اسکن برای امنیت منابع وب نحوه محافظت از یک برنامه وب: نکات اساسی، ابزارها، پیوندهای مفید. ادعای تازگی علمی

نشان داد که بیش از 70 درصد از وب سایت های اسکن شده به یک یا چند آسیب پذیری آلوده بودند.

به عنوان صاحب برنامه وب، چگونه از محافظت سایت خود در برابر تهدیدات آنلاین اطمینان می دهید؟ یا از نشت اطلاعات محرمانه؟

اگر از راه حل امنیتی مبتنی بر ابر استفاده می کنید، اسکن منظم آسیب پذیری احتمالاً بخشی از برنامه امنیتی شما است.

با این حال، اگر نه، باید یک اسکن معمولی انجام دهید و اقدام کنید اقدامات لازمبرای کاهش خطرات

دو نوع اسکنر وجود دارد.

1-تجاری - به شما توانایی خودکارسازی اسکن برای امنیت مداوم، گزارش، هشدارها، دستورالعمل های دقیقدر مورد کاهش ریسک و غیره برخی از نام های معروف در این صنعت عبارتند از:

آکونتیکس
شناسایی کنید
کیفیت

منبع باز/رایگان - می توانید بررسی های امنیتی را در صورت تقاضا دانلود و اجرا کنید.

همه آنها نمی توانند طیف وسیعی از آسیب پذیری ها مانند آسیب پذیری تجاری را پوشش دهند.

بیایید نگاهی به اسکنرهای آسیب پذیری منبع باز زیر بیاندازیم.

1. آراچنی

Arachni یک اسکنر امنیتی با کارایی بالا است که بر روی Ruby برای برنامه های کاربردی وب مدرن ساخته شده است.

این در قالب باینری برای مک، ویندوز و لینوکس در دسترس است.

نه تنها راه حلی برای یک وب سایت استاتیک یا CMS پایه است، بلکه Arachni همچنین قادر به ادغام با پلتفرم های زیر است.

چک های فعال و غیرفعال را انجام می دهد.

ویندوز، سولاریس، لینوکس، بی‌اس‌دی، یونیکس
Nginx، Apache، Tomcat، IIS، Jetty
جاوا، روبی، پایتون، ASP، PHP
Django، Rails، CherryPy، CakePHP، ASP.NET MVC، Symfony

برخی از آسیب پذیری های کشف شده:

NoSQL / Blind / SQL / Code / LDAP / Command / XPath injection
درخواست جعل اسکریپت متقابل سایت
مسیر دور زدن
از جمله فایل محلی / راه دور
تقسیم پاسخ
اسکریپت بین سایتی
تغییر مسیرهای DOM تعریف نشده
افشای کد منبع

2. XssPy

اسکنر آسیب پذیری XSS (Cross Site Scripting) مبتنی بر پایتون توسط بسیاری از سازمان ها از جمله مایکروسافت، استنفورد، موتورولا، انفورماتیکا و غیره استفاده می شود.

XssPy توسط Faizan Ahmad یک ابزار هوشمند است. به جای اینکه فقط صفحه اصلی یا صفحه را بررسی کند، کل پیوند را در وب سایت ها بررسی می کند.

XssPy همچنین ساب دامنه را بررسی می کند.

3. w3af

w3af، یک پروژه منبع باز که در اواخر سال 2006 آغاز شد، بر پایه پایتون است و برای سیستم عامل لینوکس و ویندوز در دسترس است. w3af قادر به شناسایی بیش از 200 آسیب پذیری از جمله OWASP 10 برتر است.

از روش های مختلف ثبت گزارش برای گزارش پشتیبانی می کند.مثال:

CSV
HTML
کنسول
متن
XML
پست الکترونیک نشانی

این بر اساس معماری پلاگین ساخته شده است و می توانید تمام پلاگین های موجود را بررسی کنید.

4. نیکتو

یک پروژه منبع باز که توسط Netsparker حمایت می شود، هدف آن یافتن پیکربندی نادرست وب سرور، افزونه ها و آسیب پذیری ها در اینترنت است.

5. Wfuzz

Wfuzz (Web Fuzzer) یک ابزار ارزیابی کاربرد برای تست نفوذ است.

می‌توانید داده‌های موجود در درخواست HTTP را برای هر فیلدی برای استفاده از برنامه وب و تأیید اعتبار آن، خرد کنید.

Wfuzz به پایتون روی رایانه‌ای که می‌خواهید اسکن را روی آن اجرا کنید، نیاز دارد.

6. OWASP ZAP

ZAP (Zet Attack Proxy) یکی از ابزارهای معروف تست نفوذ است که به طور فعال توسط صدها داوطلب در سراسر جهان به روز می شود.

این یک ابزار جاوا بین پلتفرمی است که حتی می تواند روی Raspberry Pi اجرا شود.

ZIP بین مرورگر و برنامه وب قرار می گیرد تا پیام ها را رهگیری و تأیید کند.

برخی از ویژگی های ZAP زیر قابل ذکر است.

Fuzzer
اسکنر اتوماتیک و غیرفعال
پشتیبانی از چندین زبان برنامه نویسی
نمای اجباری

7. واپیتی

Wapiti صفحات وب یک هدف مشخص را می خزد و به دنبال اسکریپت ها و فرم های ورود داده می گردد تا ببیند آیا آسیب پذیر است یا خیر.

این یک بررسی امنیتی کد منبع نیست، بلکه یک بررسی جعبه سیاه است.

از روش های HTTP GET و POST، پروکسی های HTTP و HTTPS، احراز هویت چندگانه و غیره پشتیبانی می کند.

8. وگا

Vega توسط Subgraph توسعه داده شده است، یک نرم افزار چند پلتفرمی که به زبان جاوا نوشته شده است تا XSS، SQLi، RFI و بسیاری از آسیب پذیری های دیگر را پیدا کند.

وگا راحت شد رابط کاربری گرافیکیو قادر به انجام اسکن خودکار با ورود به برنامه با اعتبار داده شده است.

اگر یک توسعه دهنده هستید، می توانید از vega API برای ایجاد ماژول های حمله جدید استفاده کنید.

9. SQLmap

همانطور که از نام آن حدس می زنید، با استفاده از آن می توانید تست نفوذ را روی یک پایگاه داده انجام دهید تا نقص ها را پیدا کنید.

با پایتون 2.6 یا 2.7 روی هر سیستم عاملی کار می کند. اگر بخواهید، sqlmap بیشتر از همیشه مفید خواهد بود.

10. گربر

این ابزار کوچک مبتنی بر پایتون چند کار را به خوبی انجام می دهد.

برخی از ویژگی های Grabber:

تحلیلگر کد منبع جاوا اسکریپت
اسکریپت بین سایتی، تزریق SQL، تزریق SQL کور
تست برنامه های PHP با استفاده از PHP-SAT

11. گلیسمرو

چارچوبی برای مدیریت و اجرای برخی از ابزارهای امنیتی محبوب مانند Wfuzz، DNS recon، sqlmap، OpenVas، تحلیلگر ربات و غیره).

Golismero می تواند نظرات سایر ابزارها را ادغام کند و یک نتیجه را نشان دهد.

12. OWASP Xenotix XSS

Xenotix XSS OWASP یک چارچوب پیشرفته برای جستجو و بهره برداری از اسکریپت بین سایتی است.

دارای سه فیوز هوشمند داخلی برای اسکن سریع و نتایج بهبود یافته است.

13. متاسکن

اسکنر برای جستجوی آسیب پذیری های برنامه وب از توسعه دهندگان داخلی

دسته بندی: .

نویسنده: ماکسادخان یاکوبوف، بوگدان شکلیاروفسکی.

در این مقاله مشکلات مدیریت منابع وب و همچنین روش ها، روش ها و توصیه هایی برای مدیریت ایمن و محافظت در برابر هک و حملات سایبری مورد بحث قرار می گیرد.

اولین قدم در طراحی، ایجاد یا راه اندازی یک وب سایت امن این است که اطمینان حاصل شود که سرور میزبان آن تا حد امکان ایمن است.

جزء اصلی هر وب سرور سیستم عامل است. اطمینان از ایمنی آن نسبتاً ساده است: فقط آن را به موقع نصب کنید آخرین به روزرسانی هاسیستم های امنیتی.

شایان ذکر است که هکرها همچنین تمایل دارند حملات خود را با استفاده از بدافزارهایی که یکی پس از دیگری از سرورها عبور می کنند، خودکار کنند، و به دنبال سروری می گردند که در آن به روز رسانی قدیمی باشد یا نصب نشده باشد. بنابراین، توصیه می شود از نصب سریع و صحیح به روز رسانی ها اطمینان حاصل کنید. هر سروری که نسخه‌های قدیمی به‌روزرسانی‌ها را نصب کرده باشد ممکن است مورد حمله قرار گیرد.

