Analyse de la sécurité des ressources Web. Comment protéger une application web : conseils de base, outils, liens utiles. Nouveauté scientifique présumée

Analyse de la sécurité des ressources Web. Comment protéger une application web : conseils de base, outils, liens utiles. Nouveauté scientifique présumée

a montré que plus de 70 % des sites Web analysés étaient infectés par une ou plusieurs vulnérabilités.

En tant que propriétaire d'une application Web, comment vous assurez-vous que votre site est protégé contre les menaces en ligne ? Ou à cause d’une fuite d’informations confidentielles ?

Si vous utilisez une solution de sécurité basée sur le cloud, une analyse régulière des vulnérabilités fait probablement partie de votre plan de sécurité.

Cependant, sinon, vous devez effectuer une analyse de routine et prendre des mesures. actions nécessaires pour atténuer les risques.

Il existe deux types de scanners.

1.Commercial - vous donne la possibilité d'automatiser l'analyse pour une sécurité continue, des rapports, des alertes, Instructions détaillées sur l'atténuation des risques, etc. Certains des noms célèbres de cette industrie sont :

Acunetix
Détecter
Qualys

Open Source/Gratuit – Vous pouvez télécharger et exécuter des contrôles de sécurité à la demande.

Tous ne seront pas en mesure de couvrir un large éventail de vulnérabilités telles que celle commerciale.

Jetons un coup d'œil aux scanners de vulnérabilités open source suivants.

1. Arachne

Arachni est un scanner de sécurité haute performance construit sur Ruby pour les applications Web modernes.

Il est disponible au format binaire pour Mac, Windows et Linux.

Non seulement c'est une solution pour un site Web statique ou CMS de base, mais Arachni est également capable de s'intégrer aux plateformes suivantes.

Il effectue des contrôles actifs et passifs.

Windows, Solaris, Linux, BSD, Unix
Nginx, Apache, Tomcat, IIS, Jetty
Java, Ruby, Python, ASP, PHP
Django, Rails, CherryPy, CakePHP, ASP.NET MVC, Symfony

Certaines des vulnérabilités découvertes :

NoSQL / Blind / SQL / Code / LDAP / Commande / Injection XPath
Demander un script intersite contrefait
Voie de contournement
Y compris le fichier local/distant
Diviser la réponse
Scripts intersites
Redirections DOM non définies
Divulgation code source

2. XssPy

Le scanner de vulnérabilités XSS (Cross Site Scripting) basé sur Python est utilisé par de nombreuses organisations, notamment Microsoft, Stanford, Motorola, Informatica, etc.

XssPy de Faizan Ahmad est un outil intelligent. Au lieu de simplement vérifier la page d'accueil ou la page, il vérifie l'intégralité du lien sur les sites Web.

XssPy vérifie également le sous-domaine.

3. w3af

w3af, un projet open source lancé fin 2006, est basé sur Python et est disponible pour les systèmes d'exploitation Linux et Windows. w3af est capable de détecter plus de 200 vulnérabilités, dont le top 10 de l'OWASP.

Il prend en charge diverses méthodes de journalisation pour la création de rapports. Exemple:

CSV
HTML
Console
Texte
XML
E-mail adresse

Il est construit sur une architecture de plugins et vous pouvez consulter tous les plugins disponibles.

4. Nikto

Projet open source sponsorisé par Netsparker, il vise à détecter les erreurs de configuration, les plugins et les vulnérabilités des serveurs Web sur Internet.

5. Wfuzz

Wfuzz (Web Fuzzer) est un outil d'évaluation d'applications pour les tests d'intrusion.

Vous pouvez remplacer les données dans la requête HTTP pour n'importe quel champ afin d'utiliser l'application Web et de la valider.

Wfuzz nécessite Python sur l'ordinateur sur lequel vous souhaitez exécuter l'analyse.

6. OWASPZAP

ZAP (Zet Attack Proxy) est l'un des célèbres outils de test d'intrusion activement mis à jour par des centaines de bénévoles à travers le monde.

Il s'agit d'un outil Java multiplateforme qui peut même fonctionner sur Raspberry Pi.

Le ZIP se situe entre le navigateur et l'application Web pour intercepter et vérifier les messages.

Certaines des fonctionnalités ZAP suivantes méritent d'être mentionnées.

Fuzzeur
Scanner automatique et passif
Prend en charge plusieurs langages de script
Vue forcée

7. Wapiti

Wapiti explore les pages Web d'une cible donnée et recherche des scripts et des formulaires de saisie de données pour voir si elle est vulnérable.

Il ne s’agit pas d’une vérification de sécurité du code source, mais plutôt d’une vérification par boîte noire.

Il prend en charge les méthodes HTTP GET et POST, les proxys HTTP et HTTPS, les authentifications multiples, etc.

8. Véga

Vega est développé par Subgraph, un logiciel multiplateforme écrit en Java pour rechercher XSS, SQLi, RFI et bien d'autres vulnérabilités.

Vega s'est mise à l'aise Interface graphique et est capable d'effectuer une analyse automatique en se connectant à l'application avec les informations d'identification données.

Si vous êtes développeur, vous pouvez utiliser l'API vega pour créer de nouveaux modules d'attaque.

9. SQLmap

Comme son nom l’indique, vous pouvez effectuer des tests d’intrusion sur une base de données pour trouver des failles.

Il fonctionne avec Python 2.6 ou 2.7 sur n'importe quel système d'exploitation. Si vous le souhaitez, sqlmap sera plus utile que jamais.

10. Attrapeur

Ce petit outil basé sur Python fait très bien certaines choses.

Certaines des fonctionnalités de Grabber :

Analyseur de code source JavaScript
Scripts intersites, injection SQL, injection SQL aveugle
Tester des applications PHP avec PHP-SAT

11. Golismero

Un framework pour gérer et exécuter certains outils de sécurité populaires tels que Wfuzz, DNS recon, sqlmap, OpenVas, robot analyseur, etc.).

Golismero peut consolider les avis d'autres outils et afficher un résultat.

12. OWASP Xenotix XSS

Xenotix XSS OWASP est un framework avancé pour rechercher et exploiter les scripts intersites.

Il intègre trois unités de fusion intelligentes pour une numérisation rapide et de meilleurs résultats.

13. Métascan

Scanner pour rechercher les vulnérabilités des applications Web des développeurs nationaux

Catégorie: .
Auteurs : Maksadkhan Yakubov, Bogdan Shklyarevsky.

Cet article aborde les problèmes d'administration des ressources Web, ainsi que les méthodes, méthodes et recommandations pour une administration sécurisée et une protection contre le piratage et les cyberattaques.

La première étape dans la conception, la création ou l’exploitation d’un site Web sécurisé consiste à s’assurer que le serveur qui l’héberge est aussi sécurisé que possible.

Le composant principal de tout serveur Web est le système d'exploitation. Assurer sa sécurité est relativement simple : il suffit de l'installer à temps Dernières mises à jour systèmes de sécurité.

Il convient de rappeler que les pirates ont également tendance à automatiser leurs attaques en utilisant des logiciels malveillants qui transitent d'un serveur à l'autre, à la recherche d'un serveur sur lequel la mise à jour est obsolète ou n'a pas été installée. Par conséquent, il est recommandé de s’assurer que les mises à jour sont installées rapidement et correctement ; Tout serveur sur lequel des versions obsolètes de mises à jour sont installées peut être sujet à une attaque.

