Scansione per la sicurezza delle risorse web. Come proteggere un'applicazione web: consigli base, strumenti, link utili. Presunta novità scientifica

hanno dimostrato che oltre il 70% dei siti web scansionati erano infetti da una o più vulnerabilità.

In qualità di proprietario di un'applicazione Web, come puoi assicurarti che il tuo sito sia protetto dalle minacce online? O dalla fuga di informazioni riservate?

Se utilizzi una soluzione di sicurezza basata su cloud, è probabile che la scansione regolare delle vulnerabilità faccia parte del tuo piano di sicurezza.

In caso contrario, è necessario eseguire una scansione di routine e agire azioni necessarie per mitigare i rischi.

Esistono due tipi di scanner.

1.Commerciale: offre la possibilità di automatizzare la scansione per garantire sicurezza continua, reporting, avvisi, istruzioni dettagliate sulla mitigazione del rischio ecc. Alcuni dei nomi famosi in questo settore sono:

Acunetix
Rilevare
Qualys

Open Source/Gratuito: puoi scaricare ed eseguire controlli di sicurezza su richiesta.

Non tutti saranno in grado di coprire un’ampia gamma di vulnerabilità come quella commerciale.

Diamo un'occhiata ai seguenti scanner di vulnerabilità open source.

1. Aracni

Arachni è uno scanner di sicurezza ad alte prestazioni costruito su Ruby per le moderne applicazioni web.

È disponibile in formato binario per Mac, Windows e Linux.

Non solo è una soluzione per un sito Web statico o CMS di base, ma Arachni è anche in grado di integrarsi con le seguenti piattaforme.

Esegue controlli attivi e passivi.

Windows, Solaris, Linux, BSD, Unix
Nginx, Apache, Tomcat, IIS, Jetty
Java, Ruby, Python, ASP, PHP
Django, Rails, CherryPy, CakePHP, ASP.NET MVC, Symfony

Alcune delle vulnerabilità scoperte:

NoSQL / Blind / SQL / Codice / LDAP / Comando / XPath injection
Richiedi scripting cross-site contraffatti
Percorso bypass
Incluso file locale/remoto
Dividere la risposta
Cross Site Scripting
Reindirizzamenti DOM non definiti
Divulgazione codice sorgente

2. XssPy

Lo scanner di vulnerabilità XSS (Cross Site Scripting) basato su Python viene utilizzato da molte organizzazioni tra cui Microsoft, Stanford, Motorola, Informatica, ecc.

XssPy di ​​Faizan Ahmad è uno strumento intelligente. Invece di controllare solo la home page o la pagina, controlla l'intero collegamento sui siti web.

XssPy controlla anche il sottodominio.

3.w3af

w3af, un progetto open source avviato alla fine del 2006, è basato su Python ed è disponibile per sistemi operativi Linux e Windows. w3af è in grado di rilevare più di 200 vulnerabilità, inclusa la top 10 di OWASP.

Supporta vari metodi di registrazione per il reporting. Esempio:

CSV
HTML
Consolle
Testo
XML
E-mail indirizzo

È basato su un'architettura a plugin e puoi controllare tutti i plugin disponibili.

4. Nikto

Un progetto open source sponsorizzato da Netsparker, mira a trovare configurazioni errate, plug-in e vulnerabilità del server Web su Internet.

5. Che schifo

Wfuzz (Web Fuzzer) è uno strumento di valutazione delle applicazioni per i test di penetrazione.

È possibile inserire i dati nella richiesta HTTP per qualsiasi campo per utilizzare l'applicazione Web e convalidarla.

Wfuzz richiede Python sul computer su cui desideri eseguire la scansione.

6. OWASP ZAP

ZAP (Zet Attack Proxy) è uno dei famosi strumenti di penetration test che viene aggiornato attivamente da centinaia di volontari in tutto il mondo.

È uno strumento Java multipiattaforma che può essere eseguito anche su Raspberry Pi.

Lo ZIP si trova tra il browser e l'applicazione web per intercettare e verificare i messaggi.

Vale la pena menzionare alcune delle seguenti funzionalità ZAP.

Fuzzer
Scanner automatico e passivo
Supporta più linguaggi di scripting
Visualizzazione forzata

7.Wapiti

Wapiti esegue la scansione delle pagine Web di un determinato obiettivo e cerca script e moduli di immissione dati per vedere se è vulnerabile.

