάλιση της ασφάλειας του ιστότοπου είναι ο περιοδικός έλεγχος της κατάστασης ασφαλείας (αναζήτηση τρωτών σημείων) και τα εργαλεία για τη διενέργεια τέτοιων ελέγχων είναι οι σαρωτές ασφαλείας ιστότοπου, οι οποίοι επίσης αναφέρονται θα μιλήσουμεσε αυτήν την κριτική.

Ο ιστότοπός μας είχε ήδη μια κριτική αφιερωμένη στους σαρωτές ασφαλείας διαδικτυακών εφαρμογών - "", η οποία εξέταζε προϊόντα από τους ηγέτες της αγοράς. Σε αυτήν την ανασκόπηση, δεν θα θίξουμε πλέον αυτά τα θέματα, αλλά θα επικεντρωθούμε σε μια ανασκόπηση των δωρεάν σαρωτών ασφαλείας ιστότοπου.

Το θέμα του ελεύθερου λογισμικού είναι ιδιαίτερα επίκαιρο σήμερα. Λόγω της ασταθούς οικονομικής κατάστασης στη Ρωσία, πολλοί οργανισμοί (τόσο ο εμπορικός όσο και ο δημόσιος τομέας) βελτιστοποιούν επί του παρόντος τους προϋπολογισμούς πληροφορικής τους και συχνά δεν υπάρχουν αρκετά χρήματα για την αγορά ακριβών εμπορικών προϊόντων για την ανάλυση της ασφάλειας του συστήματος. Ταυτόχρονα, υπάρχουν πολλά δωρεάν (δωρεάν, ανοιχτού κώδικα) βοηθητικά προγράμματα για την αναζήτηση τρωτών σημείων που οι άνθρωποι απλά δεν γνωρίζουν. Επιπλέον, μερικά από αυτά δεν είναι κατώτερα σε λειτουργικότηταστους αμειβόμενους ανταγωνιστές τους. Επομένως, σε αυτό το άρθρο θα μιλήσουμε για τους πιο ενδιαφέροντες δωρεάν σαρωτές ασφαλείας ιστότοπου.

Τι είναι οι σαρωτές ασφαλείας ιστότοπου;

Οι σαρωτές ασφαλείας ιστότοπου είναι εργαλεία λογισμικού (υλισμικού και λογισμικού) που αναζητούν ελαττώματα σε εφαρμογές Ιστού (ευπάθειες) που οδηγούν σε παραβίαση της ακεραιότητας του συστήματος ή των δεδομένων χρήστη, στην κλοπή τους ή στην απόκτηση ελέγχου του συστήματος στο σύνολό του.

Χρησιμοποιώντας σαρωτές ασφαλείας ιστότοπου, μπορείτε να εντοπίσετε τρωτά σημεία στις ακόλουθες κατηγορίες:

• ευπάθειες σταδίου κωδικοποίησης.
• τρωτά σημεία στη φάση υλοποίησης και διαμόρφωσης μιας διαδικτυακής εφαρμογής.
• τρωτά σημεία του σταδίου λειτουργίας του ιστότοπου.

Τα τρωτά σημεία στο στάδιο της κωδικοποίησης περιλαμβάνουν ευπάθειες που σχετίζονται με λανθασμένη επεξεργασία δεδομένων εισόδου και εξόδου (SQL injections, XSS).

Τα τρωτά σημεία στο στάδιο υλοποίησης του ιστότοπου περιλαμβάνουν ευπάθειες που σχετίζονται με λανθασμένες ρυθμίσεις του περιβάλλοντος εφαρμογής web (διακομιστής ιστού, διακομιστής εφαρμογών, SSL/TLS, πλαίσιο, στοιχεία τρίτων, παρουσία λειτουργίας DEBUG, κ.λπ.).

Τα τρωτά σημεία στη φάση λειτουργίας ενός ιστότοπου περιλαμβάνουν ευπάθειες που σχετίζονται με τη χρήση απαρχαιωμένου λογισμικού, απλούς κωδικούς πρόσβασης, αποθήκευση αρχειοθετημένων αντιγράφων σε διακομιστή web στο δημόσια πρόσβαση, διαθεσιμότητα διαθέσιμων στο κοινό ενοτήτων υπηρεσιών (phpinfo) κ.λπ.

Πώς λειτουργούν οι σαρωτές ασφαλείας ιστότοπου

Γενικά, η αρχή λειτουργίας ενός σαρωτή ασφαλείας ιστότοπου είναι η εξής:

• Συλλογή πληροφοριών για το υπό μελέτη αντικείμενο.
• Έλεγχος λογισμικού ιστότοπου για τρωτά σημεία χρησιμοποιώντας βάσεις δεδομένων ευπάθειας.
• Εντοπισμός αδυναμιών του συστήματος.
• Διαμόρφωση συστάσεων για την εξάλειψή τους.

Κατηγορίες σαρωτών ασφαλείας ιστοσελίδων

Οι σαρωτές ασφαλείας ιστοτόπων, ανάλογα με τον σκοπό τους, μπορούν να χωριστούν στις ακόλουθες κατηγορίες (τύποι):

• Δικτυακοί σαρωτές - αυτός ο τύποςΟι σαρωτές αποκαλύπτουν τις διαθέσιμες υπηρεσίες δικτύου, εγκαθιστούν τις εκδόσεις τους, καθορίζουν το λειτουργικό σύστημα κ.λπ.
• Σαρωτές για αναζήτηση τρωτών σημείων σε σενάρια Ιστού- αυτός ο τύπος σαρωτή αναζητά τρωτά σημεία όπως SQL inj, XSS, LFI/RFI, κ.λπ., ή σφάλματα (όχι διαγραμμένα προσωρινά αρχεία, ευρετηρίαση καταλόγου κ.λπ.).
• Exploit Finders- αυτός ο τύπος σαρωτή έχει σχεδιαστεί για αυτοματοποιημένη αναζήτηση για εκμεταλλεύσεις λογισμικόκαι σενάρια.
• Εργαλεία αυτοματισμού έγχυσης- βοηθητικά προγράμματα που ασχολούνται ειδικά με την αναζήτηση και την εκμετάλλευση ενέσεων.
• Debuggers- εργαλεία για τη διόρθωση σφαλμάτων και τη βελτιστοποίηση κώδικα σε μια εφαρμογή Ιστού.

Υπάρχουν επίσης καθολικά βοηθητικά προγράμματα που περιλαμβάνουν τις δυνατότητες πολλών κατηγοριών σαρωτών ταυτόχρονα.

Παρακάτω είναι μια σύντομη επισκόπηση των δωρεάν σαρωτών ασφαλείας ιστότοπου. Δεδομένου ότι υπάρχουν πολλά δωρεάν βοηθητικά προγράμματα, μόνο τα πιο δημοφιλή δωρεάν εργαλεία για την ανάλυση της ασφάλειας των τεχνολογιών Ιστού περιλαμβάνονται στην ανασκόπηση. Κατά τη συμπερίληψη ενός συγκεκριμένου βοηθητικού προγράμματος στην ανασκόπηση, αναλύθηκαν εξειδικευμένοι πόροι για το θέμα της ασφάλειας της τεχνολογίας Ιστού:

Μια σύντομη ανασκόπηση των δωρεάν σαρωτών ασφαλείας ιστότοπου

Δικτυακοί σαρωτές

Nmap

Τύπος σαρωτή: δικτυακός σαρωτής.

Το Nmap (Network Mapper) είναι ένα δωρεάν βοηθητικό πρόγραμμα ανοιχτού κώδικα. Έχει σχεδιαστεί για να σαρώνει δίκτυα με οποιοδήποτε αριθμό αντικειμένων, να προσδιορίζει την κατάσταση των αντικειμένων του σαρωμένου δικτύου, καθώς και τις θύρες και τις αντίστοιχες υπηρεσίες τους. Για να γίνει αυτό, το Nmap χρησιμοποιεί πολλές διαφορετικές μεθόδους σάρωσης, όπως UDP, σύνδεση TCP, TCP SYN (μισό-ανοιχτό), διακομιστής μεσολάβησης FTP (ftp breakthrough), Reverse-ident, ICMP (ping), FIN, ACK, Xmas tree, SYN και NULL- σάρωση.