Vous devez également mettre à jour à temps tous les logiciels exécutés sur le serveur Web. Tout logiciel qui n'est pas un composant requis (par exemple, un serveur DNS ou des outils d'administration à distance tels que VNC ou Remote Desktop Services) doit être désactivé ou supprimé. Si des outils d'administration à distance sont requis, veillez à ne pas utiliser de mots de passe par défaut ou de mots de passe faciles à deviner. Cette note s'applique non seulement aux outils d'administration à distance, mais également aux comptes d'utilisateurs, aux routeurs et aux commutateurs.

Suivant point important est un logiciel antivirus. Son utilisation est une condition obligatoire pour toute ressource Web, qu'elle soit utilisée comme plate-forme Windows ou Unix. Lorsqu'il est associé à un pare-feu flexible, le logiciel antivirus devient l'un des outils les plus efficaces. moyens efficaces protection contre les cyberattaques. Lorsqu'un serveur Web devient la cible d'une attaque, l'attaquant tente immédiatement de télécharger des outils de piratage ou des logiciels malveillants afin d'exploiter les failles de sécurité. En l’absence d’un logiciel antivirus de haute qualité, une faille de sécurité peut rester longtemps indétectée et entraîner des conséquences indésirables.

Le plus la meilleure option Lors de la protection des ressources d'information, il existe une approche à plusieurs niveaux. Sur le flanc avant se trouvent le pare-feu et le système d'exploitation ; l'antivirus derrière eux est prêt à combler toutes les lacunes qui surviennent.

Basé sur des paramètres système opérateur et la fonctionnalité du serveur Web, les techniques générales suivantes pour se protéger contre les cyberattaques peuvent être citées :

  • N'installez pas de composants inutiles. Chaque composant comporte une menace distincte ; plus il y en a, plus le risque total est élevé.
  • Gardez votre système d'exploitation et vos applications à jour avec les mises à jour de sécurité.
  • Utilisez un antivirus, allumez-le installation automatique mises à jour et vérifiez régulièrement qu’elles sont correctement installées.

Certaines de ces tâches peuvent sembler difficiles, mais rappelez-vous qu’il suffit d’une seule faille de sécurité pour attaquer. Les risques potentiels dans ce cas incluent le vol de données et de trafic, la mise sur liste noire de l'adresse IP du serveur, l'atteinte à la réputation de l'organisation et l'instabilité du site Web.

Selon le degré de criticité des vulnérabilités, il existe en règle générale 5 niveaux qui déterminent l'état de la vulnérabilité. ce moment il existe une ressource Web (tableau 1). En règle générale, les attaquants, en fonction de leurs objectifs et de leurs qualifications, tentent de prendre pied sur la ressource piratée et de dissimuler leur présence.

Un piratage de site ne peut pas toujours être reconnu par des signes extérieurs (redirection mobile, liens spam sur les pages, bannières d'autres personnes, dégradation, etc.). Si le site est compromis, ces signes extérieurs peuvent ne pas être présents. La ressource peut fonctionner normalement, sans interruptions, sans erreurs et sans inclusion dans les listes noires antivirus. Mais cela ne veut pas dire que le site est sécurisé. Le problème est qu'il est difficile de remarquer le piratage et le téléchargement de scripts de pirates sans effectuer un audit de sécurité, et les shells Web, portes dérobées et autres outils de piratage eux-mêmes peuvent rester sur l'hébergement pendant assez longtemps et ne pas être utilisés pour leur but prévu. Mais un jour arrive un moment où ils commencent à être sévèrement exploités par un attaquant, ce qui entraîne des problèmes pour le propriétaire du site. En cas de spam ou de publication de pages de phishing, le site est bloqué sur l'hébergement (ou une partie des fonctionnalités est désactivée), et l'apparition de redirections ou de virus sur les pages s'accompagne d'une interdiction des antivirus et de sanctions de moteurs de recherche. Dans un tel cas, il faut de toute urgence « traiter » le site, puis installer une protection contre le piratage afin que l'intrigue ne se répète pas. Souvent, les antivirus standards ne reconnaissent pas certains types de chevaux de Troie et de shells Web, ce qui peut être dû à des mises à jour intempestives ou à des logiciels obsolètes. Lorsque vous recherchez des virus et des scripts sur une ressource Web, vous devez utiliser programmes antivirus de spécialisations différentes, dans ce cas un cheval de Troie non trouvé par un programme antivirus peut être détecté par un autre. La figure 1 montre un exemple de rapport d'analyse d'un logiciel antivirus. Il est important de noter que d'autres programmes antivirus n'ont pas pu détecter le logiciel malveillant.

Des chevaux de Troie tels que « PHP/Phishing.Agent.B », « Linux/Roopre.E.Gen », « PHP/Kryptik.AE » sont utilisés par les attaquants pour télécommande ordinateur. De tels programmes entrent souvent sur un site Web via e-mail, logiciels gratuits, autres sites Web ou salon de discussion. La plupart du temps, un tel programme fait office de fichier utile. Cependant, il s'agit d'un cheval de Troie malveillant qui collecte les informations personnelles des utilisateurs et les transfère aux attaquants. De plus, il peut se connecter automatiquement à certains sites Web et télécharger d’autres types de logiciels malveillants sur le système. Pour éviter la détection et la suppression, « Linux/Roopre.E.Gen » peut désactiver les fonctionnalités de sécurité. Ce programme cheval de Troie est développé à l'aide de la technologie rootkit, ce qui lui permet de se cacher à l'intérieur du système.

  • "PHP/WebShell.NCL" est un cheval de Troie capable d'exécuter diverses fonctions, telles que la suppression de fichiers système, le téléchargement malware, masquez les composants existants ou les informations personnelles téléchargées et d'autres données. Ce programme peut contourner l'analyse antivirus générale et pénétrer dans le système à l'insu de l'utilisateur. Ce programme est capable d'installer une porte dérobée permettant aux utilisateurs distants de prendre le contrôle d'un site Web infecté. Grâce à ce programme, un attaquant peut espionner un utilisateur, gérer des fichiers, installer des logiciels supplémentaires et contrôler l'ensemble du système.
  • "JS/TrojanDownloader.FakejQuery. UN" - un programme cheval de Troie dont les cibles principales sont les sites développés à l'aide des CMS « WordPress » et « Joomla ». Lorsqu'un attaquant pirate un site Web, il exécute un script qui simule l'installation de plugins WordPress ou Joomla, puis injecte du code JavaScript malveillant dans le fichier header.php.
  • "PHP/petit.NBK" - est une application malveillante qui permet aux pirates d'accéder à distance à Système d'ordinateur, leur permettant de modifier des fichiers, de voler des informations personnelles et d'installer davantage de logiciels malveillants. Ces types de menaces, appelés chevaux de Troie, sont généralement téléchargés par un attaquant ou par un autre programme. Ils peuvent également apparaître suite à l’installation d’applications ou de jeux en ligne infectés, ainsi que lors de la visite de sites infectés.

Malheureusement, les scripts des pirates ne sont pas détectés par des signes externes ou par des scanners externes. Par conséquent, ni les antivirus des moteurs de recherche ni les logiciels antivirus installés sur l’ordinateur du webmaster ne signaleront les problèmes de sécurité du site. Si les scripts se trouvent quelque part dans les répertoires système du site (pas dans la racine ou dans les images) ou sont injectés dans des scripts existants, ils ne seront pas non plus remarqués accidentellement.