Questo non è un controllo di sicurezza del codice sorgente, ma piuttosto un controllo della scatola nera.

Supporta metodi GET e POST HTTP, proxy HTTP e HTTPS, autenticazioni multiple, ecc.

8.Vega

Vega è sviluppato da Subgraph, un software multipiattaforma scritto in Java per trovare XSS, SQLi, RFI e molte altre vulnerabilità.

Vega si mise a suo agio GUI ed è in grado di eseguire scansioni automatiche accedendo all'applicazione con determinate credenziali.

Se sei uno sviluppatore, puoi utilizzare l'API vega per creare nuovi moduli di attacco.

9. MappaSQL

Come puoi intuire dal nome, con esso puoi eseguire test di penetrazione su un database per trovare difetti.

Funziona con Python 2.6 o 2.7 su qualsiasi sistema operativo. Se lo desideri, sqlmap sarà più utile che mai.

10. Arraffatore

Questo piccolo strumento basato su Python fa alcune cose abbastanza bene.

Alcune delle caratteristiche di Grabber:

Analizzatore del codice sorgente JavaScript
Scripting cross-site, SQL injection, blind SQL injection
Testare applicazioni PHP utilizzando PHP-SAT

11. Golismero

Un framework per la gestione e l'esecuzione di alcuni strumenti di sicurezza popolari come Wfuzz, DNS recon, sqlmap, OpenVas, robot analyzer, ecc.).

Golismero può consolidare le recensioni di altri strumenti e mostrare un risultato.

12. OWASP Xenotix XSS

Xenotix XSS OWASP è un framework avanzato per la ricerca e lo sfruttamento del cross-site scripting.

Dispone di tre fusori intelligenti integrati per scansioni rapide e risultati migliori.

13. Metascansione

Scanner per la ricerca delle vulnerabilità delle applicazioni web degli sviluppatori nazionali

Categoria: .

Autore: Maksadkhan Yakubov, Bogdan Shklyarevskij.

Questo articolo discute i problemi di amministrazione delle risorse web, nonché metodi, metodi e raccomandazioni per un'amministrazione sicura e protezione contro hacking e attacchi informatici.

Il primo passo nella progettazione, creazione o gestione di un sito Web sicuro è garantire che il server che lo ospita sia il più sicuro possibile.

Il componente principale di qualsiasi server web è il sistema operativo. Garantirne la sicurezza è relativamente semplice: basta installarlo in tempo Ultimi aggiornamenti sistemi di sicurezza.

Vale la pena ricordare che gli hacker tendono anche ad automatizzare i propri attacchi utilizzando malware che attraversa un server dopo l'altro, cercando un server in cui l'aggiornamento non è aggiornato o non è stato installato. Si raccomanda pertanto di assicurarsi che gli aggiornamenti vengano installati tempestivamente e correttamente; Qualsiasi server su cui sono installate versioni obsolete degli aggiornamenti potrebbe essere soggetto ad attacchi.

Dovresti anche aggiornare in tempo tutto il software in esecuzione sul server web. Qualsiasi software che non sia un componente richiesto (ad esempio, un server DNS o strumenti di amministrazione remota come VNC o Servizi Desktop remoto) deve essere disabilitato o rimosso. Se sono necessari strumenti di amministrazione remota, fare attenzione a non utilizzare password predefinite o password facilmente indovinabili. Questa nota si applica non solo agli strumenti di amministrazione remota, ma anche agli account utente, ai router e agli switch.

Prossimo punto importanteè un software antivirus. Il suo utilizzo è un requisito obbligatorio per qualsiasi risorsa web, indipendentemente dal fatto che venga utilizzata come piattaforma Windows o Unix. Se combinato con un firewall flessibile, il software antivirus diventa uno dei migliori modi efficaci protezione contro gli attacchi informatici. Quando un server web diventa il bersaglio di un attacco, l'aggressore tenta immediatamente di scaricare strumenti di hacking o software dannoso per sfruttare le vulnerabilità della sicurezza. In assenza di un software antivirus di alta qualità, una vulnerabilità della sicurezza può rimanere inosservata per molto tempo e portare a conseguenze indesiderate.

Più L'opzione migliore Quando si proteggono le risorse informative, esiste un approccio multilivello. Sul fianco anteriore si trovano il firewall e il sistema operativo; l'antivirus dietro di loro è pronto a colmare eventuali lacune che si presentano.