Το Nmap υποστηρίζει επίσης ένα ευρύ φάσμα πρόσθετων λειτουργιών, συγκεκριμένα: προσδιορισμό του λειτουργικού συστήματος ενός απομακρυσμένου κεντρικού υπολογιστή χρησιμοποιώντας δακτυλικά αποτυπώματα στοίβας TCP/IP, "αόρατη" σάρωση, δυναμικός υπολογισμός καθυστέρησης και αναμετάδοση πακέτων, παράλληλη σάρωση, αναγνώριση ανενεργών κεντρικών υπολογιστών χρησιμοποιώντας παράλληλη ψηφοφορία ping , σάρωση με χρήση ψευδών κεντρικών υπολογιστών, ανίχνευση παρουσίας φίλτρων πακέτων, άμεση (χωρίς χρήση portmapper) σάρωση RPC, σάρωση με χρήση κατακερματισμού IP, καθώς και αυθαίρετη ένδειξη διευθύνσεων IP και αριθμών θυρών σαρωμένων δικτύων.

Το Nmap έχει λάβει την κατάσταση του προϊόντος ασφαλείας της χρονιάς από περιοδικά και κοινότητες όπως το Linux Journal, το Info World, το LinuxQuestions.Org και το Codetalker Digest.

Πλατφόρμα: Το βοηθητικό πρόγραμμα είναι cross-platform.

Περισσότερες λεπτομέρειες από Σαρωτής Nmapμπορεί να συμβουλευτείτε.

Εργαλεία IP

Τύπος σαρωτή: δικτυακός σαρωτής.

Το IP Tools είναι ένας αναλυτής πρωτοκόλλου που υποστηρίζει κανόνες φιλτραρίσματος, προσαρμογέα φιλτραρίσματος, αποκωδικοποίηση πακέτων, περιγραφή πρωτοκόλλου και πολλά άλλα. Λεπτομερείς πληροφορίεςκάθε πακέτο περιέχεται σε ένα δέντρο στυλ, ένα μενού με δεξί κλικ σάς επιτρέπει να σαρώσετε την επιλεγμένη διεύθυνση IP.

Εκτός από το packet sniffer, το IP Tools προσφέρει ένα πλήρες σετ εργαλεία δικτύου, συμπεριλαμβανομένου του προσαρμογέα στατιστικών στοιχείων, παρακολούθησης επισκεψιμότητας IP και πολλά άλλα.

Μπορείτε να μάθετε περισσότερα σχετικά με τον σαρωτή IP-Tools.

Σκιπψάρι

Ο σαρωτής ευπάθειας ιστού μεταξύ πλατφορμών Skipfish από τον προγραμματιστή Michal Zalewski εκτελεί μια αναδρομική ανάλυση μιας εφαρμογής Ιστού και τον έλεγχο βάσει λεξικών, μετά τον οποίο δημιουργεί έναν χάρτη τοποθεσίας με σχόλια σχετικά με τα εντοπισμένα τρωτά σημεία.

Το εργαλείο αναπτύσσεται εσωτερικά από την Google.

Ο σαρωτής εκτελεί μια λεπτομερή ανάλυση της διαδικτυακής εφαρμογής. Είναι επίσης δυνατή η δημιουργία ενός λεξικού για μετέπειτα έλεγχο της ίδιας εφαρμογής. Η λεπτομερής αναφορά του Skipfish περιέχει πληροφορίες σχετικά με τις ευπάθειες που εντοπίστηκαν, τη διεύθυνση URL του πόρου που περιέχει την ευπάθεια και το αίτημα που εστάλη. Στην αναφορά, τα δεδομένα που λαμβάνονται ταξινομούνται κατά επίπεδο σοβαρότητας και τύπο ευπάθειας. Η αναφορά δημιουργείται σε μορφή html.

Αξίζει να σημειωθεί ότι ο σαρωτής ευπάθειας ιστού Skipfish δημιουργεί πολύ μεγάλο όγκο επισκεψιμότητας και η σάρωση διαρκεί πολύ χρόνο.

Πλατφόρμες: MacOS, Linux, Windows.

Μπορείτε να μάθετε περισσότερα για τον σαρωτή Skipfish.

Είδος ελάφου της Αμερικής

Τύπος σαρωτή: σαρωτής για αναζήτηση τρωτών σημείων σε σενάρια Ιστού.

Το Wapiti είναι ένα βοηθητικό πρόγραμμα κονσόλας για τον έλεγχο εφαρμογών ιστού. Λειτουργεί με βάση την αρχή του «μαύρου κουτιού».

Το Wapiti λειτουργεί ως εξής: πρώτον, ο σαρωτής WASS αναλύει τη δομή του ιστότοπου, αναζητά διαθέσιμα σενάρια και αναλύει παραμέτρους. Στη συνέχεια, το Wapiti ενεργοποιεί το fuzzer και συνεχίζει τη σάρωση μέχρι να βρεθούν όλα τα ευάλωτα σενάρια.

Ο σαρωτής Wapiti WASS λειτουργεί με τους ακόλουθους τύπους ευπάθειας:

• Αποκάλυψη αρχείων (Τοπικά και απομακρυσμένα περιλαμβάνουν/απαιτούν, άνοιγμα, ανάγνωση αρχείου).
• Έγχυση βάσης δεδομένων (PHP/JSP/ASP SQL Injections και XPath Injection).
• Έγχυση XSS (Cross Site Scripting) (ανακλώμενη και μόνιμη).
• Ανίχνευση εκτέλεσης εντολών (eval(), system(), passtru()…).
• CRLF Injection (HTTP Response Splitting, fixation session...).
• Έγχυση XXE (XmleXternal Entity).
• Χρήση γνωστών δυνητικά επικίνδυνων αρχείων.
• Αδύναμες διαμορφώσεις .htaccess που μπορούν να παρακαμφθούν.
• Παρουσία αντιγράφων ασφαλείας που παρέχουν ευαίσθητες πληροφορίες (αποκάλυψη πηγαίου κώδικα).

Το Wapiti περιλαμβάνεται στα βοηθητικά προγράμματα της διανομής Kali Linux. Μπορείτε να κατεβάσετε τις πηγές από το SourceForge και να τις χρησιμοποιήσετε σε οποιαδήποτε διανομή που βασίζεται στον πυρήνα του Linux. Το Wapiti υποστηρίζει μεθόδους αιτήματος GET και POST HTTP.

Πλατφόρμες: Windows, Unix, MacOS.

Μπορείτε να μάθετε περισσότερα για τον σαρωτή Wapiti.

Nessus

Ο σαρωτής Nessus είναι ένα ισχυρό και αξιόπιστο εργαλείο που ανήκει στην οικογένεια σαρωτές δικτύου, επιτρέποντάς σας να αναζητήσετε ευπάθειες σε υπηρεσίες δικτύου που προσφέρονται από λειτουργικά συστήματα, τείχη προστασίας, δρομολογητές φιλτραρίσματος και άλλα στοιχεία δικτύου. Για την αναζήτηση ευπαθειών, χρησιμοποιούνται ως τυπικά μέσαδοκιμή και συλλογή πληροφοριών σχετικά με τη διαμόρφωση και τη λειτουργία του δικτύου και ειδικά μέσα, μιμούμενο τις ενέργειες ενός εισβολέα για να διεισδύσει σε συστήματα που είναι συνδεδεμένα στο δίκτυο.

Μπορείτε να μάθετε περισσότερα για τον σαρωτή Nessus.

bsqlbf-v2

Τύπος σαρωτή: εργαλείο αυτοματισμού έγχυσης.

Το bsqlbf-v2 είναι ένα σενάριο γραμμένο σε Perl. Brute forcecer για τυφλές ενέσεις SQL. Ο σαρωτής λειτουργεί τόσο με ακέραιες τιμές στη διεύθυνση URL όσο και με τιμές συμβολοσειράς.