همچنین باید تمام نرم افزارهای در حال اجرا در وب سرور را به موقع به روز کنید. هر نرم افزار غیر مرتبط با اجزای لازم(به عنوان مثال، یک سرور DNS یا ابزارهای مدیریت از راه دور مانند VNC یا خدمات دسکتاپ از راه دور) باید غیرفعال یا حذف شوند. اگر به ابزارهای مدیریت از راه دور نیاز است، مراقب باشید از رمزهای عبور پیش‌فرض یا گذرواژه‌هایی که به راحتی قابل حدس زدن هستند استفاده نکنید. این یادداشت نه تنها برای ابزارهای مدیریت از راه دور، بلکه برای حساب‌های کاربری، روترها و سوئیچ‌ها نیز کاربرد دارد.

بعد نکته مهمنرم افزار آنتی ویروس است استفاده از آن برای هر منبع وب، صرف نظر از اینکه به عنوان پلتفرم ویندوز یا یونیکس استفاده می شود، الزامی است. هنگامی که با یک فایروال انعطاف پذیر ترکیب می شود، نرم افزار آنتی ویروس به یکی از بهترین ها تبدیل می شود راه های موثرمحافظت در برابر حملات سایبری هنگامی که یک وب سرور هدف حمله قرار می گیرد، مهاجم بلافاصله سعی می کند ابزارهای هک یا نرم افزارهای مخرب را دانلود کند تا از آسیب پذیری های امنیتی سوء استفاده کند. در غیاب نرم افزار ضد ویروس با کیفیت بالا، یک آسیب پذیری امنیتی می تواند برای مدت طولانی شناسایی نشده و منجر به عواقب نامطلوب شود.

بیشترین بهترین گزینههنگام حفاظت از منابع اطلاعاتی، یک رویکرد چند سطحی وجود دارد. در قسمت جلویی دیوار آتش و سیستم عامل قرار دارند. آنتی ویروس پشت آنها آماده است تا هر شکافی را که ایجاد می شود پر کند.

بر اساس پارامترها سیستم عاملو عملکرد وب سرور، تکنیک های کلی زیر را برای محافظت در برابر حملات سایبری می توان ذکر کرد:

• قطعات غیر ضروری را نصب نکنید. هر جزء یک تهدید جداگانه را به همراه دارد. هر چه تعداد آنها بیشتر باشد، ریسک کل بیشتر می شود.
• سیستم عامل و برنامه های خود را با به روز رسانی های امنیتی به روز نگه دارید.
• از آنتی ویروس استفاده کنید، آن را روشن کنید نصب اتوماتیکبه روز رسانی می شود و مرتباً بررسی کنید که آنها به درستی نصب شده باشند.

برخی از این وظایف ممکن است دشوار به نظر برسند، اما به یاد داشته باشید که برای حمله فقط به یک حفره امنیتی نیاز است. خطرات بالقوه در این مورد شامل سرقت داده ها و ترافیک، قرار گرفتن در لیست سیاه آدرس IP سرور، آسیب به اعتبار سازمان و بی ثباتی وب سایت است.

با توجه به درجه بحرانی بودن آسیب پذیری ها، به عنوان یک قاعده، 5 سطح وجود دارد که وضعیت آسیب پذیری را تعیین می کند. این لحظهیک منبع وب وجود دارد (جدول 1). به طور معمول، مهاجمان بر اساس اهداف و شایستگی‌های خود، سعی می‌کنند جای پای خود را در منابع هک شده به دست آورند و حضور خود را پنهان کنند.

هک سایت را همیشه نمی توان با علائم خارجی تشخیص داد (تغییر مسیر تلفن همراه، لینک های هرزنامه در صفحات، بنرهای دیگران، تغییر چهره و غیره). اگر سایت در معرض خطر باشد، ممکن است این علائم خارجی وجود نداشته باشد. این منبع می تواند به طور معمول بدون وقفه، خطا یا قرار گرفتن در لیست سیاه آنتی ویروس کار کند. اما این بدان معنا نیست که سایت امن است. مشکل اینجاست که تشخیص هک و دانلود اسکریپت های هکر بدون انجام ممیزی امنیتی دشوار است و پوسته های وب، درهای پشتی و سایر ابزارهای هکر می توانند برای مدت طولانی در هاست باقی بمانند و برای آنها مورد استفاده قرار نگیرند. منظور. اما یک روز لحظه ای فرا می رسد که آنها به شدت توسط یک مهاجم مورد سوء استفاده قرار می گیرند و در نتیجه برای صاحب سایت مشکلاتی ایجاد می شود. برای هرزنامه یا ارسال صفحات فیشینگ، سایت در هاست مسدود می شود (یا بخشی از عملکرد غیرفعال است) و ظاهر شدن تغییر مسیرها یا ویروس ها در صفحات مملو از ممنوعیت آنتی ویروس ها و تحریم ها است. موتورهای جستجو. در چنین حالتی، لازم است فوراً سایت را "درمان" کنید و سپس محافظت در برابر هک را نصب کنید تا طرح تکرار نشود. اغلب، آنتی ویروس های استاندارد برخی از انواع تروجان ها و پوسته های وب را نمی شناسند؛ دلیل این امر ممکن است به روز رسانی های نابهنگام یا نرم افزارهای قدیمی باشد. هنگام بررسی یک منبع وب برای ویروس ها و اسکریپت ها، باید از آن استفاده کنید برنامه های آنتی ویروسبا تخصص های مختلف، در این مورد تروجانی که توسط یک آنتی ویروس یافت نمی شود، می تواند توسط آنتی ویروس دیگری شناسایی شود. شکل 1 نمونه ای از گزارش اسکن نرم افزار آنتی ویروس را نشان می دهد و توجه به این واقعیت مهم است که سایر برنامه های آنتی ویروس قادر به شناسایی بدافزار نیستند.

تروجان هایی مانند "PHP/Phishing.Agent.B"، "Linux/Roopre.E.Gen"، "PHP/Kryptik.AE" توسط مهاجمان استفاده می شود. کنترل از راه دورکامپیوتر. چنین برنامه هایی اغلب از طریق وارد یک وب سایت می شوند پست الکترونیک، نرم افزار رایگان، سایر وب سایت ها یا اتاق گفتگو. اغلب اوقات، چنین برنامه ای به عنوان یک فایل مفید عمل می کند. با این حال، این یک تروجان مخرب است که اطلاعات شخصی کاربران را جمع آوری و به مهاجمان منتقل می کند. علاوه بر این، می تواند به طور خودکار به وب سایت های خاصی متصل شود و انواع دیگر بدافزارها را بر روی سیستم دانلود کند. برای جلوگیری از شناسایی و حذف، "Linux/Roopre.E.Gen" ممکن است ویژگی های امنیتی را غیرفعال کند. این برنامه تروجان با استفاده از فناوری روت کیت توسعه یافته است که به آن اجازه می دهد در داخل سیستم پنهان شود.

• "PHP/WebShell.NCL" یک برنامه اسب تروا است که می تواند عملکردهای مختلفی مانند حذف را انجام دهد فایل های سیستمی، بارگذاری بد افزار، اجزای موجود یا اطلاعات شخصی بارگیری شده و سایر داده ها را پنهان کنید. این برنامه می تواند اسکن عمومی آنتی ویروس را دور بزند و بدون اطلاع کاربر وارد سیستم شود. این برنامهقادر به نصب یک درب پشتی برای کاربران از راه دور است تا کنترل یک وب سایت آلوده را در دست بگیرند. با استفاده از این برنامه، مهاجم می تواند از یک کاربر جاسوسی کند، فایل ها را مدیریت کند، نرم افزار اضافی نصب کند و کل سیستم را کنترل کند.
• "JS/TrojanDownloader.FakejQuery. آ" - یک برنامه تروجان، که اهداف اصلی آن سایت هایی هستند که با استفاده از CMS "WordPress" و "Joomla" توسعه یافته اند. هنگامی که یک مهاجم یک وب سایت را هک می کند، اسکریپتی را اجرا می کند که نصب افزونه های وردپرس یا جوملا را شبیه سازی می کند و سپس کدهای مخرب جاوا اسکریپت را به فایل header.php تزریق می کند.
• "PHP/small.NBK" - یک برنامه مخرب است که به هکرها امکان دسترسی از راه دور را می دهد سیستم کامپیوتری، به آنها اجازه می دهد فایل ها را تغییر دهند، اطلاعات شخصی را سرقت کنند و نرم افزارهای مخرب بیشتری نصب کنند. این نوع تهدیدات که اسب های تروجان نامیده می شوند معمولا توسط یک مهاجم دانلود یا توسط برنامه دیگری دانلود می شوند. همچنین ممکن است به دلیل نصب برنامه های آلوده یا بازی های آنلاین و همچنین هنگام بازدید از سایت های آلوده ظاهر شوند.

متأسفانه، اسکریپت های هکر توسط علائم خارجی یا اسکنرهای خارجی شناسایی نمی شوند. بنابراین، نه آنتی ویروس های موتور جستجو و نه نرم افزار آنتی ویروس نصب شده بر روی رایانه وب مستر مشکلات امنیتی سایت را گزارش نمی کنند. اگر اسکریپت ها در جایی از فهرست های سیستم سایت قرار داشته باشند (نه در ریشه یا تصاویر) یا به اسکریپت های موجود تزریق شوند، به طور تصادفی مورد توجه قرار نخواهند گرفت.