In base ai parametri sistema operativo e funzionalità del web server, si possono citare le seguenti tecniche generali di protezione dagli attacchi informatici:

• Non installare componenti non necessari. Ogni componente porta con sé una minaccia separata; più ce ne sono, maggiore è il rischio totale.
• Mantieni aggiornati il ​​tuo sistema operativo e le tue applicazioni con gli aggiornamenti di sicurezza.
• Usa l'antivirus, accendilo installazione automatica aggiornamenti e controlla regolarmente che siano installati correttamente.

Alcuni di questi compiti possono sembrare difficili, ma ricorda che per attaccare è sufficiente una sola falla di sicurezza. I potenziali rischi in questo caso includono il furto di dati e traffico, l'inserimento nella lista nera dell'indirizzo IP del server, il danno alla reputazione dell'organizzazione e l'instabilità del sito web.

In base al grado di criticità delle vulnerabilità, di norma, esistono 5 livelli che determinano lo stato della vulnerabilità. questo momento c'è una risorsa web (Tabella 1). In genere, gli aggressori, in base ai loro obiettivi e alle loro qualifiche, cercano di prendere piede sulla risorsa compromessa e mascherare la loro presenza.

Non sempre l'hacking di un sito può essere riconosciuto da segnali esterni (reindirizzamento mobile, link spam sulle pagine, banner di altri utenti, defacement, ecc.). Se il sito è compromesso, questi segni esterni potrebbero non essere presenti. La risorsa può funzionare normalmente, senza interruzioni, errori o essere inclusa nelle liste nere degli antivirus. Ma questo non significa che il sito sia sicuro. Il problema è che è difficile notare il fatto di hackerare e scaricare script di hacker senza condurre un controllo di sicurezza, e le shell web, le backdoor e altri strumenti degli hacker stessi possono rimanere sull'hosting per un periodo piuttosto lungo e non essere utilizzati per i loro scopi. scopo previsto. Ma un giorno arriva il momento in cui iniziano ad essere gravemente sfruttati da un utente malintenzionato, causando problemi al proprietario del sito. Per spam o pubblicazione di pagine di phishing, il sito viene bloccato sull'hosting (o parte della funzionalità è disabilitata) e la comparsa di reindirizzamenti o virus sulle pagine è irta del divieto di antivirus e sanzioni da parte di motori di ricerca. In tal caso, è necessario "trattare" urgentemente il sito, quindi installare una protezione contro gli attacchi hacker in modo che la trama non si ripeta. Spesso gli antivirus standard non riconoscono alcuni tipi di trojan e web shell; il motivo potrebbe essere un aggiornamento intempestivo o un software obsoleto. Quando controlli una risorsa web per virus e script, dovresti usare programmi antivirus di diverse specializzazioni, in questo caso un Trojan non trovato da un programma antivirus può essere rilevato da un altro. La Figura 1 mostra un esempio di report di scansione di un software antivirus ed è importante notare il fatto che altri programmi antivirus non sono stati in grado di rilevare il malware.

Trojan come “PHP/Phishing.Agent.B”, “Linux/Roopre.E.Gen”, “PHP/Kryptik.AE” vengono utilizzati dagli aggressori per telecomando computer. Tali programmi spesso entrano in un sito Web tramite e-mail, software gratuito, altri siti Web o chat room. Nella maggior parte dei casi, un programma di questo tipo funge da file utile. Tuttavia, si tratta di un trojan dannoso che raccoglie le informazioni personali degli utenti e le trasferisce agli aggressori. Inoltre, può connettersi automaticamente a determinati siti Web e scaricare altri tipi di malware nel sistema. Per evitare il rilevamento e la rimozione, "Linux/Roopre.E.Gen" potrebbe disabilitare le funzionalità di sicurezza. Questo programma Trojan è sviluppato utilizzando la tecnologia rootkit, che gli consente di nascondersi all'interno del sistema.