Figure 1. Exemple de rapport d'analyse d'un logiciel antivirus

Par conséquent, les recommandations suivantes peuvent être des mesures nécessaires pour protéger les ressources Web :

  1. Régulier sauvegarde tout le contenu système de fichiers, bases de données et journaux d'événements (fichiers journaux).
  2. Mettre régulièrement à jour le système de gestion de contenu vers la dernière version stable du CMS (système de gestion de contenu).
  3. Utiliser des mots de passe complexes. Exigences relatives au mot de passe : le mot de passe doit contenir au moins huit caractères, et des caractères majuscules et minuscules, ainsi que des caractères spéciaux, doivent être utilisés lors de la création du mot de passe.
  4. Il est obligatoire d'utiliser des modules complémentaires ou des plugins de sécurité pour empêcher les attaques comme l'attaque XSS ou l'injection SQL.
  5. L'utilisation et l'installation de modules complémentaires (plugins, modèles ou extensions) doivent être effectuées uniquement à partir de sources fiables ou de sites Web officiels de développeurs.
  6. Analyser le système de fichiers au moins une fois par semaine avec des programmes antivirus et utiliser des signatures de base de données à jour.
  7. Prévoir l'utilisation du mécanisme CAPTCHA pour protéger le site Web contre le piratage par mots de passe par force brute lors de l'autorisation et la saisie de données dans tout formulaire de demande (formulaire retour, recherche, etc.).
  8. Restreindre la possibilité d'entrer panneau administratif contrôle du site après un certain nombre de tentatives infructueuses.
  9. Configurez correctement la politique de sécurité du site Web via le fichier de configuration du serveur Web, en tenant compte de paramètres tels que :
  • limiter le nombre d'adresses IP utilisées par l'administrateur pour accéder au panneau de contrôle administratif du site Web afin d'empêcher l'accès à celui-ci à partir d'adresses IP non autorisées ;
  • empêcher toute balise d'être transmise par tout moyen autre que le formatage du texte (par exemple p b i u) pour empêcher les attaques XSS.
  1. Déplacer des fichiers contenant des informations sur l'accès à la base de données, l'accès FTP, etc. des répertoires par défaut vers d'autres, puis renommer ces fichiers.

Même pour un pirate informatique moins expérimenté, il est assez facile de pirater un site Web Joomla si vous ne fournissez pas de protection. Malheureusement, les webmasters reportent souvent à plus tard la protection de leur site contre le piratage, estimant que cela n'est pas essentiel. Restaurer l'accès à votre site prendra beaucoup plus de temps et d'efforts que de prendre des mesures pour le protéger. La sécurité d'une ressource Web relève non seulement du développeur et de l'hébergeur, qui est tenu d'assurer une sécurité maximale des serveurs, mais également de l'administrateur du site.

Introduction

DANS entreprise moderne Les technologies Web ont gagné en popularité. La plupart des sites grandes entreprises sont un ensemble d'applications dotées d'interactivité, d'outils de personnalisation et de moyens d'interaction avec les clients (boutiques en ligne, boutiques à distance). services bancaires), et souvent - des moyens d'intégration avec les applications internes de l'entreprise.

Cependant, une fois qu’un site Web est disponible sur Internet, il devient la cible de cyberattaques. La plupart d'une manière simple Aujourd’hui, les attaques contre un site Web consistent à exploiter les vulnérabilités de ses composants. Et le principal problème est que les vulnérabilités sont devenues assez courantes sur les sites Web modernes.

Les vulnérabilités constituent une menace imminente et croissante. Ils sont, pour la plupart, le résultat de défauts de sécurité dans le code de l’application Web et d’une mauvaise configuration des composants du site Web.

Donnons quelques statistiques. Selon les données du rapport sur les cybermenaces pour le premier semestre 2016, High-Tech Bridge publie les tendances en matière de sécurité Web pour le premier semestre 2016, préparées par High-Tech Bridge :

  • plus de 60 % des services web ou API pour Applications mobiles contenir au moins une vulnérabilité dangereuse qui permet de compromettre la base de données ;
  • 35% des sites vulnérables aux attaques XSS le sont également aux injections SQL et aux attaques XXE ;
  • 23 % des sites contiennent la vulnérabilité POODLE, et seulement 0,43 % - Heartbleed ;
  • les cas d'exploitation de vulnérabilités dangereuses (par exemple, permettant l'injection SQL) lors d'attaques RansomWeb ont été multipliés par 5 ;
  • 79,9 % des serveurs Web ont des en-têtes http mal configurés ou non sécurisés ;
  • Les mises à jour et correctifs requis aujourd'hui sont installés sur seulement 27,8 % des serveurs Web.

Pour protéger les ressources Web, les spécialistes sécurité des informations utiliser un ensemble d’outils différent. Par exemple, des certificats SSL sont utilisés pour crypter le trafic, et un pare-feu d'applications Web (WAF) est installé sur le périmètre des serveurs Web, ce qui nécessite une configuration sérieuse et un long auto-apprentissage. Un moyen tout aussi efficace d'assurer la sécurité du site Web consiste à vérifier périodiquement l'état de sécurité (recherche de vulnérabilités), et les outils permettant d'effectuer de telles vérifications sont les scanners de sécurité du site Web, qui sont également mentionnés. Nous parlerons dans cette revue.

Notre site Web comportait déjà une revue dédiée aux scanners de sécurité des applications Web - "", qui passait en revue les produits des leaders du marché. Dans cette revue, nous n'aborderons plus ces sujets, mais nous concentrerons sur une revue des scanners de sécurité de sites Web gratuits.

Le sujet du logiciel libre est particulièrement pertinent aujourd’hui. En raison de la situation économique instable en Russie, de nombreuses organisations (tant du secteur commercial que public) optimisent actuellement leurs budgets informatiques, et il n'y a souvent pas assez d'argent pour acheter des produits commerciaux coûteux pour analyser la sécurité des systèmes. Dans le même temps, il existe de nombreux utilitaires gratuits (gratuits et open source) permettant de rechercher des vulnérabilités que les gens ne connaissent tout simplement pas. De plus, certains d'entre eux ne sont pas inférieurs en Fonctionnalitéà leurs concurrents payants. Par conséquent, dans cet article, nous parlerons des scanners de sécurité de sites Web gratuits les plus intéressants.

Que sont les scanners de sécurité de sites Web ?

Les scanners de sécurité de sites Web sont des outils logiciels (matériels et logiciels) qui recherchent des défauts dans les applications Web (vulnérabilités) qui conduisent à une violation de l'intégrité du système ou des données utilisateur, à leur vol ou à la prise de contrôle du système dans son ensemble.

À l’aide des scanners de sécurité de sites Web, vous pouvez détecter des vulnérabilités dans les catégories suivantes :

  • vulnérabilités au stade du codage ;
  • vulnérabilités dans la phase de mise en œuvre et de configuration d’une application Web ;
  • vulnérabilités de la phase d’exploitation du site Web.

Les vulnérabilités au stade du codage incluent les vulnérabilités associées à un traitement incorrect des données d'entrée et de sortie (injections SQL, XSS).

Les vulnérabilités au stade de la mise en œuvre du site Web incluent les vulnérabilités associées à des paramètres incorrects de l'environnement de l'application Web (serveur web, serveur d'applications, SSL/TLS, framework, composants tiers, présence du mode DEBUG, etc.).

Les vulnérabilités au stade de l'exploitation du site Web incluent les vulnérabilités associées à l'utilisation de logiciels obsolètes, de mots de passe simples, au stockage de copies archivées sur un serveur Web dans accès publique, disponibilité des modules de service accessibles au public (phpinfo), etc.

Comment fonctionnent les scanners de sécurité des sites Web

De manière générale, le principe de fonctionnement d’un scanner de sécurité de site web est le suivant :

  • Collecte d'informations sur l'objet étudié.
  • Audit des logiciels de sites Web pour les vulnérabilités à l'aide de bases de données de vulnérabilités.
  • Identifier les faiblesses du système.
  • Formation de recommandations pour leur élimination.