شکل 1. نمونه ای از گزارش اسکن نرم افزار آنتی ویروس

بنابراین، توصیه های زیر ممکن است اقدامات لازم برای محافظت از منابع وب باشد:

1. منظم پشتیبان گیریتمام مطالب سیستم فایل، پایگاه های داده و گزارش رویدادها (فایل های لاگ).
2. به روز رسانی منظم سیستم مدیریت محتوا به آخرین نسخه پایدار CMS (سیستم مدیریت محتوا).
3. استفاده از رمزهای عبور پیچیده الزامات رمز عبور: رمز عبور باید حداقل دارای هشت کاراکتر باشد و هنگام ایجاد رمز عبور باید از حروف بزرگ و کوچک و همچنین کاراکترهای خاص استفاده شود.
4. استفاده از افزونه ها یا افزونه های امنیتی برای جلوگیری از حملاتی مانند حمله XSS یا تزریق SQL الزامی است.
5. استفاده و نصب افزونه‌ها (افزونه‌ها، قالب‌ها یا افزونه‌ها) فقط باید از منابع معتبر یا وب‌سایت‌های رسمی توسعه‌دهندگان انجام شود.
6. اسکن فایل سیستم حداقل هفته ای یکبار با برنامه های ضد ویروس و استفاده از امضاهای به روز پایگاه داده.
7. استفاده از مکانیسم CAPTCHA را برای محافظت از وب سایت در برابر هک شدن توسط گذرواژه های بی رحمانه در هنگام مجوز و وارد کردن داده ها در هر فرم درخواستی (فرم) فراهم کنید. بازخورد، جستجو و غیره).
8. توانایی ورود را محدود کنید پنل اداریکنترل وب سایت پس از تعداد معینی از تلاش های ناموفق.
9. سیاست امنیتی وب سایت را از طریق فایل پیکربندی وب سرور با در نظر گرفتن پارامترهایی مانند:

• محدود کردن تعداد آدرس های IP مورد استفاده توسط مدیر برای دسترسی به کنترل پنل مدیریتی وب سایت به منظور جلوگیری از دسترسی آدرس های IP غیرمجاز به آن؛
• برای جلوگیری از حملات XSS، از انتقال هرگونه برچسب به هر وسیله ای غیر از قالب بندی متن (به عنوان مثال p b i u) جلوگیری کنید.

1. انتقال فایل های حاوی اطلاعات دسترسی به پایگاه داده، دسترسی به FTP و غیره از دایرکتوری های پیش فرض به دیگران و سپس تغییر نام این فایل ها.

حتی برای یک هکر با تجربه کمتر، هک کردن یک وب سایت جوملا در صورت عدم محافظت بسیار آسان است. اما، متأسفانه، مدیران وب‌سایت‌ها اغلب محافظت از سایت خود را در برابر هک شدن به زمان دیگری موکول می‌کنند و آن را یک موضوع غیر ضروری می‌دانند. بازگرداندن دسترسی به سایت شما زمان و تلاش بسیار بیشتری نسبت به اقدامات لازم برای محافظت از آن خواهد داشت. امنیت یک منبع وب نه تنها وظیفه توسعه دهنده و میزبان است که موظف است حداکثر امنیت سرورها را تضمین کند، بلکه وظیفه مدیر سایت نیز می باشد.

معرفی

که در کسب و کار مدرنفن آوری های وب محبوبیت زیادی به دست آورده اند. اکثر سایت ها شرکت های بزرگمجموعه‌ای از برنامه‌های کاربردی هستند که دارای تعامل، ابزار شخصی‌سازی و ابزار تعامل با مشتریان هستند (فروشگاه‌های آنلاین، راه دور خدمات بانکی) و اغلب - ابزار ادغام با برنامه های داخلی شرکت.

با این حال، هنگامی که یک وب سایت در اینترنت در دسترس قرار می گیرد، هدف حملات سایبری قرار می گیرد. اکثر به روشی سادهامروزه حملات به یک وب سایت برای سوء استفاده از آسیب پذیری اجزای آن است. و مشکل اصلی این است که آسیب پذیری ها در وب سایت های مدرن بسیار رایج شده اند.

آسیب پذیری ها یک تهدید قریب الوقوع و رو به رشد هستند. آنها در بیشتر موارد نتیجه نقص امنیتی در کد برنامه وب و پیکربندی نادرست اجزای وب سایت هستند.

بیایید چند آمار بدهیم. بر اساس داده‌های گزارش تهدیدات سایبری برای نیمه اول سال 2016 پل فناوری پیشرفته، روندهای امنیتی وب نیمه اول سال 2016 را منتشر می‌کند که توسط High-Tech Bridge تهیه شده است:

• بیش از 60 درصد از خدمات وب یا API برای برنامه های موبایلحاوی حداقل یک آسیب پذیری خطرناک است که اجازه می دهد پایگاه داده در معرض خطر قرار گیرد.
• 35 درصد از سایت های آسیب پذیر در برابر حملات XSS نیز در برابر تزریق SQL و حملات XXE آسیب پذیر هستند.
• 23% از سایت ها دارای آسیب پذیری POODLE هستند و تنها 0.43% - Heartbleed.
• موارد بهره برداری از آسیب پذیری های خطرناک (به عنوان مثال، اجازه تزریق SQL) در طول حملات RansomWeb 5 برابر شده است.
• 79.9% از سرورهای وب دارای هدرهای http نادرست یا ناامن هستند.
• به روز رسانی ها و اصلاحات مورد نیاز امروز تنها بر روی 27.8 درصد از سرورهای وب نصب شده است.

برای محافظت از منابع وب، متخصصان امنیت اطلاعاتاز مجموعه ای متفاوت از ابزارها استفاده کنید. به عنوان مثال، گواهی‌های SSL برای رمزگذاری ترافیک استفاده می‌شوند و یک فایروال برنامه کاربردی وب (WAF) در محیط وب سرورها نصب می‌شود که نیاز به پیکربندی جدی و خودآموزی طولانی دارد. یک وسیله به همان اندازه مؤثر برای تضمین امنیت وب سایت، بررسی دوره ای وضعیت امنیتی (جستجوی آسیب پذیری ها) است و ابزار انجام چنین بررسی هایی اسکنرهای امنیتی وب سایت هستند که به آنها نیز اشاره می شود. صحبت خواهیم کرددر این بررسی

وب سایت ما قبلاً یک بررسی اختصاص داده شده به اسکنرهای امنیتی برنامه های وب - "" داشت که محصولات رهبران بازار را بررسی می کرد. در این بررسی، دیگر به این موضوعات نمی پردازیم، بلکه به بررسی اسکنرهای امنیتی رایگان وب سایت می پردازیم.

موضوع نرم‌افزار آزاد به‌ویژه امروزه مرتبط است. با توجه به وضعیت ناپایدار اقتصادی در روسیه، بسیاری از سازمان ها (اعم از بخش تجاری و عمومی) در حال حاضر در حال بهینه سازی بودجه فناوری اطلاعات خود هستند و اغلب پول کافی برای خرید محصولات تجاری گران قیمت برای تجزیه و تحلیل امنیت سیستم وجود ندارد. در عین حال، بسیاری از ابزارهای رایگان (رایگان، منبع باز) برای جستجوی آسیب پذیری هایی وجود دارد که مردم به سادگی از آنها اطلاعی ندارند. علاوه بر این، برخی از آنها کم نیستند عملکردبه رقبای پولی خود. بنابراین، در این مقاله در مورد جالب ترین اسکنرهای امنیتی وب سایت رایگان صحبت خواهیم کرد.

اسکنرهای امنیتی وب سایت چیست؟

اسکنرهای امنیتی وب سایت ابزارهایی نرم افزاری (سخت افزاری و نرم افزاری) هستند که به دنبال نقص در برنامه های کاربردی وب (آسیب پذیری) می گردند که منجر به نقض یکپارچگی سیستم یا داده های کاربر، سرقت آنها یا به دست آوردن کنترل بر سیستم به عنوان یک کل می شود.

با استفاده از اسکنرهای امنیتی وب سایت، می توانید آسیب پذیری ها را در دسته های زیر شناسایی کنید:

• آسیب پذیری های مرحله کدگذاری؛
• آسیب پذیری در مرحله پیاده سازی و پیکربندی یک برنامه وب؛
• آسیب پذیری های مرحله عملیات وب سایت

آسیب‌پذیری‌ها در مرحله کدگذاری شامل آسیب‌پذیری‌های مرتبط با پردازش نادرست داده‌های ورودی و خروجی (تزریق SQL، XSS) است.

آسیب‌پذیری‌ها در مرحله پیاده‌سازی وب‌سایت شامل آسیب‌پذیری‌های مرتبط با تنظیمات نادرست محیط برنامه وب (سرور وب، سرور برنامه، SSL/TLS، چارچوب، مؤلفه‌های شخص ثالث، وجود حالت DEBUG و غیره) است.