Πλατφόρμες: MS-SQL, MySQL, PostgreSQL, Oracle.

Μπορείτε να μάθετε περισσότερα για τον σαρωτή bsqlbf-v2.

Debuggers

Burp Σουίτα

Τύπος σαρωτή: εντοπισμός σφαλμάτων.

Το Burp Suite είναι μια συλλογή από σχετικά ανεξάρτητες εφαρμογές πολλαπλών πλατφορμών γραμμένων σε Java.

Ο πυρήνας του συγκροτήματος είναι η μονάδα Burp Proxy, η οποία εκτελεί τις λειτουργίες ενός τοπικού διακομιστή μεσολάβησης. τα υπόλοιπα στοιχεία του σετ είναι Spider, Intruder, Repeater, Sequencer, Decoder και Comparer. Όλα τα στοιχεία διασυνδέονται σε ένα ενιαίο σύνολο με τέτοιο τρόπο ώστε τα δεδομένα να μπορούν να σταλούν σε οποιοδήποτε μέρος της εφαρμογής, για παράδειγμα, από το Proxy στον Intruder για τη διεξαγωγή διάφορων ελέγχων στην εφαρμογή web, από τον Intruder στον Repeater για πιο ενδελεχή χειροκίνητη ανάλυση του Κεφαλίδες HTTP.

Πλατφόρμες: λογισμικό πολλαπλών πλατφορμών.

Μπορείτε να μάθετε περισσότερα για τον σαρωτή Burp Suite.

Βιολιτζής

Τύπος σαρωτή: εντοπισμός σφαλμάτων.

Το Fiddler είναι ένας διακομιστής εντοπισμού σφαλμάτων που καταγράφει όλη την κυκλοφορία HTTP(S). Το εργαλείο σάς επιτρέπει να εξετάσετε αυτήν την κίνηση, να ορίσετε ένα σημείο διακοπής και να "παίξετε" με εισερχόμενα ή εξερχόμενα δεδομένα.

Λειτουργικά χαρακτηριστικά του Fiddler:

• Δυνατότητα ελέγχου όλων των αιτημάτων, μπισκότα, παράμετροι που μεταδίδονται από προγράμματα περιήγησης στο Διαδίκτυο.
• Λειτουργία για την αλλαγή των απαντήσεων του διακομιστή εν κινήσει.
• Δυνατότητα χειρισμού κεφαλίδων και αιτημάτων.
• Λειτουργία για την αλλαγή του πλάτους του καναλιού.

Πλατφόρμες: λογισμικό πολλαπλών πλατφορμών.

Μπορείτε να μάθετε περισσότερα για το Fiddler scanner.

N-Stalker Web Application Security Scanner X Δωρεάν Έκδοση

Τύπος σαρωτή: σαρωτής για αναζήτηση τρωτών σημείων σε σενάρια ιστού, εργαλείο αναζήτησης εκμετάλλευσης.

Ένα αποτελεσματικό εργαλείο για υπηρεσίες web είναι το N-Stealth Security Scanner από το N-Stalker. Η εταιρεία πουλά μια πιο ολοκληρωμένη έκδοση του N-Stealth, αλλά είναι δωρεάν δοκιμαστική έκδοσηαρκετά κατάλληλο για απλή αξιολόγηση. Το επί πληρωμή προϊόν έχει περισσότερες από 30 χιλιάδες δοκιμές ασφαλείας διακομιστή ιστού, αλλά και δωρεάν έκδοσηεντοπίζει περισσότερα από 16 χιλιάδες συγκεκριμένα κενά, συμπεριλαμβανομένων τρωτών σημείων σε διακομιστές ιστού που χρησιμοποιούνται ευρέως όπως οι Microsoft IIS και Apache. Για παράδειγμα, το N-Stealth αναζητά ευάλωτα σενάρια Common Gateway Interface (CGI) και Hypertext Preprocessor (PHP) και χρησιμοποιεί επιθέσεις για να διεισδύσει SQL Server, τυπικά σενάρια μεταξύ τοποθεσιών και άλλα κενά σε δημοφιλείς διακομιστές ιστού.

Το N-Stealth υποστηρίζει τόσο HTTP όσο και HTTP Secure (HTTPS - με χρήση SSL), αντιστοιχίζει ευπάθειες με το λεξικό Common Vulnerabilities and Exposures (CVE) και τη βάση δεδομένων Bugtraq και δημιουργεί αξιοπρεπείς αναφορές. Το N-Stealth χρησιμοποιείται για την εύρεση των πιο κοινών τρωτών σημείων σε διακομιστές ιστού και βοηθά στον εντοπισμό των πιο πιθανών φορέων επίθεσης.

Φυσικά, για μια πιο αξιόπιστη αξιολόγηση της ασφάλειας μιας ιστοσελίδας ή εφαρμογών, συνιστάται η αγορά μιας πληρωμένης έκδοσης.

Μπορείτε να μάθετε περισσότερα για τον σαρωτή N-Stealth.

συμπεράσματα

Η δοκιμή ιστοτόπων για τον εντοπισμό τρωτών σημείων είναι ένα καλό προληπτικό μέτρο. Επί του παρόντος, υπάρχουν πολλοί εμπορικοί και ελεύθερα διαθέσιμοι σαρωτές ασφαλείας ιστότοπου. Ταυτόχρονα, οι σαρωτές μπορούν να είναι τόσο καθολικοί (περιεκτικές λύσεις) όσο και εξειδικευμένοι, σχεδιασμένοι μόνο για τον εντοπισμό ορισμένων τύπων τρωτών σημείων.

Μερικοί δωρεάν σαρωτές είναι αρκετά ισχυρά εργαλεία και δείχνουν μεγάλο βάθος και καλής ποιότηταςέλεγχοι ιστοσελίδων. Αλλά προτού χρησιμοποιήσετε δωρεάν βοηθητικά προγράμματα για να αναλύσετε την ασφάλεια των ιστότοπων, πρέπει να βεβαιωθείτε για την ποιότητά τους. Σήμερα υπάρχουν ήδη πολλές μέθοδοι για αυτό (για παράδειγμα, Κριτήρια Αξιολόγησης Σαρωτή Ασφαλείας Εφαρμογών Web, Προδιαγραφές Προδιαγραφών Σαρωτή Εφαρμογών Ιστού OWASP).

Μόνο ολοκληρωμένες λύσεις μπορούν να παρέχουν την πληρέστερη εικόνα της ασφάλειας μιας συγκεκριμένης υποδομής. Σε ορισμένες περιπτώσεις, είναι καλύτερο να χρησιμοποιείτε πολλούς σαρωτές ασφαλείας.

1. Στόχος και στόχοι

Σκοπός της εργασίας είναι η ανάπτυξη αλγορίθμων για την αύξηση της ασφάλειας της πρόσβασης σε εξωτερικούς πληροφοριακούς πόρουςαπό εταιρικά εκπαιδευτικά δίκτυα, λαμβάνοντας υπόψη τις χαρακτηριστικές απειλές ασφαλείας τους, καθώς και τα χαρακτηριστικά του πληθυσμού των χρηστών, τις πολιτικές ασφαλείας, τις αρχιτεκτονικές λύσεις και την υποστήριξη πόρων.

Με βάση τον στόχο, οι ακόλουθες εργασίες επιλύονται στην εργασία:

1. Πραγματοποιήστε ανάλυση των κύριων απειλών για την ασφάλεια των πληροφοριών στα εκπαιδευτικά δίκτυα.

2. Ανάπτυξη μιας μεθόδου για τον περιορισμό της πρόσβασης σε ανεπιθύμητους πόρους πληροφοριών στα εκπαιδευτικά δίκτυα.

3. Αναπτύξτε αλγόριθμους που επιτρέπουν τη σάρωση ιστοσελίδων, την αναζήτηση άμεσων συνδέσεων και τη λήψη αρχείων για περαιτέρω ανάλυση δυνητικά κακόβουλου κώδικα σε ιστότοπους.