Catégories de scanners de sécurité de sites Web

Les scanners de sécurité de sites Web, en fonction de leur objectif, peuvent être divisés dans les catégories (types) suivants :

  • Scanners réseau - ce type les scanners révèlent les services réseau disponibles, installent leurs versions, déterminent le système d'exploitation, etc.
  • Scanners pour rechercher des vulnérabilités dans les scripts Web- ce type de scanner recherche des vulnérabilités telles que SQL inj, XSS, LFI/RFI, etc., ou des erreurs (fichiers temporaires non supprimés, indexation de répertoires, etc.).
  • Chercheurs d'exploits- ce type de scanner est conçu pour la recherche automatisée d'exploits dans logiciel et des scripts.
  • Outils d'automatisation de l'injection- des utilitaires dédiés spécifiquement à la recherche et à l'exploitation des injections.
  • Débogueurs- des outils pour corriger les erreurs et optimiser le code dans une application web.

Il existe également des utilitaires universels qui incluent les capacités de plusieurs catégories de scanners à la fois.

Vous trouverez ci-dessous un bref aperçu des scanners de sécurité de sites Web gratuits. Comme il existe de nombreux utilitaires gratuits, seuls les outils gratuits les plus populaires pour analyser la sécurité des technologies Web sont inclus dans la revue. Lors de l'inclusion d'un utilitaire particulier dans l'examen, des ressources spécialisées sur le thème de la sécurité de la technologie Web ont été analysées :

Un bref examen des scanners de sécurité de sites Web gratuits

Scanners réseau

Nmap

Type de scanner : scanner réseau.

Nmap (Network Mapper) est un utilitaire gratuit et open source. Il est conçu pour analyser les réseaux avec un nombre quelconque d'objets, déterminer l'état des objets du réseau analysé, ainsi que les ports et leurs services correspondants. Pour ce faire, Nmap utilise de nombreuses méthodes d'analyse différentes, telles que UDP, connexion TCP, TCP SYN (semi-ouvert), proxy FTP (percée FTP), Reverse-Ident, ICMP (ping), FIN, ACK, arbre de Noël, SYN. et analyse NULL.

Nmap prend également en charge un large éventail de fonctionnalités supplémentaires, à savoir : la détermination du système d'exploitation d'un hôte distant à l'aide des empreintes digitales de la pile TCP/IP, l'analyse « invisible », le calcul dynamique de la latence et de la retransmission des paquets, l'analyse parallèle, l'identification des hôtes inactifs à l'aide d'une interrogation ping parallèle. , analyse à l'aide de faux hôtes, détection de la présence de filtres de paquets, analyse RPC directe (sans utiliser de portmapper), analyse par fragmentation IP, ainsi qu'indication arbitraire des adresses IP et des numéros de port des réseaux analysés.

Nmap a reçu le statut de produit de sécurité de l'année décerné par des magazines et des communautés telles que Linux Journal, Info World, LinuxQuestions.Org et Codetalker Digest.

Plateforme : l'utilitaire est multiplateforme.

Vous pouvez en savoir plus sur le scanner Nmap.

Outils de PI

Type de scanner : scanner réseau.

IP Tools est un analyseur de protocole qui prend en charge les règles de filtrage, l'adaptateur de filtrage, le décodage de paquets, la description du protocole et bien plus encore. Des informations détaillées chaque package est contenu dans une arborescence de styles, un menu contextuel permet de scanner l'adresse IP sélectionnée.

En plus du renifleur de paquets, IP Tools propose un ensemble complet de outils de réseau, y compris un adaptateur de statistiques, la surveillance du trafic IP et bien plus encore.

Vous pouvez en savoir plus sur le scanner IP-Tools.

Bonite

Le scanner de vulnérabilités Web multiplateforme Skipfish du programmeur Michal Zalewski effectue une analyse récursive d'une application Web et sa vérification basée sur un dictionnaire, après quoi il crée un plan du site annoté de commentaires sur les vulnérabilités détectées.

L'outil est développé en interne par Google.

Le scanner effectue une analyse détaillée de l'application Web. Il est également possible de créer un dictionnaire pour tester ultérieurement la même application. Le rapport détaillé de Skipfish contient des informations sur les vulnérabilités détectées, l'URL de la ressource contenant la vulnérabilité et la demande envoyée. Dans le rapport, les données obtenues sont triées par niveau de gravité et type de vulnérabilité. Le rapport est généré au format HTML.

Il convient de noter que le scanner de vulnérabilités Web Skipfish génère une très grande quantité de trafic et que l'analyse prend très longtemps.

Plateformes : MacOS, Linux, Windows.

Vous pouvez en savoir plus sur le scanner Skipfish.

Wapiti

Type de scanner : scanner pour rechercher des vulnérabilités dans les scripts Web.

Wapiti est un utilitaire de console permettant d'auditer des applications Web. Il fonctionne selon le principe de la « boîte noire ».

Wapiti fonctionne comme suit : tout d'abord, le scanner WASS analyse la structure du site, recherche les scripts disponibles et analyse les paramètres. Wapiti allume ensuite le fuzzer et continue l'analyse jusqu'à ce que tous les scripts vulnérables soient trouvés.

Le scanner Wapiti WASS fonctionne avec les types de vulnérabilités suivants :

  • Divulgation de fichier (inclusion/require locale et distante, fopen, readfile).
  • Injection de base de données (injections PHP/JSP/ASP SQL et injections XPath).
  • Injection XSS (Cross Site Scripting) (réfléchie et permanente).
  • Détection d'exécution de commandes (eval(), system(), passtru()…).
  • Injection CRLF (HTTP Response Splitting, fixation de session...).
  • Injection XXE (XmleXternal Entity).
  • Utilisation de fichiers connus potentiellement dangereux.
  • Faibles configurations .htaccess qui peuvent être contournées.
  • Présence de fichiers de sauvegarde donnant des informations sensibles (divulgation du code source).

Wapiti est inclus dans les utilitaires de la distribution Kali Linux. Vous pouvez télécharger les sources depuis SourceForge et les utiliser sur n'importe quelle distribution basée sur le noyau Linux. Wapiti prend en charge les méthodes de requête HTTP GET et POST.

Plateformes : Windows, Unix, MacOS.

Vous pouvez en savoir plus sur le scanner Wapiti.

Nessos

Le scanner Nessus est un outil puissant et fiable qui appartient à la famille scanners réseau, vous permettant de rechercher des vulnérabilités dans les services réseau proposés par les systèmes d'exploitation, les pare-feu, les routeurs de filtrage et autres composants réseau. Pour rechercher des vulnérabilités, elles sont utilisées comme moyens standards tester et collecter des informations sur la configuration et le fonctionnement du réseau, et moyens spéciaux, émulant les actions d'un attaquant pour pénétrer dans les systèmes connectés au réseau.

Vous pouvez en savoir plus sur le scanner Nessus.

bsqlbf-v2

Type de scanner : outil d'automatisation de l'injection.

bsqlbf-v2 est un script écrit en Perl. Forcer brut pour les injections SQL aveugles. Le scanner fonctionne à la fois avec des valeurs entières dans l'URL et des valeurs de chaîne.

Plateformes : MS-SQL, MySQL, PostgreSQL, Oracle.

Vous pouvez en savoir plus sur le scanner bsqlbf-v2.

Débogueurs

Suite Rots

Type de scanner : débogueur.