آسیب‌پذیری‌های فاز عملیاتی یک وب‌سایت شامل آسیب‌پذیری‌های مرتبط با استفاده از نرم‌افزار قدیمی می‌شود. رمزهای عبور ساده، ذخیره کپی های بایگانی شده در یک وب سرور در دسترسی عمومی، در دسترس بودن ماژول های خدمات عمومی (phpinfo) و غیره.

نحوه عملکرد اسکنرهای امنیتی وب سایت

به طور کلی، اصل عملکرد یک اسکنر امنیتی وب سایت به شرح زیر است:

• جمع آوری اطلاعات در مورد شی مورد مطالعه.
• ممیزی نرم افزار وب سایت برای آسیب پذیری ها با استفاده از پایگاه های داده آسیب پذیری.
• شناسایی نقاط ضعف سیستم
• تشکیل توصیه هایی برای حذف آنها.

دسته بندی اسکنرهای امنیتی وب سایت

اسکنرهای امنیتی وب سایت بسته به هدف آنها را می توان به دسته های (انواع) زیر تقسیم کرد:

• اسکنرهای شبکه - این نوعاسکنرها خدمات شبکه موجود را نشان می دهند، نسخه های آنها را نصب می کنند، سیستم عامل را تعیین می کنند و غیره.
• اسکنر برای جستجوی آسیب‌پذیری‌ها در اسکریپت‌های وب- این نوع اسکنر آسیب پذیری هایی مانند SQL inj، XSS، LFI/RFI و غیره یا خطاها (فایل های موقت حذف نشده، فهرست بندی فهرست و غیره) را جستجو می کند.
• از Finders بهره برداری کنید- این نوع اسکنر برای جستجوی خودکار برای اکسپلویت ها در طراحی شده است نرم افزارو اسکریپت ها
• ابزارهای اتوماسیون تزریق- ابزارهایی که به طور خاص با جستجو و بهره برداری از تزریق سروکار دارند.
• اشکال زداها- ابزارهایی برای رفع خطاها و بهینه سازی کد در یک برنامه وب.

همچنین ابزارهای جهانی وجود دارد که شامل قابلیت های چندین دسته اسکنر به طور همزمان است.

در زیر مروری کوتاه بر اسکنرهای امنیتی وب سایت رایگان است. از آنجایی که ابزارهای رایگان زیادی وجود دارد، تنها محبوب ترین ابزارهای رایگان برای تجزیه و تحلیل امنیت فناوری های وب در بررسی گنجانده شده است. هنگام گنجاندن یک ابزار خاص در بررسی، منابع تخصصی در مورد امنیت فناوری وب مورد تجزیه و تحلیل قرار گرفتند:

مروری کوتاه بر اسکنرهای امنیتی رایگان وب سایت

اسکنرهای شبکه

Nmap

نوع اسکنر: اسکنر شبکه.

Nmap (Network Mapper) یک ابزار رایگان و منبع باز است. این برای اسکن شبکه ها با هر تعداد شی، تعیین وضعیت اشیاء شبکه اسکن شده و همچنین پورت ها و خدمات مربوط به آنها طراحی شده است. برای انجام این کار، Nmap از روش‌های مختلف اسکن استفاده می‌کند، مانند UDP، اتصال TCP، TCP SYN (نیمه باز)، پروکسی FTP (افتتاح ftp)، شناسه معکوس، ICMP (پینگ)، FIN، ACK، درخت کریسمس، SYN. و اسکن NULL.

Nmap همچنین از طیف گسترده ای از ویژگی های اضافی پشتیبانی می کند: تعیین سیستم عامل یک میزبان راه دور با استفاده از اثر انگشت پشته TCP/IP، اسکن "نامرئی"، محاسبه پویا تاخیر و ارسال مجدد بسته، اسکن موازی، شناسایی میزبان های غیرفعال با استفاده از نظرسنجی پینگ موازی. اسکن با استفاده از هاست های نادرست، تشخیص وجود فیلترهای بسته، اسکن مستقیم (بدون استفاده از پورت مپیپر) RPC، اسکن با استفاده از تقسیم IP و همچنین نشان دادن دلخواه آدرس های IP و شماره پورت شبکه های اسکن شده.

Nmap از مجلات و جوامعی مانند Linux Journal، Info World، LinuxQuestions.Org و Codetalker Digest وضعیت محصول امنیتی سال را دریافت کرده است.

پلتفرم: ابزار بین پلتفرمی است.

جزئیات بیشتر از اسکنر Nmapمی توان مشورت کرد.

ابزارهای IP

نوع اسکنر: اسکنر شبکه.

IP Tools یک تحلیلگر پروتکل است که از قوانین فیلتر، آداپتور فیلتر، رمزگشایی بسته ها، توضیحات پروتکل و موارد دیگر پشتیبانی می کند. اطلاعات دقیقهر بسته در یک درخت سبک قرار دارد، منوی راست کلیک به شما امکان می دهد آدرس IP انتخاب شده را اسکن کنید.

علاوه بر بسته sniffer، IP Tools مجموعه کاملی از ابزارهای شبکهاز جمله آداپتور آمار، نظارت بر ترافیک IP و موارد دیگر.

می توانید درباره اسکنر IP-Tools اطلاعات بیشتری کسب کنید.

ماهی پرش

اسکنر آسیب‌پذیری وب چند پلتفرمی Skipfish از برنامه‌نویس Michal Zalewski، تجزیه و تحلیل بازگشتی یک برنامه وب و بررسی مبتنی بر فرهنگ لغت آن را انجام می‌دهد، پس از آن یک نقشه سایت ایجاد می‌کند که حاوی نظراتی درباره آسیب‌پذیری‌های شناسایی‌شده است.

این ابزار به صورت داخلی توسط گوگل در حال توسعه است.

اسکنر تجزیه و تحلیل دقیق برنامه وب را انجام می دهد. همچنین امکان ایجاد فرهنگ لغت برای آزمایش بعدی همان برنامه وجود دارد. گزارش مفصل Skipfish حاوی اطلاعاتی در مورد آسیب پذیری های شناسایی شده، URL منبع حاوی آسیب پذیری و درخواست ارسال شده است. در گزارش، داده های به دست آمده بر اساس سطح شدت و نوع آسیب پذیری مرتب شده اند. گزارش با فرمت html تولید می شود.

شایان ذکر است که اسکنر آسیب‌پذیری وب Skipfish حجم بسیار زیادی ترافیک ایجاد می‌کند و اسکن زمان بسیار زیادی طول می‌کشد.

پلتفرم ها: MacOS، Linux، Windows.

می توانید درباره اسکنر Skipfish اطلاعات بیشتری کسب کنید.

واپیتی

نوع اسکنر: اسکنر برای جستجوی آسیب پذیری ها در اسکریپت های وب.

Wapiti یک ابزار کنسول برای ممیزی برنامه های کاربردی وب است. این بر اساس اصل "جعبه سیاه" کار می کند.

Wapiti به شرح زیر عمل می کند: ابتدا اسکنر WASS ساختار سایت را تجزیه و تحلیل می کند، اسکریپت های موجود را جستجو می کند و پارامترها را تجزیه و تحلیل می کند. Wapiti سپس fuzzer را روشن می کند و به اسکن ادامه می دهد تا زمانی که همه اسکریپت های آسیب پذیر پیدا شوند.

اسکنر Wapiti WASS با انواع آسیب پذیری های زیر کار می کند:

• افشای فایل (محلی و از راه دور شامل/نیاز، باز کردن، بازخوانی فایل).
• تزریق پایگاه داده (PHP/JSP/ASP SQL Injections و XPath Injection).
• تزریق XSS (Cross Site Scripting) (بازتابی و دائمی).
• تشخیص اجرای فرمان (eval()، system()، passtru()…).
• تزریق CRLF (تقسیم پاسخ HTTP، تثبیت جلسه...).
• تزریق XXE (XmleXternal Entity).
• استفاده از فایل های بالقوه خطرناک.
• پیکربندی‌های ضعیف htaccess که می‌توان آنها را دور زد.
• وجود فایل های پشتیبان که اطلاعات حساس را ارائه می دهند (افشای کد منبع).

Wapiti در ابزارهای توزیع لینوکس کالی گنجانده شده است. شما می توانید منابع را از SourceForge دانلود کنید و از آنها در هر توزیع مبتنی بر هسته لینوکس استفاده کنید. Wapiti از روش های درخواست HTTP GET و POST پشتیبانی می کند.

پلتفرم ها: ویندوز، یونیکس، مک او اس.

می توانید درباره اسکنر Wapiti اطلاعات بیشتری کسب کنید.

نسوس

اسکنر Nessus یک ابزار قدرتمند و قابل اعتماد است که متعلق به خانواده است اسکنرهای شبکه، به شما امکان می دهد آسیب پذیری ها را در خدمات شبکه ارائه شده توسط سیستم عامل ها، فایروال ها، روترهای فیلتر و سایر اجزای شبکه جستجو کنید. برای جستجوی آسیب پذیری ها، از آنها به عنوان استفاده می شود به معنی استانداردآزمایش و جمع آوری اطلاعات در مورد پیکربندی و عملکرد شبکه و وسایل خاص، شبیه سازی اقدامات یک مهاجم برای نفوذ به سیستم های متصل به شبکه است.