4. Αναπτύξτε έναν αλγόριθμο για τον εντοπισμό ανεπιθύμητων πόρων πληροφοριών σε ιστότοπους.

2. Συνάφεια του θέματος

Τα σύγχρονα έξυπνα συστήματα εκπαίδευσης βασίζονται στον Ιστό και παρέχουν στους χρήστες τους τη δυνατότητα να συνεργαστούν διάφοροι τύποιτοπικούς και απομακρυσμένους εκπαιδευτικούς πόρους. Πρόβλημα ασφαλής χρήσηΟι πόροι πληροφοριών (IR) που δημοσιεύονται στο Διαδίκτυο γίνονται συνεχώς πιο σχετικοί. Μία από τις μεθόδους που χρησιμοποιούνται για την επίλυση αυτού του προβλήματος είναι ο περιορισμός της πρόσβασης σε ανεπιθύμητους πόρους πληροφοριών.

Οι φορείς εκμετάλλευσης που παρέχουν πρόσβαση στο Διαδίκτυο σε εκπαιδευτικά ιδρύματα απαιτείται να διασφαλίζουν ότι η πρόσβαση σε ανεπιθύμητες πληροφορίες είναι περιορισμένη. Ο περιορισμός πραγματοποιείται με φιλτράρισμα από χειριστές που χρησιμοποιούν λίστες που ενημερώνονται τακτικά σύμφωνα με την καθιερωμένη διαδικασία. Ωστόσο, δεδομένου του σκοπού και του κοινού χρήστη των εκπαιδευτικών δικτύων, συνιστάται η χρήση ενός πιο ευέλικτου συστήματος αυτομάθησης που θα αναγνωρίζει δυναμικά τους ανεπιθύμητους πόρους και θα προστατεύει τους χρήστες από αυτούς.

Γενικά, η πρόσβαση σε ανεπιθύμητους πόρους ενέχει τις ακόλουθες απειλές: προπαγάνδα παράνομων και κοινωνικών ενεργειών, όπως: πολιτικός εξτρεμισμός, τρομοκρατία, εθισμός στα ναρκωτικά, διανομή πορνογραφίας και άλλου υλικού. αποσπά την προσοχή των μαθητών από τη χρήση δικτύων υπολογιστών για εκπαιδευτικούς σκοπούς· δυσκολία πρόσβασης στο Διαδίκτυο λόγω υπερφόρτωσης εξωτερικών καναλιών με περιορισμένο εύρος ζώνης. Οι πόροι που αναφέρονται παραπάνω χρησιμοποιούνται συχνά για την εισαγωγή κακόβουλου λογισμικού και των σχετικών απειλών.

Τα υπάρχοντα συστήματα περιορισμού της πρόσβασης σε πόρους δικτύου έχουν τη δυνατότητα να ελέγχουν όχι μόνο μεμονωμένα πακέτα για συμμόρφωση με καθορισμένους περιορισμούς, αλλά και το περιεχόμενό τους - περιεχόμενο που μεταδίδεται μέσω του δικτύου. Επί του παρόντος, τα συστήματα φιλτραρίσματος περιεχομένου χρησιμοποιούν τις ακόλουθες μεθόδους για το φιλτράρισμα του περιεχομένου ιστού: με όνομα DNS ή συγκεκριμένη διεύθυνση IP, με λέξεις-κλειδιά εντός του περιεχομένου ιστού και κατά τύπο αρχείου. Για να αποκλείσετε την πρόσβαση σε μια συγκεκριμένη τοποθεσία Web ή ομάδα τοποθεσιών, πρέπει να καθορίσετε πολλές διευθύνσεις URL που περιέχουν ακατάλληλο περιεχόμενο. Το φιλτράρισμα URL παρέχει πλήρη έλεγχο της ασφάλειας του δικτύου. Ωστόσο, είναι αδύνατο να προβλεφθούν εκ των προτέρων όλες οι πιθανές ακατάλληλες διευθύνσεις URL. Επιπλέον, ορισμένοι ιστότοποι με αμφίβολο περιεχόμενο δεν λειτουργούν με διευθύνσεις URL, αλλά αποκλειστικά με διευθύνσεις IP.

Ένας τρόπος επίλυσης του προβλήματος είναι να φιλτράρετε το περιεχόμενο που λαμβάνεται μέσω του πρωτοκόλλου HTTP. Το μειονέκτημα των υπαρχόντων συστημάτων φιλτραρίσματος περιεχομένου είναι η χρήση λιστών ελέγχου πρόσβασης που δημιουργούνται στατικά. Για να τα συμπληρώσουν, οι προγραμματιστές συστημάτων φιλτραρίσματος εμπορικού περιεχομένου προσλαμβάνουν υπαλλήλους που χωρίζουν το περιεχόμενο σε κατηγορίες και κατατάσσουν τις εγγραφές στη βάση δεδομένων.

Για την εξάλειψη των αδυναμιών των υφιστάμενων συστημάτων φιλτραρίσματος περιεχομένου για εκπαιδευτικά δίκτυα, είναι σκόπιμο να αναπτυχθούν συστήματα φιλτραρίσματος διαδικτυακής κίνησης με δυναμικό προσδιορισμό της κατηγορίας ενός πόρου Ιστού με βάση το περιεχόμενο των σελίδων του.

3. Αντιληπτή επιστημονική καινοτομία

Ένας αλγόριθμος για τον περιορισμό της πρόσβασης των χρηστών ευφυών συστημάτων μάθησης σε ανεπιθύμητους πόρους σε ιστότοπους του Διαδικτύου, με βάση τη δυναμική διαμόρφωση λιστών πρόσβασης σε πόρους πληροφοριών μέσω της καθυστερημένης ταξινόμησής τους.

4. Προγραμματισμένα πρακτικά αποτελέσματα

Οι αναπτυγμένοι αλγόριθμοι μπορούν να χρησιμοποιηθούν σε συστήματα για τον περιορισμό της πρόσβασης σε ανεπιθύμητους πόρους σε ευφυή συστήματα εκμάθησης υπολογιστών.

5. Ανασκόπηση έρευνας και ανάπτυξης

5.1 Επισκόπηση της έρευνας και της ανάπτυξης για το θέμα σε παγκόσμιο επίπεδο

Το έργο διάσημων επιστημόνων όπως: H.H. είναι αφιερωμένο στα προβλήματα διασφάλισης της ασφάλειας των πληροφοριών. Bezrukov, P.D. Zegzda, Α.Μ. Ivashko, A.I. Kostogryzov, V.I. Kurbatov K. Lendver, D. McLean, Α.Α. Moldovyan, H.A. Moldovyan, A.A. Malyuk, E.A. Derbin, R. Sandhu, J.M. Carroll και άλλοι. Ταυτόχρονα, παρά τον συντριπτικό όγκο πηγών κειμένου σε εταιρικά και ανοιχτά δίκτυα, στον τομέα της ανάπτυξης μεθόδων και συστημάτων για την ασφάλεια των πληροφοριών, η έρευνα στοχεύει στην ανάλυση απειλών για την ασφάλεια και τη μελέτη περιορισμού της πρόσβασης σε ανεπιθύμητους πόρους στην εκπαίδευση υπολογιστών με πρόσβαση στο Web .

Στην Ουκρανία, ο κορυφαίος ερευνητής σε αυτόν τον τομέα είναι ο V.V. Domarev. . Η έρευνα της διατριβής του είναι αφιερωμένη στα προβλήματα δημιουργίας πολύπλοκων συστημάτων ασφάλειας πληροφοριών. Συγγραφέας των βιβλίων: «Ασφάλεια Τεχνολογίες πληροφορικής. Μεθοδολογία για τη δημιουργία συστημάτων προστασίας», «Ασφάλεια τεχνολογιών πληροφοριών. Συστηματική προσέγγιση», κ.λπ., συγγραφέας περισσότερων από 40 επιστημονικών άρθρων και δημοσιεύσεων.