Burp Suite est un ensemble d'applications multiplateformes relativement indépendantes écrites en Java.

Le cœur du complexe est le module Burp Proxy, qui remplit les fonctions d'un serveur proxy local ; les composants restants de l'ensemble sont Spider, Intruder, Repeater, Sequencer, Decoder et Comparer. Tous les composants sont interconnectés en un seul tout de telle manière que les données peuvent être envoyées à n'importe quelle partie de l'application, par exemple, du proxy à l'intrus pour effectuer diverses vérifications sur l'application Web, de l'intrus au répéteur pour une analyse manuelle plus approfondie de En-têtes HTTP.

Plateformes : logiciels multiplateformes.

Vous pouvez en savoir plus sur le scanner Burp Suite.

Violoneux

Type de scanner : débogueur.

Fiddler est un proxy de débogage qui enregistre tout le trafic HTTP(S). L'outil vous permet d'examiner ce trafic, de définir un point d'arrêt et de « jouer » avec les données entrantes ou sortantes.

Caractéristiques fonctionnelles de Fiddler :

  • Possibilité de contrôler toutes les demandes, biscuits, paramètres transmis par les navigateurs Internet.
  • Fonction permettant de modifier les réponses du serveur à la volée.
  • Capacité à manipuler les en-têtes et les requêtes.
  • Fonction pour changer la largeur du canal.

Plateformes : logiciels multiplateformes.

Vous pouvez en savoir plus sur le scanner Fiddler.

N-Stalker Web Application Security Scanner X Édition gratuite

Type de scanner : scanner pour rechercher des vulnérabilités dans les scripts Web, outil de recherche d'exploits.

Un outil efficace pour les services Web est N-Stealth Security Scanner de N-Stalker. La société vend une version plus complète de N-Stealth, mais elle est gratuite version d'essai tout à fait adapté à une évaluation simple. Le produit payant propose plus de 30 000 tests de sécurité de serveur Web, mais aussi version gratuite détecte plus de 16 000 failles spécifiques, y compris des vulnérabilités dans des serveurs Web largement utilisés tels que Microsoft IIS et Apache. Par exemple, N-Stealth recherche les scripts vulnérables Common Gateway Interface (CGI) et Hypertext Preprocessor (PHP) et utilise des attaques pour pénétrer serveur SQL, des scénarios intersites typiques et d'autres lacunes dans les serveurs Web populaires.

N-Stealth prend en charge à la fois HTTP et HTTP Secure (HTTPS - utilisant SSL), compare les vulnérabilités au dictionnaire Common Vulnerabilities and Exposures (CVE) et à la base de données Bugtraq, et génère des rapports décents. N-Stealth est utilisé pour détecter les vulnérabilités les plus courantes des serveurs Web et permet d'identifier les vecteurs d'attaque les plus probables.

Bien entendu, pour une évaluation plus fiable de la sécurité d'un site Web ou d'une application, il est recommandé d'acheter une version payante.

Vous pouvez en savoir plus sur le scanner N-Stealth.

conclusions

Tester les sites Web pour identifier les vulnérabilités est une bonne mesure préventive. Il existe actuellement de nombreux scanners de sécurité de sites Web commerciaux et disponibles gratuitement. Dans le même temps, les scanners peuvent être à la fois universels (solutions complètes) et spécialisés, conçus uniquement pour identifier certains types de vulnérabilités.

Certains scanners gratuits sont des outils assez puissants et affichent une grande profondeur et bonne qualité vérifications du site Web. Mais avant d’utiliser des utilitaires gratuits pour analyser la sécurité des sites Web, vous devez vous assurer de leur qualité. Aujourd'hui, il existe déjà de nombreuses méthodes pour cela (par exemple, les critères d'évaluation du scanner de sécurité des applications Web, le projet de spécification du scanner d'application Web OWASP).

Seules des solutions globales peuvent fournir l’image la plus complète de la sécurité d’une infrastructure particulière. Dans certains cas, il est préférable d'utiliser plusieurs scanners de sécurité.

1. But et objectifs

Le but des travaux est de développer des algorithmes pour augmenter la sécurité d'accès aux ressources d'information des réseaux éducatifs d'entreprise, en tenant compte de leurs menaces de sécurité caractéristiques, ainsi que des caractéristiques de la population d'utilisateurs, des politiques de sécurité, des solutions architecturales et des ressources de support.

Sur la base de l'objectif, les tâches suivantes sont résolues dans le travail :

1. Effectuer une analyse des principales menaces à la sécurité de l'information dans les réseaux éducatifs.

2. Développer une méthode pour limiter l'accès aux ressources d'information indésirables dans les réseaux éducatifs.

3. Développer des algorithmes permettant d'analyser les pages Web, de rechercher des connexions directes et de télécharger des fichiers pour une analyse plus approfondie du code potentiellement malveillant sur les sites.

4. Développer un algorithme pour identifier les ressources d'informations indésirables sur les sites Web.

2. Pertinence du sujet

Les systèmes de formation intelligents modernes sont basés sur le Web et offrent à leurs utilisateurs la possibilité de travailler avec divers types ressources éducatives locales et à distance. Problème utilisation sûre les ressources d'information (RI) publiées sur Internet deviennent de plus en plus pertinentes. L'une des méthodes utilisées pour résoudre ce problème consiste à limiter l'accès aux ressources d'informations indésirables.

Les opérateurs fournissant un accès Internet aux établissements d'enseignement sont tenus de veiller à ce que l'accès aux informations indésirables soit limité. La restriction s'effectue par filtrage par opérateurs à l'aide de listes régulièrement mises à jour selon la procédure établie. Cependant, compte tenu de l'objectif et du public d'utilisateurs des réseaux éducatifs, il est conseillé d'utiliser un système d'auto-apprentissage plus flexible qui reconnaîtra dynamiquement les ressources indésirables et en protégera les utilisateurs.

En général, l'accès à des ressources non désirées comporte les menaces suivantes : propagande d'actions illégales et asociales, telles que : l'extrémisme politique, le terrorisme, la toxicomanie, la distribution de pornographie et d'autres matériels ; empêcher les étudiants d'utiliser les réseaux informatiques à des fins éducatives ; difficulté d'accès à Internet en raison d'une surcharge de canaux externes avec une bande passante limitée. Les ressources répertoriées ci-dessus sont souvent utilisées pour injecter des logiciels malveillants et leurs menaces associées.

Les systèmes existants pour restreindre l'accès aux ressources du réseau ont la capacité de vérifier non seulement la conformité des paquets individuels aux restrictions spécifiées, mais également leur contenu - le contenu transmis via le réseau. Actuellement, les systèmes de filtrage de contenu utilisent les méthodes suivantes pour filtrer le contenu Web : par nom DNS ou adresse IP spécifique, par mots-clés dans le contenu Web et par type de fichier. Pour bloquer l'accès à un site Web ou à un groupe de sites spécifique, vous devez spécifier plusieurs URL contenant un contenu inapproprié. Le filtrage d'URL offre un contrôle approfondi sur la sécurité du réseau. Cependant, il est impossible de prévoir à l’avance toutes les URL inappropriées possibles. De plus, certains sites Web au contenu douteux ne fonctionnent pas avec des URL, mais exclusivement avec des adresses IP.

Une façon de résoudre le problème consiste à filtrer le contenu reçu via le protocole HTTP. L'inconvénient des systèmes de filtrage de contenu existants est l'utilisation de listes de contrôle d'accès générées de manière statique. Pour les remplir, les développeurs de systèmes de filtrage de contenu commercial embauchent des employés qui divisent le contenu en catégories et classent les enregistrements dans la base de données.