می توانید درباره اسکنر Nessus اطلاعات بیشتری کسب کنید.

bsqlbf-v2

نوع اسکنر: ابزار اتوماسیون تزریق.

bsqlbf-v2 یک اسکریپت نوشته شده در پرل است. Brute Forcer برای تزریق SQL کور. اسکنر با هر دو مقدار صحیح در URL و مقادیر رشته کار می کند.

پلتفرم‌ها: MS-SQL، MySQL، PostgreSQL، Oracle.

می توانید درباره اسکنر bsqlbf-v2 اطلاعات بیشتری کسب کنید.

اشکال زداها

سوئیت آروغ

نوع اسکنر: دیباگر

Burp Suite مجموعه‌ای از برنامه‌های نسبتا مستقل و چند پلتفرمی است که به زبان جاوا نوشته شده‌اند.

هسته این مجموعه ماژول Burp Proxy است که عملکردهای یک سرور پروکسی محلی را انجام می دهد. اجزای باقیمانده مجموعه عبارتند از Spider، Intruder، Repeater، Sequencer، Decoder و Comparer. همه مؤلفه ها در یک کل واحد به هم متصل شده اند به گونه ای که می توان داده ها را به هر بخشی از برنامه ارسال کرد، به عنوان مثال، از Proxy به Intruder برای انجام بررسی های مختلف در برنامه وب، از Intruder تا Repeater برای تجزیه و تحلیل دستی دقیق تر. هدرهای HTTP

پلتفرم ها: نرم افزارهای چند پلتفرمی.

می توانید درباره اسکنر Burp Suite اطلاعات بیشتری کسب کنید.

کمانچه نواز

نوع اسکنر: دیباگر

Fiddler یک پروکسی اشکال زدایی است که تمام ترافیک HTTP(S) را ثبت می کند. این ابزار به شما امکان می دهد این ترافیک را بررسی کنید، یک نقطه شکست تنظیم کنید و با داده های ورودی یا خروجی "بازی" کنید.

ویژگی های کاربردی Fiddler:

• امکان کنترل تمامی درخواست ها بیسکویت ها، پارامترهای منتقل شده توسط مرورگرهای اینترنت.
• عملکردی برای تغییر پاسخ سرور در حال پرواز.
• امکان دستکاری هدرها و درخواست ها.
• تابعی برای تغییر عرض کانال

پلتفرم ها: نرم افزارهای چند پلتفرمی.

می توانید درباره اسکنر Fiddler اطلاعات بیشتری کسب کنید.

N-Stalker Web Application Security Scanner X نسخه رایگان

نوع اسکنر: اسکنر برای جستجوی آسیب پذیری ها در اسکریپت های وب، ابزار جستجوی اکسپلویت.

یک ابزار موثر برای خدمات وب N-Stealth Security Scanner از N-Stalker است. این شرکت نسخه کامل تری از N-Stealth را به فروش می رساند، اما رایگان است نسخه آزمایشیبرای ارزیابی ساده کاملاً مناسب است. محصول پولی دارای بیش از 30 هزار تست امنیت وب سرور است، اما همچنین نسخه رایگانبیش از 16 هزار شکاف خاص، از جمله آسیب پذیری در سرورهای وب پرمصرف مانند Microsoft IIS و Apache را شناسایی می کند. به عنوان مثال، N-Stealth به دنبال اسکریپت های آسیب پذیر Common Gateway Interface (CGI) و Hypertext Preprocessor (PHP) می گردد و از حملات برای نفوذ استفاده می کند. SQL Server، سناریوهای متقابل سایت معمولی و شکاف های دیگر در وب سرورهای محبوب.

N-Stealth از HTTP و HTTP Secure (HTTPS - با استفاده از SSL) پشتیبانی می‌کند، آسیب‌پذیری‌ها را با فرهنگ لغت مشترک آسیب‌پذیری‌ها و مواجهه‌ها (CVE) و پایگاه داده Bugtraq مطابقت می‌دهد و گزارش‌های مناسبی تولید می‌کند. N-Stealth برای یافتن رایج ترین آسیب پذیری ها در وب سرورها استفاده می شود و به شناسایی محتمل ترین بردارهای حمله کمک می کند.

البته برای ارزیابی مطمئن تر از امنیت وب سایت یا اپلیکیشن ها، خرید نسخه پولی آن توصیه می شود.

می توانید درباره اسکنر N-Stealth اطلاعات بیشتری کسب کنید.

نتیجه گیری

آزمایش وب سایت ها برای شناسایی آسیب پذیری ها یک اقدام پیشگیرانه خوب است. در حال حاضر، بسیاری از اسکنرهای امنیتی وب سایت تجاری و رایگان در دسترس هستند. در عین حال، اسکنرها می توانند هم جهانی (راه حل های جامع) و هم تخصصی باشند و فقط برای شناسایی انواع خاصی از آسیب پذیری ها طراحی شوند.

برخی از اسکنرهای رایگان ابزارهای کاملا قدرتمندی هستند و عمق زیادی را نشان می دهند و کیفیت خوببررسی های وب سایت اما قبل از استفاده از ابزارهای رایگان برای تجزیه و تحلیل امنیت وب سایت ها، باید از کیفیت آنها اطمینان حاصل کنید. امروزه روش های زیادی برای این کار وجود دارد (به عنوان مثال، معیارهای ارزیابی اسکنر امنیتی برنامه های کاربردی وب، پروژه مشخصات اسکنر برنامه وب OWASP).

تنها راه حل های جامع می توانند کامل ترین تصویر را از امنیت یک زیرساخت خاص ارائه دهند. در برخی موارد بهتر است از چندین اسکنر امنیتی استفاده کنید.

1. هدف و مقاصد

هدف از کار توسعه الگوریتم هایی برای افزایش امنیت دسترسی به خارجی است منابع اطلاعاتاز شبکه‌های آموزشی شرکت‌ها، با در نظر گرفتن تهدیدات امنیتی مشخصه آن‌ها، و همچنین ویژگی‌های جمعیت کاربر، سیاست‌های امنیتی، راه‌حل‌های معماری، و پشتیبانی منابع.

بر اساس هدف، وظایف زیر در کار حل می شود:

1. انجام تحلیلی از تهدیدات اصلی امنیت اطلاعات در شبکه های آموزشی.

2. روشی برای محدود کردن دسترسی به منابع اطلاعاتی ناخواسته در شبکه های آموزشی ایجاد کنید.

3. الگوریتم هایی را توسعه دهید که به اسکن صفحات وب، جستجوی اتصالات مستقیم و دانلود فایل ها برای تجزیه و تحلیل بیشتر کدهای بالقوه مخرب در سایت ها اجازه می دهد.

4. یک الگوریتم برای شناسایی منابع اطلاعاتی ناخواسته در وب سایت ها ایجاد کنید.

2. مرتبط بودن موضوع

سیستم های آموزشی هوشمند مدرن مبتنی بر وب هستند و به کاربران خود امکان کار با آنها را می دهند انواع مختلفمنابع آموزشی محلی و از راه دور مسئله استفاده ایمنمنابع اطلاعاتی (IR) ارسال شده در اینترنت به طور فزاینده ای مرتبط می شوند. یکی از روش های مورد استفاده برای حل این مشکل، محدود کردن دسترسی به منابع اطلاعاتی ناخواسته است.

اپراتورهایی که دسترسی به اینترنت را به مؤسسات آموزشی ارائه می دهند، موظفند اطمینان حاصل کنند که دسترسی به اطلاعات ناخواسته محدود است. این محدودیت با فیلتر کردن توسط اپراتورها با استفاده از لیست هایی انجام می شود که به طور منظم طبق روال تعیین شده به روز می شوند. با این حال، با توجه به هدف و مخاطبان کاربران شبکه های آموزشی، توصیه می شود از یک سیستم خودآموز انعطاف پذیرتر استفاده کنید که به صورت پویا منابع ناخواسته را شناسایی کرده و از کاربران در برابر آنها محافظت کند.

به طور کلی، دسترسی به منابع ناخواسته تهدیدهای زیر را به همراه دارد: تبلیغ اقدامات غیرقانونی و غیراجتماعی، مانند: افراط گرایی سیاسی، تروریسم، اعتیاد به مواد مخدر، توزیع پورنوگرافی و سایر مطالب. منحرف کردن دانش آموزان از استفاده از شبکه های کامپیوتری برای اهداف آموزشی. مشکل دسترسی به اینترنت به دلیل بارگذاری بیش از حد کانال های خارجی با پهنای باند محدود. منابع ذکر شده در بالا اغلب برای تزریق بدافزار و تهدیدات مرتبط با آنها استفاده می شود.