5.2 Ανασκόπηση της έρευνας και ανάπτυξης για το θέμα σε εθνικό επίπεδο

Στο Εθνικό Τεχνικό Πανεπιστήμιο του Ντονέτσκ, ανάπτυξη μοντέλων και μεθόδων για τη δημιουργία συστήματος ασφάλειας πληροφοριών εταιρικό δίκτυοΗ Khimka S.S. συμμετείχε στην επιχείρηση, λαμβάνοντας υπόψη διάφορα κριτήρια. . Η προστασία των πληροφοριών στα εκπαιδευτικά συστήματα καταλήφθηκε από τον Yu.S. .

6. Προβλήματα περιορισμού της πρόσβασης σε διαδικτυακούς πόρους στα εκπαιδευτικά συστήματα

Η ανάπτυξη της τεχνολογίας των πληροφοριών μας επιτρέπει επί του παρόντος να μιλήσουμε για δύο πτυχές της περιγραφής των πόρων: το περιεχόμενο του Διαδικτύου και την υποδομή πρόσβασης. Η υποδομή πρόσβασης συνήθως νοείται ως ένα σύνολο υλικού και λογισμικό, παρέχοντας μετάδοση δεδομένων σε μορφή πακέτου IP, και το περιεχόμενο ορίζεται ως ένας συνδυασμός μορφής παρουσίασης (για παράδειγμα, ως ακολουθία χαρακτήρων σε μια συγκεκριμένη κωδικοποίηση) και περιεχομένου (σημασιολογία) πληροφοριών. Μεταξύ των χαρακτηριστικών ιδιοτήτων μιας τέτοιας περιγραφής, πρέπει να επισημανθούν τα ακόλουθα:

1. ανεξαρτησία του περιεχομένου από την υποδομή πρόσβασης.

2. Συνεχείς ποιοτικές και ποσοτικές αλλαγές στο περιεχόμενο.

3. η εμφάνιση νέων διαδραστικών πηγών πληροφοριών («ζωντανά περιοδικά», μεσα ΚΟΙΝΩΝΙΚΗΣ ΔΙΚΤΥΩΣΗΣ, ελεύθερες εγκυκλοπαίδειες κ.λπ.), στις οποίες οι χρήστες συμμετέχουν άμεσα στη δημιουργία διαδικτυακού περιεχομένου.

Κατά την επίλυση προβλημάτων ελέγχου πρόσβασης σε πόρους πληροφοριών, τα θέματα ανάπτυξης πολιτικών ασφαλείας, τα οποία επιλύονται σε σχέση με τα χαρακτηριστικά της υποδομής και του περιεχομένου του δικτύου, έχουν μεγάλη σημασία. Όσο υψηλότερο είναι το επίπεδο περιγραφής του μοντέλου ασφάλειας πληροφοριών, τόσο περισσότερο ο έλεγχος πρόσβασης εστιάζεται στη σημασιολογία των πόρων του δικτύου. Προφανώς, οι διευθύνσεις MAC και IP (σύνδεσμος και επίπεδο δικτύουαλληλεπίδραση) των διεπαφών συσκευών δικτύου δεν μπορεί να συνδεθεί με καμία κατηγορία δεδομένων, καθώς η ίδια διεύθυνση μπορεί να αντιπροσωπεύει διαφορετικές υπηρεσίες. Οι αριθμοί λιμένων (επίπεδο μεταφοράς), κατά κανόνα, δίνουν μια ιδέα για το είδος της υπηρεσίας, αλλά δεν χαρακτηρίζουν ποιοτικά τις πληροφορίες που παρέχονται από αυτήν την υπηρεσία. Για παράδειγμα, δεν είναι δυνατό να ταξινομηθεί ένας συγκεκριμένος ιστότοπος σε μία από τις σημασιολογικές κατηγορίες (μέσα, επιχειρήσεις, ψυχαγωγία, κ.λπ.) με βάση μόνο τις πληροφορίες του επιπέδου μεταφοράς. Ασφάλεια ασφάλεια πληροφοριώνσε επίπεδο εφαρμογής πλησιάζει την έννοια του φιλτραρίσματος περιεχομένου, δηλ. έλεγχος πρόσβασης λαμβάνοντας υπόψη τη σημασιολογία των πόρων του δικτύου. Κατά συνέπεια, όσο πιο προσανατολισμένο στο περιεχόμενο είναι το σύστημα ελέγχου πρόσβασης, τόσο πιο διαφοροποιημένη είναι η προσέγγιση σε σχέση με διαφορετικές κατηγορίες χρηστών και με τη βοήθειά του μπορεί να εφαρμοστεί πόροι πληροφοριών. Ειδικότερα, ένα σημασιολογικά προσανατολισμένο σύστημα ελέγχου μπορεί να περιορίσει αποτελεσματικά την πρόσβαση των μαθητών στα εκπαιδευτικά ιδρύματα σε πόρους που δεν είναι συμβατοί με τη μαθησιακή διαδικασία.

Πιθανές επιλογές για τη διαδικασία απόκτησης ενός πόρου Ιστού παρουσιάζονται στο Σχ. 1

Εικόνα 1 - Η διαδικασία απόκτησης ενός πόρου Ιστού μέσω πρωτοκόλλου HTTP

Για να διασφαλιστεί ο ευέλικτος έλεγχος στη χρήση των πόρων του Διαδικτύου, είναι απαραίτητο να εισαχθεί μια κατάλληλη πολιτική για τη χρήση των πόρων από έναν εκπαιδευτικό οργανισμό στην εταιρεία χειριστή. Αυτή η πολιτική μπορεί να εφαρμοστεί είτε χειροκίνητα είτε αυτόματα. Η «μη αυτόματη» υλοποίηση σημαίνει ότι η εταιρεία διαθέτει ειδικό προσωπικό που παρακολουθεί τη δραστηριότητα των χρηστών εκπαιδευτικών ιδρυμάτων σε πραγματικό χρόνο ή χρησιμοποιώντας αρχεία καταγραφής από δρομολογητές, διακομιστές μεσολάβησης ή τείχη προστασίας. Μια τέτοια παρακολούθηση είναι προβληματική γιατί απαιτεί πολλή εργασία. Για να παρέχει ευέλικτο έλεγχο στη χρήση των πόρων του Διαδικτύου, η εταιρεία πρέπει να παρέχει στον διαχειριστή ένα εργαλείο για την εφαρμογή της πολιτικής χρήσης πόρων του οργανισμού. Το φιλτράρισμα περιεχομένου εξυπηρετεί αυτόν τον σκοπό. Η ουσία του έγκειται στην αποσύνθεση των αντικειμένων ανταλλαγής πληροφοριών σε στοιχεία, στην ανάλυση των περιεχομένων αυτών των στοιχείων, στον προσδιορισμό της συμμόρφωσης των παραμέτρων τους με την αποδεκτή πολιτική για τη χρήση των πόρων του Διαδικτύου και στη λήψη ορισμένων ενεργειών με βάση τα αποτελέσματα αυτής της ανάλυσης. Στην περίπτωση του φιλτραρίσματος της διαδικτυακής κίνησης, τα αντικείμενα ανταλλαγής πληροφοριών είναι τα αιτήματα ιστού, τα περιεχόμενα των ιστοσελίδων και τα αρχεία που μεταφέρονται κατόπιν αιτήματος του χρήστη.

Οι χρήστες του εκπαιδευτικού οργανισμού αποκτούν πρόσβαση στο Διαδίκτυο αποκλειστικά μέσω διακομιστή μεσολάβησης. Κάθε φορά που προσπαθείτε να αποκτήσετε πρόσβαση σε έναν συγκεκριμένο πόρο, ο διακομιστής μεσολάβησης ελέγχει εάν ο πόρος περιλαμβάνεται σε μια ειδική βάση δεδομένων. Εάν ένας τέτοιος πόρος τοποθετηθεί στη βάση δεδομένων των απαγορευμένων πόρων, η πρόσβαση σε αυτόν αποκλείεται και ο χρήστης λαμβάνει ένα αντίστοιχο μήνυμα στην οθόνη.