Pour éliminer les lacunes des systèmes de filtrage de contenu existants pour les réseaux éducatifs, il est pertinent de développer des systèmes de filtrage du trafic web avec détermination dynamique de la catégorie d'une ressource web en fonction du contenu de ses pages.

3. Nouveauté scientifique perçue

Un algorithme pour restreindre l'accès des utilisateurs de systèmes d'apprentissage intelligents aux ressources indésirables sur les sites Internet, basé sur la formation dynamique de listes d'accès aux ressources d'information grâce à leur classification retardée.

4. Résultats pratiques prévus

Les algorithmes développés peuvent être utilisés dans des systèmes permettant de restreindre l'accès aux ressources indésirables dans les systèmes d'apprentissage informatique intelligents.

5. Examen de la recherche et du développement

5.1 Aperçu de la recherche et du développement sur le sujet au niveau mondial

Les travaux de scientifiques aussi célèbres que : H.H. sont consacrés aux problèmes liés à la garantie de la sécurité de l'information. Bezrukov, P.D. Zegzda, A.M. Ivashko, A.I. Kostogryzov, V.I. Kurbatov K. Lendver, D. McLean, A.A. Moldovian, H.A. Moldovyan, A.A. Malyuk, E.A. Derbin, R. Sandhu, J.M. Carroll et autres. Dans le même temps, malgré le volume écrasant de sources de texte dans les réseaux d'entreprise et ouverts, dans le domaine du développement de méthodes et de systèmes de sécurité de l'information, des recherches visant à analyser les menaces de sécurité et à étudier la limitation de l'accès aux ressources indésirables dans la formation informatique avec accès au Web .

En Ukraine, le principal chercheur dans ce domaine est V.V. Domarev. . Ses recherches de thèse sont consacrées aux problèmes de création de systèmes complexes de sécurité de l'information. Auteur des livres : « Sécurité technologies de l'information. Méthodologie de création de systèmes de protection », « Sécurité des technologies de l'information. Approche systématique », etc., auteur de plus de 40 articles et publications scientifiques.

5.2 Bilan de la recherche et du développement sur le sujet au niveau national

À l'Université technique nationale de Donetsk, développement de modèles et de méthodes pour créer un système de sécurité de l'information réseau d'entreprise Khimka S.S. a été impliquée dans l'entreprise en tenant compte de divers critères. . La protection de l'information dans les systèmes éducatifs était occupée par Yu.S. .

6. Problèmes de restriction de l'accès aux ressources Web dans les systèmes éducatifs

Le développement des technologies de l'information permet actuellement d'évoquer deux aspects de la description des ressources : le contenu Internet et l'infrastructure d'accès. L'infrastructure d'accès est généralement comprise comme un ensemble de matériel et logiciel, assurant la transmission de données au format de paquet IP, et le contenu est défini comme une combinaison de forme de présentation (par exemple, sous la forme d'une séquence de caractères dans un certain codage) et de contenu (sémantique) de l'information. Parmi les propriétés caractéristiques d'une telle description, il convient de souligner les suivantes :

1. indépendance du contenu par rapport à l'infrastructure d'accès ;

2. changements qualitatifs et quantitatifs continus dans le contenu ;

3. l'émergence de nouvelles ressources d'information interactives (« live journals », réseaux sociaux, encyclopédies gratuites, etc.), dans lesquelles les utilisateurs participent directement à la création de contenus en ligne.

Lors de la résolution des problèmes de contrôle d'accès aux ressources d'information, les questions d'élaboration de politiques de sécurité, qui sont résolues en fonction des caractéristiques de l'infrastructure et du contenu du réseau, sont d'une grande importance. Plus le niveau de description du modèle de sécurité de l'information est élevé, plus le contrôle d'accès est axé sur la sémantique des ressources réseau. Évidemment, les adresses MAC et IP (lien et couche réseau interaction) des interfaces des périphériques réseau ne peut être liée à aucune catégorie de données, car la même adresse peut représenter différents services. Les numéros de port (couche de transport), en règle générale, donnent une idée du type de service, mais ne caractérisent pas qualitativement les informations fournies par ce service. Par exemple, il n'est pas possible de classer un site Web particulier dans l'une des catégories sémantiques (médias, affaires, divertissement, etc.) sur la seule base des informations de la couche transport. Sécurité sécurité des informations au niveau applicatif, cela se rapproche du concept de filtrage de contenu, c'est-à-dire contrôle d'accès prenant en compte la sémantique des ressources du réseau. Par conséquent, plus le système de contrôle d'accès est orienté vers le contenu, plus l'approche différenciée par rapport aux différentes catégories d'utilisateurs et de ressources d'information peut être mise en œuvre avec son aide. En particulier, un système de contrôle orienté sémantiquement peut limiter efficacement l'accès des étudiants des établissements d'enseignement à des ressources incompatibles avec le processus d'apprentissage.

Les options possibles pour le processus d'obtention d'une ressource Web sont présentées sur la Fig. 1

Figure 1 - Le processus d'obtention d'une ressource Web via le protocole HTTP

Pour assurer un contrôle flexible de l'utilisation des ressources Internet, il est nécessaire d'introduire une politique appropriée d'utilisation des ressources par un organisme éducatif au sein de l'entreprise opérateur. Cette politique peut être mise en œuvre manuellement ou automatiquement. La mise en œuvre « manuelle » signifie que l'entreprise dispose d'un personnel spécial qui surveille l'activité des utilisateurs des établissements d'enseignement en temps réel ou à l'aide des journaux des routeurs, des serveurs proxy ou des pare-feu. Une telle surveillance est problématique car elle nécessite beaucoup de travail. Pour fournir un contrôle flexible sur l'utilisation des ressources Internet, l'entreprise doit fournir à l'administrateur un outil permettant de mettre en œuvre la politique d'utilisation des ressources de l'organisation. Le filtrage de contenu répond à cet objectif. Son essence réside dans la décomposition des objets d'échange d'informations en composants, l'analyse du contenu de ces composants, la détermination de la conformité de leurs paramètres avec la politique acceptée d'utilisation des ressources Internet et la prise de certaines actions sur la base des résultats d'une telle analyse. Dans le cas du filtrage du trafic Web, les objets d'échange d'informations sont les requêtes Web, le contenu des pages Web et les fichiers transférés à la demande de l'utilisateur.

Les utilisateurs de l'organisation éducative ont accès à Internet exclusivement via un serveur proxy. Chaque fois que vous essayez d'accéder à une ressource particulière, le serveur proxy vérifie si la ressource est incluse dans une base de données spéciale. Si une telle ressource est placée dans la base de données des ressources interdites, son accès est bloqué et l'utilisateur reçoit un message correspondant à l'écran.

Si la ressource demandée ne figure pas dans la base de données des ressources interdites, l'accès à celle-ci est accordé, mais un enregistrement de la visite de cette ressource est enregistré dans un journal de service spécial. Une fois par jour (ou à d'autres intervalles), le serveur proxy génère une liste des ressources les plus visitées (sous forme de liste d'URL) et l'envoie aux experts. Des experts (administrateurs système), utilisant la méthodologie appropriée, vérifient la liste des ressources obtenue et déterminent leur nature. Si la ressource est de nature non ciblée, l'expert la classe (ressource pornographique, ressource ludique) et apporte une modification à la base de données. Après avoir apporté toutes les modifications nécessaires, la version mise à jour de la base de données est automatiquement envoyée à tous les serveurs proxy connectés au système. Le schéma de filtrage des ressources non cibles sur les serveurs proxy est illustré à la Fig. 2.