سیستم های موجود برای محدود کردن دسترسی به منابع شبکه این توانایی را دارند که نه تنها بسته های جداگانه را برای مطابقت با محدودیت های مشخص شده، بلکه محتوای آنها - محتوای منتقل شده از طریق شبکه را نیز بررسی کنند. در حال حاضر، سیستم های فیلتر محتوا از روش های زیر برای فیلتر کردن محتوای وب استفاده می کنند: با نام DNS یا آدرس IP خاص، با کلمات کلیدی در محتوای وب و بر اساس نوع فایل. برای مسدود کردن دسترسی به یک وب سایت خاص یا گروهی از سایت ها، باید چندین URL را که حاوی محتوای نامناسب هستند مشخص کنید. فیلتر URL کنترل کاملی بر امنیت شبکه فراهم می کند. با این حال، نمی توان از قبل همه URL های نامناسب ممکن را پیش بینی کرد. علاوه بر این، برخی از وب سایت ها با محتوای مشکوک با URL کار نمی کنند، بلکه منحصراً با آدرس های IP کار می کنند.

یکی از راه های حل مشکل فیلتر کردن محتوای دریافتی از طریق پروتکل HTTP است. نقطه ضعف سیستم های فیلتر کننده محتوای موجود، استفاده از لیست های کنترل دسترسی ایجاد شده به صورت ایستا است. برای تکمیل آنها، توسعه دهندگان سیستم های فیلتر محتوای تجاری کارکنانی را استخدام می کنند که محتوا را به دسته ها تقسیم می کنند و رکوردها را در پایگاه داده رتبه بندی می کنند.

برای رفع کاستی‌های سیستم‌های فیلتر محتوای موجود برای شبکه‌های آموزشی، توسعه سیستم‌های فیلتر ترافیک وب با تعیین پویا دسته یک منبع وب بر اساس محتوای صفحات آن مرتبط است.

3. تازگی علمی درک شده

الگوریتمی برای محدود کردن دسترسی کاربران سیستم‌های یادگیری هوشمند به منابع ناخواسته در سایت‌های اینترنتی، بر اساس شکل‌گیری پویا فهرست‌های دسترسی به منابع اطلاعاتی از طریق طبقه‌بندی تاخیری آنها.

4. نتایج عملی برنامه ریزی شده

الگوریتم های توسعه یافته را می توان در سیستم هایی برای محدود کردن دسترسی به منابع ناخواسته در سیستم های یادگیری کامپیوتری هوشمند استفاده کرد.

5. بررسی تحقیق و توسعه

5.1 مروری بر تحقیق و توسعه در مورد موضوع در سطح جهانی

کار دانشمندان مشهوری مانند: H.H به مشکلات تضمین امنیت اطلاعات اختصاص دارد. بزروکوف، پ.د. زگزدا، ع.م. ایواشک، A.I. کوستوگریزوف، V.I. Kurbatov K. Lendver، D. McLean، A.A. مولداویان، ه.ا. Moldovyan، A.A. Malyuk، E.A. Derbin، R. Sandhu، J.M. Carroll و دیگران. در عین حال، علیرغم حجم بالای منابع متنی در شبکه های شرکتی و باز، در زمینه توسعه روش ها و سیستم های امنیت اطلاعات، تحقیقاتی با هدف تحلیل تهدیدات امنیتی و مطالعه محدود کردن دسترسی به منابع ناخواسته در آموزش کامپیوتر با دسترسی به وب انجام شد. .

در اوکراین، محقق برجسته در این زمینه V.V. Domarev است. . تحقیق پایان نامه او به مشکلات ایجاد سیستم های پیچیده امنیت اطلاعات اختصاص دارد. نویسنده کتاب: «ایمنی فناوری اطلاعات. روش‌شناسی ایجاد سیستم‌های حفاظتی»، «امنیت فناوری‌های اطلاعات». رویکرد سیستماتیک» و غیره، نویسنده بیش از 40 مقاله و نشریه علمی.

5.2 بررسی تحقیق و توسعه در مورد موضوع در سطح ملی

در دانشگاه فنی ملی دونتسک، توسعه مدل ها و روش هایی برای ایجاد یک سیستم امنیت اطلاعات شبکه شرکتی Khimka S.S با در نظر گرفتن معیارهای مختلف در این شرکت مشارکت داشت. . حفاظت از اطلاعات در سیستم های آموزشی توسط Yu.S. .

6. مشکلات محدودیت دسترسی به منابع وب در سیستم های آموزشی

توسعه فناوری اطلاعات در حال حاضر به ما این امکان را می دهد که در مورد دو جنبه از توصیف منابع صحبت کنیم: محتوای اینترنتی و زیرساخت دسترسی. زیرساخت دسترسی معمولاً به عنوان مجموعه ای از سخت افزار و نرم افزار، انتقال داده را در قالب بسته IP ارائه می دهد و محتوا به عنوان ترکیبی از فرم ارائه (مثلاً به عنوان دنباله ای از کاراکترها در یک رمزگذاری خاص) و محتوای (معناشناسی) اطلاعات تعریف می شود. در میان ویژگی های مشخصه چنین توصیفی، موارد زیر باید برجسته شود:

1. استقلال محتوا از زیرساخت دسترسی.

2. تغییرات کیفی و کمی مستمر در محتوا.

3. ظهور منابع اطلاعاتی تعاملی جدید ("مجلات زنده"، رسانه های اجتماعی، دایره المعارف های آزاد و غیره) که در آن کاربران مستقیماً در ایجاد محتوای آنلاین مشارکت دارند.

هنگام حل مشکلات کنترل دسترسی به منابع اطلاعاتی، مسائل مربوط به توسعه سیاست های امنیتی، که در رابطه با ویژگی های زیرساخت و محتوای شبکه حل می شود، از اهمیت بالایی برخوردار است. هر چه سطح توصیف مدل امنیت اطلاعات بالاتر باشد، کنترل دسترسی بیشتر بر معنایی منابع شبکه متمرکز می شود. بدیهی است که آدرس های MAC و IP (لینک و لایه شبکهتعامل) رابط های دستگاه شبکه را نمی توان به هیچ دسته ای از داده ها مرتبط کرد، زیرا آدرس یکسان می تواند نشان دهنده خدمات مختلف باشد. شماره پورت (لایه حمل و نقل)، به عنوان یک قاعده، ایده ای از نوع خدمات ارائه می دهد، اما اطلاعات ارائه شده توسط این سرویس را از نظر کیفی مشخص نمی کند. به عنوان مثال، طبقه بندی یک وب سایت خاص به یکی از مقوله های معنایی (رسانه، تجارت، سرگرمی و غیره) صرفاً بر اساس اطلاعات لایه انتقال امکان پذیر نیست. امنیت امنیت اطلاعاتدر سطح برنامه به مفهوم فیلتر محتوا نزدیک می شود، یعنی. کنترل دسترسی با در نظر گرفتن معنایی منابع شبکه. در نتیجه، هر چه سیستم کنترل دسترسی محتوا محورتر باشد، رویکرد متمایزتر در رابطه با دسته های مختلف کاربران و منابع اطلاعاتی با کمک آن قابل پیاده سازی است. به طور خاص، یک سیستم کنترل معنایی گرا می تواند به طور موثر دسترسی دانش آموزان در موسسات آموزشی را به منابعی که با فرآیند یادگیری ناسازگار است محدود کند.

گزینه های ممکن برای فرآیند به دست آوردن یک منبع وب در شکل 1 ارائه شده است

شکل 1 - فرآیند به دست آوردن یک منبع وب از طریق پروتکل HTTP

برای اطمینان از کنترل منعطف بر استفاده از منابع اینترنتی، لازم است خط مشی مناسبی برای استفاده از منابع توسط یک سازمان آموزشی در شرکت اپراتور معرفی شود. این سیاست می تواند به صورت دستی یا خودکار اجرا شود. پیاده سازی "دستی" به این معنی است که شرکت دارای کارکنان ویژه ای است که فعالیت کاربران مؤسسه آموزشی را در زمان واقعی یا با استفاده از گزارش های روترها، سرورهای پروکسی یا فایروال ها نظارت می کنند. چنین نظارتی مشکل ساز است زیرا به کار زیادی نیاز دارد. برای ارائه کنترل منعطف بر استفاده از منابع اینترنتی، شرکت باید ابزاری برای اجرای سیاست استفاده از منابع سازمان در اختیار مدیر قرار دهد. فیلتر محتوا این هدف را دنبال می کند. ماهیت آن در تجزیه اشیاء تبادل اطلاعات به اجزاء، تجزیه و تحلیل محتویات این مؤلفه ها، تعیین انطباق پارامترهای آنها با خط مشی پذیرفته شده برای استفاده از منابع اینترنتی و انجام اقدامات خاصی بر اساس نتایج چنین تحلیلی است. در مورد فیلتر کردن ترافیک وب، اهداف تبادل اطلاعات درخواست های وب، محتویات صفحات وب و فایل هایی است که بنا به درخواست کاربر منتقل می شوند.

کاربران سازمان آموزشی منحصراً از طریق سرور پروکسی به اینترنت دسترسی پیدا می کنند. هر بار که سعی می کنید به یک منبع خاص دسترسی پیدا کنید، سرور پروکسی بررسی می کند که آیا منبع در یک پایگاه داده خاص گنجانده شده است یا خیر. اگر چنین منبعی در پایگاه داده منابع ممنوعه قرار گیرد، دسترسی به آن مسدود می شود و پیام مربوطه به کاربر روی صفحه نمایش داده می شود.