Εάν ο ζητούμενος πόρος δεν βρίσκεται στη βάση δεδομένων των απαγορευμένων πόρων, τότε παρέχεται πρόσβαση σε αυτόν, αλλά ένα αρχείο επίσκεψης αυτού του πόρου καταγράφεται σε ένα ειδικό αρχείο καταγραφής υπηρεσιών. Μία φορά την ημέρα (ή σε άλλα διαστήματα), ο διακομιστής μεσολάβησης δημιουργεί μια λίστα με τους πόρους με τις περισσότερες επισκέψεις (με τη μορφή λίστας διευθύνσεων URL) και τη στέλνει σε ειδικούς. Οι ειδικοί (διαχειριστές συστήματος), χρησιμοποιώντας την κατάλληλη μεθοδολογία, ελέγχουν τη λίστα των πόρων που προκύπτει και προσδιορίζουν τη φύση τους. Εάν ο πόρος δεν είναι στοχευόμενος, ο ειδικός τον ταξινομεί (πόρος πορνό, πόρος παιχνιδιών) και κάνει μια αλλαγή στη βάση δεδομένων. Αφού γίνουν όλες οι απαραίτητες αλλαγές, η ενημερωμένη έκδοση της βάσης δεδομένων αποστέλλεται αυτόματα σε όλους τους διακομιστές μεσολάβησης που είναι συνδεδεμένοι στο σύστημα. Το σχήμα φιλτραρίσματος για μη στοχευμένους πόρους σε διακομιστές μεσολάβησης φαίνεται στην Εικ. 2.

Εικόνα 2 - Βασικές αρχές φιλτραρίσματος μη στοχευόμενων πόρων σε διακομιστές μεσολάβησης

Τα προβλήματα με το φιλτράρισμα μη στοχευόμενων πόρων σε διακομιστές μεσολάβησης είναι τα εξής. Με το κεντρικό φιλτράρισμα απαιτείται εξοπλισμός υψηλής απόδοσης της κεντρικής μονάδας, μεγάλος διακίνησηκανάλια επικοινωνίας στον κεντρικό κόμβο, η αστοχία του κεντρικού κόμβου οδηγεί σε πλήρη αστοχία ολόκληρου του συστήματος φιλτραρίσματος.

Με το αποκεντρωμένο φιλτράρισμα «στο πεδίο» απευθείας στους σταθμούς εργασίας ή τους διακομιστές του οργανισμού, το κόστος ανάπτυξης και υποστήριξης είναι υψηλό.

Κατά το φιλτράρισμα κατά διεύθυνση στο στάδιο της αποστολής ενός αιτήματος, δεν υπάρχει προληπτική αντίδραση στην παρουσία ανεπιθύμητου περιεχομένου και δυσκολίες στο φιλτράρισμα ιστοσελίδων με «μάσκα».

Κατά το φιλτράρισμα κατά περιεχόμενο, είναι απαραίτητο να επεξεργάζεστε μεγάλους όγκους πληροφοριών κατά τη λήψη κάθε πόρου και την πολυπλοκότητα των πόρων επεξεργασίας που προετοιμάζονται χρησιμοποιώντας εργαλεία όπως Java, Flash.

7. Ασφάλεια πληροφοριών διαδικτυακών πόρων για χρήστες ευφυών συστημάτων εκπαίδευσης

Ας εξετάσουμε τη δυνατότητα ελέγχου της πρόσβασης σε πόρους πληροφοριών χρησιμοποιώντας μια κοινή λύση που βασίζεται στην ιεραρχική αρχή της ενσωμάτωσης εργαλείων ελέγχου πρόσβασης σε πόρους του Διαδικτύου (Εικ. 3). Ο περιορισμός της πρόσβασης σε ανεπιθύμητο IR από το IOS μπορεί να επιτευχθεί μέσω ενός συνδυασμού τεχνολογιών όπως τείχος προστασίας, χρήση διακομιστών μεσολάβησης, ανάλυση ανώμαλης δραστηριότητας για τον εντοπισμό εισβολών, περιορισμός εύρους ζώνης, φιλτράρισμα με βάση την ανάλυση περιεχομένου, φιλτράρισμα βάσει λιστών πρόσβασης. Σε αυτήν την περίπτωση, μία από τις βασικές εργασίες είναι ο σχηματισμός και η χρήση ενημερωμένων λιστών περιορισμού πρόσβασης.

Το φιλτράρισμα των ανεπιθύμητων πόρων πραγματοποιείται σύμφωνα με το ρεύμα κανονιστικά έγγραφαβάσει καταλόγων που δημοσιεύονται σύμφωνα με την καθιερωμένη διαδικασία. Ο περιορισμός της πρόσβασης σε άλλους πόρους πληροφοριών πραγματοποιείται με βάση ειδικά κριτήρια που αναπτύσσει ο φορέας εκμετάλλευσης του εκπαιδευτικού δικτύου.

Η πρόσβαση χρήστη κάτω από την καθορισμένη συχνότητα, ακόμη και σε έναν δυνητικά ανεπιθύμητο πόρο, είναι αποδεκτή. Μόνο οι πόροι σε ζήτηση υπόκεινται σε ανάλυση και ταξινόμηση, δηλαδή εκείνοι για τους οποίους ο αριθμός των αιτημάτων των χρηστών έχει υπερβεί ένα καθορισμένο όριο. Η σάρωση και η ανάλυση πραγματοποιούνται κάποιο χρονικό διάστημα αφότου ο αριθμός των αιτημάτων υπερβεί την τιμή κατωφλίου (κατά την περίοδο ελάχιστης φόρτισης σε εξωτερικά κανάλια).

Δεν σαρώνονται μόνο μεμονωμένες ιστοσελίδες, αλλά όλοι οι πόροι που σχετίζονται με αυτές (αναλύοντας τους συνδέσμους στη σελίδα). Ως αποτέλεσμα, αυτή η προσέγγιση σάς επιτρέπει να προσδιορίσετε την παρουσία συνδέσμων προς κακόβουλο λογισμικό κατά τη σάρωση πόρων.

Εικόνα 3 - Ιεραρχία εργαλείων ελέγχου πρόσβασης σε πόρους του Διαδικτύου

(κινούμενα σχέδια, 24 καρέ, 25 KB)

Η αυτοματοποιημένη ταξινόμηση των πόρων πραγματοποιείται στον εταιρικό διακομιστή του πελάτη - ιδιοκτήτη του συστήματος. Ο χρόνος ταξινόμησης καθορίζεται από τη μέθοδο που χρησιμοποιείται, η οποία βασίζεται στην έννοια της καθυστερημένης ταξινόμησης πόρων. Αυτό προϋποθέτει ότι η πρόσβαση χρήστη κάτω από μια καθορισμένη συχνότητα, ακόμη και σε έναν δυνητικά ανεπιθύμητο πόρο, είναι αποδεκτή. Αυτό αποφεύγει την δαπανηρή κατάταξη κατά την πτήση. Μόνο οι πόροι σε ζήτηση υπόκεινται σε ανάλυση και αυτοματοποιημένη ταξινόμηση, δηλαδή πόροι για τους οποίους η συχνότητα των αιτημάτων των χρηστών έχει υπερβεί ένα καθορισμένο όριο. Η σάρωση και η ανάλυση πραγματοποιούνται κάποιο χρονικό διάστημα αφότου ο αριθμός των αιτημάτων υπερβεί την τιμή κατωφλίου (κατά την περίοδο ελάχιστης φόρτισης σε εξωτερικά κανάλια). Η μέθοδος υλοποιεί ένα σχήμα για τη δυναμική κατασκευή τριών λιστών: "μαύρο" (ChSP), "λευκό" (BSP) και "γκρι" (GSP). Απαγορεύεται η πρόσβαση σε πόρους στη μαύρη λίστα. Η λευκή λίστα περιέχει επαληθευμένους επιτρεπόμενους πόρους. Η "γκρίζα" λίστα περιέχει πόρους που είχαν ζήτηση από τους χρήστες τουλάχιστον μία φορά, αλλά δεν είχαν ταξινομηθεί. Ο αρχικός σχηματισμός και η περαιτέρω «χειροκίνητη» προσαρμογή της «μαύρης» λίστας πραγματοποιείται με βάση επίσημες πληροφορίες σχετικά με τις διευθύνσεις των απαγορευμένων πόρων που παρέχονται από τον εξουσιοδοτημένο κρατικό φορέα. Το αρχικό περιεχόμενο της «λευκής» λίστας αποτελείται από πόρους που προτείνονται για χρήση. Οποιοδήποτε αίτημα για πόρο που δεν βρίσκεται στη μαύρη λίστα γίνεται δεκτό. Εάν αυτός ο πόρος δεν βρίσκεται στη "λευκή" λίστα, τοποθετείται στη "γκρίζα" λίστα, όπου καταγράφεται ο αριθμός των αιτημάτων σε αυτόν τον πόρο. Εάν η συχνότητα των αιτημάτων υπερβαίνει μια ορισμένη τιμή κατωφλίου, πραγματοποιείται αυτοματοποιημένη ταξινόμηση του πόρου, βάσει της οποίας περιλαμβάνεται στη "μαύρη" ή "λευκή" λίστα.