Figure 2 - Principes de base du filtrage des ressources non cibles sur les serveurs proxy

Les problèmes liés au filtrage des ressources non cibles sur les serveurs proxy sont les suivants. Avec filtration centralisée, un équipement haute performance de l'unité centrale est requis, grand débit canaux de communication au niveau du nœud central, la défaillance du nœud central entraîne une défaillance complète de l'ensemble du système de filtration.

Avec un filtrage décentralisé « sur le terrain » directement sur les postes de travail ou les serveurs de l’organisation, le coût de déploiement et de support est élevé.

Lors du filtrage par adresse au stade de l'envoi d'une demande, il n'y a pas de réaction préventive à la présence de contenus indésirables et des difficultés de filtrage des sites « masqués ».

Lors du filtrage par contenu, il est nécessaire de traiter de grandes quantités d'informations lors de la réception de chaque ressource, et la complexité du traitement des ressources préparées à l'aide d'outils tels que Java, Flash.

7. Sécurité des informations des ressources Web pour les utilisateurs de systèmes de formation intelligents

Considérons la possibilité de contrôler l'accès aux ressources informationnelles à l'aide d'une solution commune basée sur le principe hiérarchique d'intégration des outils de contrôle d'accès aux ressources Internet (Fig. 3). La restriction de l'accès aux IR indésirables depuis IOS peut être obtenue grâce à une combinaison de technologies telles que le pare-feu, l'utilisation de serveurs proxy, l'analyse des activités anormales pour détecter les intrusions, la limitation de la bande passante, le filtrage basé sur l'analyse de contenu, le filtrage basé sur les listes d'accès. Dans ce cas, l'une des tâches clés est la constitution et l'utilisation de listes de restrictions d'accès à jour.

Le filtrage des ressources indésirables est effectué conformément aux normes en vigueur documents réglementaires sur la base de listes publiées conformément à la procédure établie. La restriction de l'accès aux autres ressources d'information s'effectue sur la base de critères particuliers élaborés par l'opérateur du réseau éducatif.

L'accès des utilisateurs en dessous de la fréquence spécifiée, même à une ressource potentiellement indésirable, est acceptable. Seules les ressources demandées font l'objet d'une analyse et d'une classification, c'est-à-dire celles pour lesquelles le nombre de demandes des utilisateurs a dépassé un seuil spécifié. L'analyse et l'analyse sont effectuées quelque temps après que le nombre de requêtes dépasse la valeur seuil (pendant la période de charge minimale sur les canaux externes).

Ce ne sont pas seulement des pages Web individuelles qui sont analysées, mais toutes les ressources qui leur sont associées (en analysant les liens sur la page). En conséquence, cette approche vous permet de déterminer la présence de liens vers des logiciels malveillants lors de l'analyse des ressources.

Figure 3 - Hiérarchie des outils de contrôle d'accès aux ressources Internet

(animation, 24 images, 25 Ko)

La classification automatisée des ressources est effectuée sur le serveur d'entreprise du client - le propriétaire du système. Le temps de classification est déterminé par la méthode utilisée, qui repose sur la notion de classification différée des ressources. Cela suppose que l'accès des utilisateurs en dessous d'une fréquence spécifiée, même à une ressource potentiellement indésirable, est acceptable. Cela évite une classification coûteuse à la volée. Seules les ressources demandées font l'objet d'une analyse et d'une classification automatisée, c'est-à-dire les ressources pour lesquelles la fréquence des demandes des utilisateurs a dépassé un seuil spécifié. L'analyse et l'analyse sont effectuées quelque temps après que le nombre de requêtes dépasse la valeur seuil (pendant la période de charge minimale sur les canaux externes). La méthode implémente un schéma de construction dynamique de trois listes : « noir » (ChSP), « blanc » (BSP) et « gris » (GSP). L'accès aux ressources figurant sur la liste noire est interdit. La liste blanche contient les ressources autorisées vérifiées. La liste « grise » contient des ressources qui ont été demandées par les utilisateurs au moins une fois, mais qui n'ont pas été classées. La constitution initiale et l'ajustement « manuel » ultérieur de la liste « noire » sont effectués sur la base d'informations officielles sur les adresses des ressources interdites fournies par l'organisme gouvernemental autorisé. Le contenu initial de la liste « blanche » est constitué de ressources dont l’utilisation est recommandée. Toute demande pour une ressource ne figurant pas sur la liste noire est accordée. Si cette ressource ne figure pas sur la liste « blanche », elle est placée sur la liste « grise », où est enregistré le nombre de requêtes adressées à cette ressource. Si la fréquence des demandes dépasse une certaine valeur seuil, une classification automatisée de la ressource est effectuée, sur la base de laquelle elle est incluse dans la liste « noire » ou « blanche ».

8. Algorithmes pour déterminer la sécurité des informations des ressources Web pour les utilisateurs de systèmes de formation intelligents

Algorithme de restriction d'accès. Les restrictions d'accès aux ressources indésirables sur les sites Internet reposent sur la définition suivante de la notion de risque d'accès à des IR indésirables dans IOS. Le risque d'accès à la i-ième IR indésirable, classé dans la k-ième classe d'IR, sera une valeur proportionnelle à l'expertise du dommage causé par l'IR indésirable d'un type d'IOS donné ou à l'identité de l'utilisateur et à la nombre d'accès à cette ressource pour une période de temps donnée :

Par analogie avec la définition classique du risque comme produit de la probabilité qu'une menace se réalise et du coût des dommages causés, cette définition interprète le risque comme l'espérance mathématique du montant des dommages possibles résultant de l'accès à un IR indésirable. Dans ce cas, le montant des dommages attendus est déterminé par le degré d’impact de l’IR sur la personnalité des utilisateurs, qui est à son tour directement proportionnel au nombre d’utilisateurs ayant subi cet impact.

Dans le processus d'analyse de toute ressource Web, du point de vue de l'opportunité ou non de l'accès à celle-ci, il est nécessaire de prendre en compte les principaux composants suivants de chacune de ses pages : le contenu, c'est-à-dire le texte et autres (graphiques, photo, vidéo) informations publiées sur cette page ; contenu publié sur d'autres pages du même site Web (vous pouvez obtenir des liens internes à partir du contenu des pages chargées en expressions régulières); les connexions à d’autres sites (tant du point de vue du téléchargement éventuel de virus et chevaux de Troie), que du point de vue de la présence de contenus indésirables. Un algorithme pour restreindre l'accès aux ressources indésirables à l'aide de listes est illustré à la Fig. 4.

Figure 4 - Algorithme de restriction d'accès aux ressources indésirables

Algorithme d'identification des pages Web indésirables. Pour classer le contenu - les textes des pages Web - il est nécessaire de résoudre les problèmes suivants : spécifier les catégories de classification ; extraire des informations à partir de textes sources qui peuvent être analysées automatiquement ; création de recueils de textes classifiés; construction et formation d'un classificateur travaillant avec les ensembles de données obtenus.

L'ensemble de formation de textes classifiés est analysé, identifiant les termes - les formes de mots les plus fréquemment utilisées en général et pour chaque catégorie de classification séparément. Chaque texte source est représenté sous la forme d'un vecteur dont les composantes sont les caractéristiques de l'occurrence d'un terme donné dans le texte. Afin d'éviter la rareté des vecteurs et de réduire leur dimension, il convient de réduire les formes des mots à leur forme initiale à l'aide de méthodes d'analyse morphologique. Après cela, le vecteur doit être normalisé, ce qui nous permet d'obtenir un résultat de classification plus correct. Pour une page Web, deux vecteurs peuvent être générés : pour les informations affichées à l'utilisateur et pour le texte fourni aux moteurs de recherche.