اگر منبع درخواستی در پایگاه داده منابع ممنوعه نباشد، دسترسی به آن اعطا می شود، اما سابقه بازدید از این منبع در یک گزارش سرویس ویژه ثبت می شود. یک بار در روز (یا در فواصل دیگر)، سرور پروکسی لیستی از منابعی که بیشترین بازدید را دارند (به شکل لیستی از URL ها) تولید می کند و آن را برای کارشناسان ارسال می کند. کارشناسان (مدیران سیستم)، با استفاده از روش شناسی مناسب، فهرست منابع حاصل را بررسی کرده و ماهیت آنها را تعیین می کنند. اگر منبع ماهیت غیر هدف داشته باشد، متخصص آن را طبقه بندی می کند (منبع پورن، منبع بازی) و تغییری در پایگاه داده ایجاد می کند. پس از انجام تمامی تغییرات لازم، نسخه به روز شده پایگاه داده به صورت خودکار به تمامی سرورهای پراکسی متصل به سیستم ارسال می شود. طرح فیلتر برای منابع غیر هدف در سرورهای پراکسی در شکل نشان داده شده است. 2.

شکل 2 - اصول اولیه فیلتر کردن منابع غیر هدف در سرورهای پروکسی

مشکلات فیلتر کردن منابع غیر هدف در سرورهای پروکسی به شرح زیر است. با فیلتراسیون متمرکز، تجهیزات با عملکرد بالا واحد مرکزی مورد نیاز است، بزرگ توان عملیاتیکانال های ارتباطی در گره مرکزی، خرابی گره مرکزی منجر به شکست کامل کل سیستم فیلتراسیون می شود.

با فیلتر غیرمتمرکز "در میدان" به طور مستقیم در ایستگاه های کاری یا سرورهای سازمان، هزینه استقرار و پشتیبانی بالا است.

هنگام فیلتر کردن بر اساس آدرس در مرحله ارسال درخواست، هیچ واکنش پیشگیرانه ای نسبت به وجود محتوای ناخواسته و مشکلاتی در فیلتر کردن وب سایت های "نقاب دار" وجود ندارد.

هنگام فیلتر کردن بر اساس محتوا، پردازش حجم زیادی از اطلاعات هنگام دریافت هر منبع و پیچیدگی منابع پردازشی تهیه شده با استفاده از ابزارهایی مانند جاوا، فلش ضروری است.

7. امنیت اطلاعات منابع وب برای کاربران سیستم های یادگیری هوشمند

اجازه دهید امکان کنترل دسترسی به منابع اطلاعاتی را با استفاده از یک راه حل مشترک بر اساس اصل سلسله مراتبی یکپارچه سازی ابزارهای کنترل دسترسی به منابع اینترنتی در نظر بگیریم (شکل 3). محدود کردن دسترسی به IR ناخواسته از IOS را می توان از طریق ترکیبی از فناوری هایی مانند فایروال، استفاده از سرورهای پروکسی، تجزیه و تحلیل فعالیت های غیرعادی برای تشخیص نفوذ، محدودیت پهنای باند، فیلتر بر اساس تجزیه و تحلیل محتوا، فیلتر کردن بر اساس لیست های دسترسی به دست آورد. در این مورد، یکی از وظایف کلیدی، تشکیل و استفاده از لیست های محدودیت دسترسی به روز است.

فیلتر کردن منابع ناخواسته مطابق با جریان انجام می شود اسناد نظارتیبر اساس فهرست هایی که طبق روال تعیین شده منتشر شده است. محدودیت دسترسی به سایر منابع اطلاعاتی بر اساس معیارهای ویژه ای که توسط اپراتور شبکه آموزشی تدوین شده است انجام می شود.

دسترسی کاربر زیر فرکانس مشخص شده، حتی به یک منبع بالقوه ناخواسته، قابل قبول است. فقط منابع مورد تقاضا در معرض تجزیه و تحلیل و طبقه بندی قرار می گیرند، یعنی منابعی که تعداد درخواست های کاربر برای آنها از یک آستانه مشخص فراتر رفته است. اسکن و تجزیه و تحلیل مدتی پس از اینکه تعداد درخواست ها از مقدار آستانه فراتر رفت (در طول دوره حداقل بار در کانال های خارجی) انجام می شود.

این فقط صفحات وب منفرد نیستند که اسکن می شوند، بلکه تمام منابع مرتبط با آنها (با تجزیه و تحلیل پیوندهای موجود در صفحه) اسکن می شوند. در نتیجه، این رویکرد به شما امکان می دهد تا وجود پیوندهایی به بدافزار را در حین اسکن منابع تعیین کنید.

شکل 3- سلسله مراتب ابزارهای کنترل دسترسی به منابع اینترنتی

(انیمیشن، 24 فریم، 25 کیلوبایت)

طبقه بندی خودکار منابع در سرور شرکت مشتری - صاحب سیستم انجام می شود. زمان طبقه بندی با روش مورد استفاده تعیین می شود که مبتنی بر مفهوم طبقه بندی منابع تاخیری است. این فرض می‌کند که دسترسی کاربر زیر یک فرکانس مشخص، حتی به یک منبع بالقوه ناخواسته، قابل قبول است. این امر از طبقه بندی پرهزینه در حین پرواز جلوگیری می کند. فقط منابع مورد تقاضا در معرض تجزیه و تحلیل و طبقه‌بندی خودکار قرار می‌گیرند، یعنی منابعی که تعداد درخواست‌های کاربر برای آنها از یک آستانه مشخص فراتر رفته است. اسکن و تجزیه و تحلیل مدتی پس از اینکه تعداد درخواست ها از مقدار آستانه فراتر رفت (در طول دوره حداقل بار در کانال های خارجی) انجام می شود. این روش طرحی را برای ساخت پویا سه لیست پیاده‌سازی می‌کند: «سیاه» (ChSP)، «سفید» (BSP) و «خاکستری» (GSP). دسترسی به منابع موجود در لیست سیاه ممنوع است. لیست سفید حاوی منابع مجاز تایید شده است. لیست "خاکستری" حاوی منابعی است که حداقل یک بار مورد تقاضای کاربران بوده است، اما طبقه بندی نشده اند. تشکیل اولیه و تنظیم "دستی" بعدی لیست "سیاه" بر اساس اطلاعات رسمی در مورد آدرس منابع ممنوعه ارائه شده توسط ارگان دولتی مجاز انجام می شود. محتوای اولیه لیست "سفید" شامل منابعی است که برای استفاده توصیه می شود. هر درخواستی برای منبعی که در لیست سیاه نباشد پذیرفته می شود. اگر این منبع در لیست "سفید" نباشد، در لیست "خاکستری" قرار می گیرد، جایی که تعداد درخواست ها به این منبع ثبت می شود. اگر فرکانس درخواست ها از مقدار آستانه خاصی تجاوز کند، طبقه بندی خودکار منبع انجام می شود که بر اساس آن در لیست "سیاه" یا "سفید" قرار می گیرد.

8. الگوریتم های تعیین امنیت اطلاعات منابع وب برای کاربران سیستم های آموزشی هوشمند

الگوریتم محدودیت دسترسی محدودیت دسترسی به منابع ناخواسته در سایت های اینترنتی بر اساس تعریف زیر از مفهوم خطر دسترسی به IR ناخواسته در IOS است. خطر دسترسی به IR ناخواسته i-ام، طبقه بندی شده به عنوان k-امین کلاس IR، مقداری متناسب با ارزیابی تخصصی آسیب ناشی از IR ناخواسته یک نوع معین IOS یا هویت کاربر و تعداد دسترسی به این منبع برای یک دوره زمانی معین:

با قیاس با تعریف کلاسیک ریسک به عنوان حاصلضرب احتمال تحقق یک تهدید و هزینه خسارت ناشی از آن، این تعریف ریسک را به عنوان انتظار ریاضی از میزان آسیب احتمالی ناشی از دسترسی به یک IR ناخواسته تفسیر می کند. در این حالت، میزان آسیب مورد انتظار با میزان تأثیر IR بر شخصیت کاربران تعیین می شود که به نوبه خود با تعداد کاربرانی که این تأثیر را تجربه کرده اند، نسبت مستقیم دارد.

در فرآیند تجزیه و تحلیل هر منبع وب، از نقطه نظر مطلوب یا نامطلوب بودن دسترسی به آن، لازم است اجزای اصلی هر یک از صفحات آن در نظر گرفته شود: محتوا، یعنی متن و موارد دیگر (گرافیک، عکس، ویدئو) اطلاعات ارسال شده در این صفحه؛ محتوای ارسال شده در صفحات دیگر همان وب سایت (شما می توانید لینک های داخلی از محتوای صفحات بارگذاری شده توسط عبارات با قاعده) اتصال به سایت های دیگر (هر دو از نظر دانلود ممکن استویروس ها و تروجان ها) و از نقطه نظر وجود محتوای ناخواسته. الگوریتمی برای محدود کردن دسترسی به منابع ناخواسته با استفاده از لیست ها در شکل 1 نشان داده شده است. 4.