8. Αλγόριθμοι για τον προσδιορισμό της ασφάλειας πληροφοριών των πόρων Ιστού για χρήστες ευφυών συστημάτων εκπαίδευσης

Αλγόριθμος περιορισμού πρόσβασης. Οι περιορισμοί στην πρόσβαση σε ανεπιθύμητους πόρους σε τοποθεσίες Διαδικτύου βασίζονται στον ακόλουθο ορισμό της έννοιας του κινδύνου πρόσβασης σε ανεπιθύμητο IR στο IOS. Ο κίνδυνος πρόσβασης στο ανεπιθύμητο i-th IR, που ταξινομείται ως k-th IR class, θα είναι μια τιμή ανάλογη με την εκτίμηση των εμπειρογνωμόνων της ζημίας που προκαλείται από το ανεπιθύμητο IR ενός δεδομένου τύπου IOS ή της ταυτότητας του χρήστη και της αριθμός προσβάσεων σε αυτόν τον πόρο για μια δεδομένη χρονική περίοδο:

Κατ' αναλογία με τον κλασικό ορισμό του κινδύνου ως το γινόμενο της πιθανότητας πραγματοποίησης μιας απειλής και του κόστους της ζημίας που προκλήθηκε, αυτός ο ορισμός ερμηνεύει τον κίνδυνο ως τη μαθηματική προσδοκία του ποσού της πιθανής ζημίας από την πρόσβαση σε ένα ανεπιθύμητο IR. Σε αυτήν την περίπτωση, το ύψος της αναμενόμενης ζημίας καθορίζεται από τον βαθμό επίδρασης του IR στις προσωπικότητες των χρηστών, ο οποίος με τη σειρά του είναι ευθέως ανάλογος με τον αριθμό των χρηστών που βίωσαν αυτόν τον αντίκτυπο.

Κατά τη διαδικασία ανάλυσης οποιουδήποτε πόρου Ιστού, από την άποψη της επιθυμίας ή ανεπιθύμητης πρόσβασης σε αυτόν, είναι απαραίτητο να ληφθούν υπόψη τα ακόλουθα κύρια στοιχεία κάθε σελίδας του: περιεχόμενο, δηλαδή κείμενο και άλλα (γραφικό, φωτογραφία, βίντεο) πληροφορίες που δημοσιεύονται σε αυτήν τη σελίδα. περιεχόμενο που δημοσιεύεται σε άλλες σελίδες του ίδιου ιστότοπου (μπορείτε να λάβετε εσωτερικούς συνδέσμους από το περιεχόμενο φορτωμένων σελίδων από κανονικές εκφράσεις) συνδέσεις με άλλους ιστότοπους (τόσο από την άποψη του δυνατή λήψηιούς και Trojans), και από την άποψη της παρουσίας ανεπιθύμητου περιεχομένου. Ένας αλγόριθμος για τον περιορισμό της πρόσβασης σε ανεπιθύμητους πόρους χρησιμοποιώντας λίστες φαίνεται στο Σχ. 4.

Εικόνα 4 - Αλγόριθμος για τον περιορισμό της πρόσβασης σε ανεπιθύμητους πόρους

Αλγόριθμος για τον εντοπισμό ανεπιθύμητων ιστοσελίδων. Για την ταξινόμηση περιεχομένου - κείμενα ιστοσελίδων - είναι απαραίτητο να λυθούν τα ακόλουθα προβλήματα: καθορισμός κατηγοριών ταξινόμησης. εξαγωγή πληροφοριών από κείμενα πηγής που μπορούν να αναλυθούν αυτόματα. δημιουργία συλλογών διαβαθμισμένων κειμένων. κατασκευή και εκπαίδευση ενός ταξινομητή που λειτουργεί με τα ληφθέντα σύνολα δεδομένων.

Αναλύεται το εκπαιδευτικό σύνολο ταξινομημένων κειμένων, εντοπίζοντας όρους - τις πιο συχνά χρησιμοποιούμενες λεκτικές μορφές γενικά και για κάθε κατηγορία ταξινόμησης ξεχωριστά. Κάθε κείμενο πηγής αναπαρίσταται ως ένα διάνυσμα, τα συστατικά του οποίου είναι τα χαρακτηριστικά της εμφάνισης ενός δεδομένου όρου στο κείμενο. Προκειμένου να αποφευχθεί η διανυσματική αραιότητα και να μειωθεί η διάστασή τους, συνιστάται η μείωση των μορφών λέξεων στην αρχική τους μορφή χρησιμοποιώντας μεθόδους μορφολογικής ανάλυσης. Μετά από αυτό, το διάνυσμα θα πρέπει να κανονικοποιηθεί, γεγονός που μας επιτρέπει να επιτύχουμε ένα πιο σωστό αποτέλεσμα ταξινόμησης. Για μία ιστοσελίδα, μπορούν να δημιουργηθούν δύο διανύσματα: για τις πληροφορίες που εμφανίζονται στον χρήστη και για το κείμενο που παρέχεται στις μηχανές αναζήτησης.

Υπάρχουν διάφορες προσεγγίσεις για την κατασκευή ταξινομητών ιστοσελίδων. Τα πιο συχνά χρησιμοποιούμενα είναι: Μπεϋζιανός ταξινομητής; νευρωνικά δίκτυα; γραμμικοί ταξινομητές; υποστήριξη διανυσματική μηχανή (SVM). Όλες οι παραπάνω μέθοδοι απαιτούν εκπαίδευση σε μια συλλογή εκπαίδευσης και δοκιμή σε μια συλλογή δοκιμών. Για δυαδική ταξινόμηση, μπορείτε να επιλέξετε μια απλή λύση Bayes, η οποία υποθέτει ότι τα χαρακτηριστικά στον διανυσματικό χώρο είναι ανεξάρτητα μεταξύ τους. Θα υποθέσουμε ότι όλοι οι πόροι πρέπει να ταξινομηθούν ως επιθυμητοί και ανεπιθύμητοι. Στη συνέχεια, ολόκληρη η συλλογή δειγμάτων κειμένου ιστοσελίδας χωρίζεται σε δύο κατηγορίες: C=(C1, C2) και η προηγούμενη πιθανότητα κάθε κλάσης είναι P(Ci), i=1,2. Με μια αρκετά μεγάλη συλλογή δειγμάτων, μπορούμε να υποθέσουμε ότι το P(Ci) είναι ίσο με την αναλογία του αριθμού των δειγμάτων της κατηγορίας Ci προς τον συνολικό αριθμό των δειγμάτων. Για κάποιο δείγμα D που πρόκειται να ταξινομηθεί, από την υπό όρους πιθανότητα P(D/Ci), σύμφωνα με το θεώρημα του Bayes, μπορεί να ληφθεί η τιμή P(Ci /D):

λαμβάνοντας υπόψη τη σταθερότητα του P(D) παίρνουμε:

Υποθέτοντας ότι οι όροι στο διανυσματικό χώρο είναι ανεξάρτητοι μεταξύ τους, μπορούμε να λάβουμε την ακόλουθη σχέση:

Για την ακριβέστερη ταξινόμηση κειμένων των οποίων τα χαρακτηριστικά είναι παρόμοια (για παράδειγμα, για να γίνει διάκριση μεταξύ πορνογραφίας και μυθοπλασίας που περιγράφει ερωτικές σκηνές), θα πρέπει να εισαχθούν συντελεστές στάθμισης:

Αν kn=k; αν το kn είναι μικρότερο του k, kn.=1/|k|. Εδώ M είναι η συχνότητα όλων των όρων στη βάση δεδομένων του δείγματος, L είναι ο αριθμός όλων των δειγμάτων.