Il existe différentes approches pour créer des classificateurs de pages Web. Les plus couramment utilisés sont : le classificateur bayésien ; les réseaux de neurones; classificateurs linéaires ; machine à vecteurs de support (SVM). Toutes les méthodes ci-dessus nécessitent une formation sur une collection de formation et des tests sur une collection de tests. Pour la classification binaire, vous pouvez choisir une solution naïve de Bayes, qui suppose que les caractéristiques de l’espace vectoriel sont indépendantes les unes des autres. Nous supposerons que toutes les ressources doivent être classées comme souhaitables et indésirables. Ensuite, l'ensemble de la collection d'échantillons de texte de pages Web est divisé en deux classes : C=(C1, C2) et la probabilité a priori de chaque classe est P(Ci), i=1,2. Avec une collection d’échantillons suffisamment grande, on peut supposer que P(Ci) est égal au rapport du nombre d’échantillons de classe Ci au nombre total d’échantillons. Pour un échantillon D à classer, à partir de la probabilité conditionnelle P(D/Ci), selon le théorème de Bayes, la valeur P(Ci /D) peut être obtenue :

en tenant compte de la constance de P(D) on obtient :

En supposant que les termes de l’espace vectoriel sont indépendants les uns des autres, on peut obtenir la relation suivante :

Afin de classer plus précisément les textes dont les caractéristiques sont similaires (par exemple, distinguer la pornographie des fictions décrivant des scènes érotiques), il convient d'introduire des coefficients de pondération :

Si kn=k; si kn est inférieur à k, kn.=1/|k|. Ici, M est la fréquence de tous les termes de la base de données d'échantillons, L est le nombre de tous les échantillons.

9. Orientations pour améliorer les algorithmes

A l'avenir, il est prévu de développer un algorithme d'analyse de liens afin de détecter l'introduction de code malveillant dans le code d'une page web et de comparer le classificateur bayésien avec la machine à vecteurs supports.

10. Conclusions

Une analyse du problème de la restriction de l'accès aux ressources Web dans les systèmes éducatifs a été réalisée. Les principes de base du filtrage des ressources non cibles sur les serveurs proxy ont été sélectionnés sur la base de la formation et de l'utilisation des listes de restrictions d'accès actuelles. Un algorithme a été développé pour restreindre l'accès aux ressources indésirables à l'aide de listes, qui permet de générer et de mettre à jour dynamiquement des listes d'accès aux IR sur la base d'une analyse de leur contenu, en tenant compte de la fréquence des visites et de la population d'utilisateurs. Pour identifier les contenus indésirables, un algorithme basé sur un classificateur naïf de Bayes a été développé.

Liste des sources

  1. Winter V. M. Sécurité du monde technologies de réseau/ V. Zima, A. Moldovyan, N. Moldovyan. - 2e éd. - Saint-Pétersbourg : BHV-Pétersbourg, 2003. - 362 p.
  2. Vorotnitsky Yu. I. Protection contre l'accès aux ressources d'information externes indésirables dans les domaines scientifique et éducatif réseaux informatiques/ Yu. I. Vorotnitsky, Xie Jinbao // Mat. XIVe Int. conf. "Protection complète des informations." - Moguilev, 2009. - pp. 70-71.

Les meilleurs services Web avec lesquels vous pouvez examiner les vulnérabilités des sites. HP estime que 80 % de toutes les vulnérabilités sont causées par des paramètres de serveur Web incorrects, l'utilisation de logiciels obsolètes ou d'autres problèmes qui auraient pu être facilement évités.

Les services de la revue aident à identifier de telles situations. En règle générale, les scanners vérifient une base de données de vulnérabilités connues. Certains d'entre eux sont assez simples et vérifient uniquement ports ouverts, tandis que d'autres travaillent avec plus de soin et essaient même d'effectuer une injection SQL.

WebSAINT

SAINT est un scanner de vulnérabilités bien connu, sur la base duquel sont créés les services Web WebSAINT et WebSAINT Pro. En tant que fournisseur d'analyse agréé, le service effectue une analyse ASV des sites Web des organisations pour lesquelles cela est requis selon les termes de la certification PCI DSS. Il peut fonctionner selon un calendrier et effectuer des contrôles périodiques, et générer divers rapports basés sur les résultats de l'analyse. WebSAINT analyse les ports TCP et UDP sur les adresses spécifiées sur le réseau de l'utilisateur. La version « professionnelle » ajoute des pentests, des analyses d'applications Web et des rapports personnalisés.

ImmuniWeb

Le service ImmuniWeb de High-Tech Bridge utilise une approche d'analyse légèrement différente : en plus de l'analyse automatique, il propose également des pentests manuels. La procédure commence à l'heure indiquée par le client et dure jusqu'à 12 heures. Le rapport est examiné par les employés de l'entreprise avant d'être envoyé au client. Il spécifie au moins trois façons d'éliminer chaque vulnérabilité identifiée, y compris des options pour modifier le code source de l'application Web, modifier les règles de pare-feu et installer un correctif.

Il faut payer plus pour le travail humain que pour contrôle automatique. Une analyse complète avec les pentests ImmuniWeb coûte 639 $.

Au-delà du SaaS

Le BeyondSaaS de BeyondTrust coûtera encore plus cher. Les clients se voient proposer un abonnement de 3 500 $, après quoi ils peuvent effectuer un nombre illimité d'audits tout au long de l'année. Une analyse unique coûte 700 $. Les sites Web sont vérifiés pour les injections SQL, XSS, CSRF et les vulnérabilités du système d'exploitation. Les développeurs déclarent que la probabilité de faux positifs ne dépasse pas 1% et indiquent également dans les rapports des options pour corriger les problèmes.

BeyondTrust propose d'autres outils d'analyse des vulnérabilités, notamment la communauté gratuite Retina Network, limitée à 256 adresses IP.

Dell Secure fonctionne

Dell Secure Works est peut-être le scanner Web le plus avancé examiné. Il fonctionne sur la technologie QualysGuard Vulnerability Management et vérifie les serveurs Web, Périphériques réseau, serveurs d'applications et SGBD à la fois au sein du réseau d'entreprise et sur l'hébergement cloud. Le service Web est conforme aux exigences PCI, HIPAA, GLBA et NERC CIP.



Populaire dans la catégorie :
Comment créer un clip karaoké sur un ordinateur ?
Comment créer un clip karaoké sur un ordinateur ?
lire
L'application Origin est requise pour le jeu, mais elle n'est pas installée. FIFA 16 nécessite Origin.
L'application Origin est nécessaire pour jouer, mais elle n'est pas installée FIFA...
lire
Enregistrement d'une page personnelle sur le réseau social Facebook
Enregistrement d'une page personnelle sur le réseau social Facebook
lire
Comment exécuter une simple analyse Nmap Nmap
Comment exécuter une simple analyse Nmap Nmap
lire

Derniers articles
Comment faire pivoter une image de quelques degrés...
lire
Désactivation de la publicité dans le navigateur Yandex Où...
lire
Dépannage des problèmes de connexion Wi-Fi sur...
lire
Changer le mot de passe sur le profil Windows 10
lire
Instructions pour configurer des routeurs sans fil...
lire
Comment choisir un disque dur et lequel est-il préférable d'acheter...
lire
Meizu pour les nuls. Appels et carnet d'adresses....
lire
Télécharger le programme PDFMaster
lire
Haut