شکل 4 - الگوریتم محدود کردن دسترسی به منابع ناخواسته

الگوریتم شناسایی صفحات وب ناخواسته برای طبقه بندی محتوا - متون صفحه وب - حل مشکلات زیر ضروری است: تعیین دسته بندی طبقه بندی. استخراج اطلاعات از متون منبع که می تواند به طور خودکار تجزیه و تحلیل شود. ایجاد مجموعه ای از متون طبقه بندی شده؛ ساخت و آموزش یک طبقه بندی کننده که با مجموعه داده های به دست آمده کار می کند.

مجموعه آموزشی متون طبقه بندی شده تجزیه و تحلیل می شود و اصطلاحات را شناسایی می کند - رایج ترین شکل های کلمه به طور کلی و برای هر دسته بندی به طور جداگانه. هر متن مبدأ به عنوان یک بردار نمایش داده می شود که اجزای آن ویژگی های وقوع یک عبارت معین در متن است. به منظور جلوگیری از پراکندگی برداری و کاهش ابعاد آنها، توصیه می شود با استفاده از روش های تحلیل ریخت شناسی، فرم های کلمه را به شکل اولیه خود کاهش دهید. پس از این، بردار باید نرمال شود، که به ما امکان می دهد به نتیجه طبقه بندی صحیح تری برسیم. برای یک صفحه وب، دو بردار می توان تولید کرد: برای اطلاعات نمایش داده شده به کاربر، و برای متن ارائه شده به موتورهای جستجو.

روش های مختلفی برای ساخت طبقه بندی کننده صفحات وب وجود دارد. رایج ترین آنها عبارتند از: طبقه بندی بیزی. شبکه های عصبی; طبقه بندی خطی؛ ماشین بردار پشتیبانی (SVM). تمامی روش های فوق نیاز به آموزش مجموعه آموزشی و تست روی مجموعه تست دارد. برای طبقه بندی باینری، می توانید یک راه حل ساده بیز را انتخاب کنید، که فرض می کند ویژگی های فضای برداری مستقل از یکدیگر هستند. ما فرض می کنیم که همه منابع باید به عنوان مطلوب و نامطلوب طبقه بندی شوند. سپس کل مجموعه نمونه های متنی صفحه وب به دو کلاس تقسیم می شود: C=(C1, C2) و احتمال قبلی هر کلاس P(Ci), i=1,2 است. با یک مجموعه به اندازه کافی بزرگ از نمونه ها، می توانیم فرض کنیم که P(Ci) برابر است با نسبت تعداد نمونه های کلاس Ci به تعداد کل نمونه ها. برای برخی از نمونه های D که باید طبقه بندی شوند، از احتمال شرطی P(D/Ci)، طبق قضیه بیز، مقدار P(Ci /D) را می توان به دست آورد:

با در نظر گرفتن ثبات P(D) به دست می آوریم:

با فرض اینکه اصطلاحات در فضای برداری مستقل از یکدیگر باشند، می توانیم رابطه زیر را بدست آوریم:

برای طبقه‌بندی دقیق‌تر متونی که ویژگی‌های آنها مشابه است (مثلاً برای تمایز بین پورنوگرافی و داستانی که صحنه‌های وابسته به عشق شهوانی را توصیف می‌کند)، ضرایب وزنی باید معرفی شوند:

اگر kn=k; اگر kn کمتر از k باشد، kn.=1/|k|. در اینجا M بسامد تمام عبارات در پایگاه داده نمونه است، L تعداد تمام نمونه ها است.

9. دستورالعمل برای بهبود الگوریتم ها

در آینده برنامه ریزی شده است که الگوریتمی برای تجزیه و تحلیل لینک ها به منظور شناسایی ورود کدهای مخرب به کد یک صفحه وب و مقایسه طبقه بندی کننده بیزی با ماشین بردار پشتیبانی ایجاد شود.

10. نتیجه گیری

تجزیه و تحلیل مشکل محدودیت دسترسی به منابع وب در سیستم های آموزشی انجام شده است. اصول اولیه فیلتر کردن منابع غیرهدف در سرورهای پروکسی بر اساس شکل‌گیری و استفاده از لیست‌های محدودیت دسترسی فعلی انتخاب شدند. الگوریتمی برای محدود کردن دسترسی به منابع ناخواسته با استفاده از لیست ها ایجاد شده است که امکان تولید و به روز رسانی پویا لیست های دسترسی به IR را بر اساس تجزیه و تحلیل محتوای آنها با در نظر گرفتن فراوانی بازدیدها و جمعیت کاربر فراهم می کند. برای شناسایی محتوای ناخواسته، الگوریتمی بر اساس طبقه‌بندی‌کننده ساده بیز توسعه داده شده است.

فهرست منابع

1. Winter V. M. Security of global فناوری های شبکه/ و.زیما، ا.مولداویان، ن.مولداویان. - ویرایش دوم - سن پترزبورگ: BHV-Petersburg, 2003. - 362 p.
2. Vorotnitsky Yu. I. حفاظت از دسترسی به منابع اطلاعاتی خارجی ناخواسته در علمی و آموزشی شبکه های کامپیوتر/ یو. آی. ووروتنیتسکی، زی جینبائو // مات. XIV بین المللی conf. "حفاظت جامع اطلاعات." - موگیلف، 2009. - ص 70-71.

بهترین خدمات وب که با آن می توانید سایت ها را از نظر آسیب پذیری بررسی کنید. اچ پی تخمین می زند که 80 درصد از تمام آسیب پذیری ها ناشی از تنظیمات نادرست وب سرور، استفاده از نرم افزارهای قدیمی یا سایر مشکلاتی است که به راحتی می توان از آنها اجتناب کرد.

خدمات موجود در بررسی به شناسایی چنین موقعیت هایی کمک می کند. به طور معمول، اسکنرها در برابر یک پایگاه داده از آسیب پذیری های شناخته شده بررسی می کنند. برخی از آنها بسیار ساده هستند و فقط بررسی می شوند پورت ها را باز کنید، در حالی که دیگران با دقت بیشتری کار می کنند و حتی سعی می کنند تزریق SQL را انجام دهند.

WebSAINT

SAINT یک اسکنر آسیب پذیری شناخته شده است که خدمات وب WebSAINT و WebSAINT Pro بر اساس آن ساخته شده است. به عنوان یک فروشنده تایید شده اسکن، این سرویس اسکن ASV وب سایت های سازمان هایی را انجام می دهد که برای آنها تحت شرایط گواهینامه PCI DSS لازم است. می تواند طبق یک برنامه کار کند و بررسی های دوره ای را انجام دهد و گزارش های مختلفی را بر اساس نتایج اسکن تولید کند. WebSAINT پورت های TCP و UDP را روی آدرس های مشخص شده در شبکه کاربر اسکن می کند. نسخه "حرفه ای" پنتست ها و اسکن برنامه های وب و گزارش های سفارشی را اضافه می کند.

ImmuniWeb

سرویس ImmuniWeb از High-Tech Bridge از رویکرد کمی متفاوت برای اسکن استفاده می کند: علاوه بر اسکن خودکار، پنت های دستی را نیز ارائه می دهد. این روش در زمان مشخص شده توسط مشتری شروع می شود و تا 12 ساعت طول می کشد. این گزارش قبل از ارسال به مشتری توسط کارمندان شرکت بررسی می شود. حداقل سه راه برای از بین بردن هر آسیب پذیری شناسایی شده مشخص می کند، از جمله گزینه هایی برای تغییر کد منبع برنامه وب، تغییر قوانین فایروال و نصب یک پچ.

شما باید برای نیروی انسانی بیشتر بپردازید تا برای بررسی خودکار. اسکن کامل با پنتست های ImmuniWeb 639 دلار هزینه دارد.

BeyondSaaS

BeyondSaaS BeyondTrust حتی بیشتر هزینه خواهد داشت. به مشتریان اشتراکی با مبلغ 3500 دلار پیشنهاد می شود و پس از آن می توانند تعداد نامحدودی ممیزی را در طول سال انجام دهند. یک بار اسکن 700 دلار هزینه دارد. وب سایت ها برای تزریق SQL، XSS، CSRF و آسیب پذیری های سیستم عامل بررسی می شوند. توسعه دهندگان بیان می کنند که احتمال مثبت کاذب بیش از 1٪ نیست و در گزارش ها نیز گزینه هایی را برای اصلاح مشکلات نشان می دهند.

BeyondTrust ابزارهای اسکن آسیب پذیری دیگری از جمله انجمن شبکه رایگان رتینا را ارائه می دهد که به 256 آدرس IP محدود شده است.

Dell Secure Works

Dell Secure Works شاید پیشرفته ترین اسکنر وب است که بررسی شده است. این بر روی فناوری مدیریت آسیب پذیری QualysGuard اجرا می شود و سرورهای وب را بررسی می کند، دستگاه های شبکه، سرورهای برنامه و DBMS هم در شبکه شرکتی و هم در میزبانی ابری. این وب سرویس با الزامات PCI، HIPAA، GLBA و NERC CIP مطابقت دارد.