9. Οδηγίες για τη βελτίωση των αλγορίθμων

Στο μέλλον, σχεδιάζεται να αναπτυχθεί ένας αλγόριθμος για την ανάλυση συνδέσμων με σκοπό την ανίχνευση της εισαγωγής κακόβουλου κώδικα στον κώδικα μιας ιστοσελίδας και τη σύγκριση του ταξινομητή Bayes με το μηχάνημα διανυσμάτων υποστήριξης.

10. Συμπεράσματα

Πραγματοποιήθηκε ανάλυση του προβλήματος του περιορισμού της πρόσβασης σε πόρους Ιστού στα εκπαιδευτικά συστήματα. Οι βασικές αρχές φιλτραρίσματος μη στοχευόμενων πόρων σε διακομιστές μεσολάβησης επιλέχθηκαν με βάση τον σχηματισμό και τη χρήση των τρεχουσών λιστών περιορισμού πρόσβασης. Έχει αναπτυχθεί ένας αλγόριθμος για τον περιορισμό της πρόσβασης σε ανεπιθύμητους πόρους χρησιμοποιώντας λίστες, ο οποίος καθιστά δυνατή τη δυναμική δημιουργία και ενημέρωση λιστών πρόσβασης σε IR βάσει ανάλυσης του περιεχομένου τους, λαμβάνοντας υπόψη τη συχνότητα των επισκέψεων και τον πληθυσμό των χρηστών. Για τον εντοπισμό ανεπιθύμητου περιεχομένου, έχει αναπτυχθεί ένας αλγόριθμος που βασίζεται σε έναν απλό ταξινομητή Bayes.

Κατάλογος πηγών

1. Winter V. M. Security of global τεχνολογίες δικτύου/ V. Zima, A. Moldovyan, N. Moldovyan. - 2η έκδ. - Αγία Πετρούπολη: BHV-Petersburg, 2003. - 362 p.
2. Vorotnitsky Yu. I. Προστασία από την πρόσβαση σε ανεπιθύμητους εξωτερικούς πόρους πληροφοριών σε επιστημονικούς και εκπαιδευτικούς τομείς δίκτυα υπολογιστών/ Yu. I. Vorotnitsky, Xie Jinbao // Ματ. XIV Int. συνδ. "Ολοκληρωμένη προστασία πληροφοριών." - Mogilev, 2009. - σελ. 70-71.

Οι καλύτερες υπηρεσίες ιστού με τις οποίες μπορείτε να εξετάσετε τοποθεσίες για τρωτά σημεία. Η HP εκτιμά ότι το 80% όλων των ευπαθειών προκαλούνται από λανθασμένες ρυθμίσεις διακομιστή ιστού, χρήση απαρχαιωμένου λογισμικού ή άλλα προβλήματα που θα μπορούσαν εύκολα να αποφευχθούν.

Οι υπηρεσίες στην ανασκόπηση βοηθούν στον εντοπισμό τέτοιων καταστάσεων. Συνήθως, οι σαρωτές ελέγχουν μια βάση δεδομένων με γνωστά τρωτά σημεία. Μερικά από αυτά είναι αρκετά απλά και μόνο ελέγχου ανοιχτές θύρες, ενώ άλλοι εργάζονται πιο προσεκτικά και προσπαθούν ακόμη και να εκτελέσουν ένεση SQL.

WebSAINT

Το SAINT είναι ένας πολύ γνωστός σαρωτής ευπάθειας, βάσει του οποίου κατασκευάζονται οι υπηρεσίες Web WebSAINT και WebSAINT Pro. Ως εγκεκριμένος προμηθευτής σάρωσης, η υπηρεσία πραγματοποιεί σάρωση ASV ιστότοπων οργανισμών για τους οποίους αυτό απαιτείται σύμφωνα με τους όρους της πιστοποίησης PCI DSS. Μπορεί να λειτουργεί σύμφωνα με ένα χρονοδιάγραμμα και να διεξάγει περιοδικούς ελέγχους και δημιουργεί διάφορες αναφορές με βάση τα αποτελέσματα σάρωσης. Το WebSAINT σαρώνει τις θύρες TCP και UDP σε καθορισμένες διευθύνσεις στο δίκτυο του χρήστη. Η "επαγγελματική" έκδοση προσθέτει pentests και σάρωση εφαρμογών web και προσαρμοσμένες αναφορές.

ImmuniWeb

Η υπηρεσία ImmuniWeb από την High-Tech Bridge χρησιμοποιεί μια ελαφρώς διαφορετική προσέγγιση στη σάρωση: εκτός από την αυτόματη σάρωση, προσφέρει επίσης χειροκίνητα pentest. Η διαδικασία ξεκινά την ώρα που καθορίζεται από τον πελάτη και διαρκεί έως και 12 ώρες. Η αναφορά εξετάζεται από τους υπαλλήλους της εταιρείας πριν σταλεί στον πελάτη. Καθορίζει τουλάχιστον τρεις τρόπους για την εξάλειψη κάθε εντοπισμένης ευπάθειας, συμπεριλαμβανομένων των επιλογών για την αλλαγή του πηγαίου κώδικα της εφαρμογής Ιστού, την αλλαγή των κανόνων του τείχους προστασίας και την εγκατάσταση μιας ενημέρωσης κώδικα.

Πρέπει να πληρώσετε περισσότερα για την ανθρώπινη εργασία παρά για αυτόματο έλεγχο. Μια πλήρης σάρωση με ImmuniWeb pentests κοστίζει 639 $.

BeyondSaaS

Το BeyondSaaS της BeyondTrust θα κοστίσει ακόμη περισσότερο. Στους πελάτες προσφέρεται μια συνδρομή για $3.500, μετά την οποία μπορούν να πραγματοποιήσουν απεριόριστο αριθμό ελέγχων καθ 'όλη τη διάρκεια του έτους. Μια εφάπαξ σάρωση κοστίζει 700 $. Οι ιστότοποι ελέγχονται για ενέσεις SQL, ευπάθειες XSS, CSRF και λειτουργικού συστήματος. Οι προγραμματιστές δηλώνουν ότι η πιθανότητα ψευδών θετικών δεν είναι μεγαλύτερη από 1%, και στις αναφορές υποδεικνύουν επίσης επιλογές για τη διόρθωση προβλημάτων.

Το BeyondTrust προσφέρει άλλα εργαλεία σάρωσης ευπάθειας, συμπεριλαμβανομένης της δωρεάν κοινότητας δικτύου Retina, η οποία περιορίζεται σε 256 διευθύνσεις IP.

Dell Secure Works

Το Dell Secure Works είναι ίσως ο πιο προηγμένος από τους σαρωτές Ιστού που εξετάστηκαν. Λειτουργεί με τεχνολογία QualysGuard Vulnerability Management και ελέγχει τους διακομιστές Ιστού, συσκευές δικτύου, διακομιστές εφαρμογών και DBMS τόσο εντός του εταιρικού δικτύου όσο και στο cloud hosting. Η υπηρεσία Ιστού συμμορφώνεται με τις απαιτήσεις PCI, HIPAA, GLBA και NERC CIP.