• "PHP/WebShell.NCL" è un programma Trojan che può eseguire varie funzioni, come eliminare file di sistema, scaricare malware, nascondere componenti esistenti o informazioni personali scaricate e altri dati. Questo programma può aggirare la scansione antivirus generale ed entrare nel sistema all'insaputa dell'utente. Questo programmaè in grado di installare una backdoor per consentire agli utenti remoti di assumere il controllo di un sito Web infetto. Utilizzando questo programma, un utente malintenzionato può spiare un utente, gestire file, installare software aggiuntivo e controllare l'intero sistema.
• "JS/TrojanDownloader.FakejQuery. UN" - un programma trojan, i cui obiettivi principali sono siti sviluppati utilizzando i CMS “WordPress” e “Joomla”. Quando un utente malintenzionato hackera un sito Web, esegue uno script che simula l'installazione dei plugin WordPress o Joomla e quindi inserisce codice JavaScript dannoso nel file header.php.
• "PHP/piccolo.NBK" - è un'applicazione dannosa che consente agli hacker di ottenere l'accesso remoto sistema informatico, consentendo loro di modificare file, rubare informazioni personali e installare altro software dannoso. Questi tipi di minacce, chiamati cavalli di Troia, vengono solitamente scaricati da un utente malintenzionato o scaricati da un altro programma. Possono anche apparire a causa dell'installazione di applicazioni o giochi online infetti, nonché durante la visita di siti infetti.

Sfortunatamente, gli script degli hacker non vengono rilevati da segnali esterni o da scanner esterni. Pertanto, né gli antivirus dei motori di ricerca né i software antivirus installati sul computer del webmaster segnaleranno problemi di sicurezza del sito. Se gli script si trovano da qualche parte nelle directory di sistema del sito (non nella root o nelle immagini) o vengono inseriti in script esistenti, non verranno notati accidentalmente.

Figura 1. Esempio di rapporto di scansione del software antivirus

Pertanto, le seguenti raccomandazioni potrebbero essere misure necessarie per proteggere le risorse web:

1. Regolare backup tutto il contenuto file system, database e registri eventi (file di registro).
2. Aggiornamento regolare del sistema di gestione dei contenuti all'ultima versione stabile del CMS (sistema di gestione dei contenuti).
3. Utilizzo di password complesse. Requisiti della password: la password deve contenere almeno otto caratteri e durante la creazione della password devono essere utilizzati caratteri maiuscoli e minuscoli, nonché caratteri speciali.
4. È obbligatorio utilizzare componenti aggiuntivi o plug-in di sicurezza per prevenire attacchi come attacchi XSS o SQL injection.
5. L'uso e l'installazione di componenti aggiuntivi (plugin, modelli o estensioni) devono essere effettuati solo da fonti attendibili o siti Web di sviluppatori ufficiali.
6. Scansione del file system almeno una volta alla settimana con programmi antivirus e utilizzo di firme di database aggiornate.
7. Prevedere l'utilizzo del meccanismo CAPTCHA per proteggere il sito web dall'hacking tramite forza bruta delle password in fase di autorizzazione e inserimento dati in eventuali form di richiesta (form feedback, ricerca, ecc.).
8. Limitare la possibilità di entrare pannello amministrativo controllo del sito web dopo un certo numero di tentativi falliti.
9. Configurare correttamente la politica di sicurezza del sito web tramite il file di configurazione del server web, tenendo conto di parametri quali:

• limitare il numero di indirizzi IP utilizzati dall'amministratore per accedere al pannello di controllo amministrativo del sito web al fine di impedire l'accesso allo stesso da parte di indirizzi IP non autorizzati;
• impedire la trasmissione di tag con mezzi diversi dalla formattazione del testo (ad esempio p b i u) per prevenire attacchi XSS.

1. Spostamento di file contenenti informazioni sull'accesso al database, accesso FTP, ecc. dalle directory predefinite ad altre e quindi rinominazione di questi file.

Anche per un hacker meno esperto, è abbastanza facile hackerare un sito web Joomla se non si fornisce protezione. Ma, sfortunatamente, i webmaster spesso rimandano a più tardi la protezione del loro sito dagli attacchi hacker, considerandola una questione non essenziale. Ripristinare l'accesso al tuo sito richiederà molto più tempo e impegno rispetto all'adozione di misure per proteggerlo. La sicurezza di una risorsa web è compito non solo dello sviluppatore e dell'hoster, che è tenuto a garantire la massima sicurezza dei server, ma anche dell'amministratore del sito.

introduzione

IN impresa moderna Le tecnologie web hanno guadagnato un’enorme popolarità. La maggior parte dei siti grandi aziende sono un insieme di applicazioni che dispongono di interattività, strumenti di personalizzazione e mezzi di interazione con i clienti (negozi online, negozi remoti servizi bancari) e spesso - mezzi di integrazione con le applicazioni aziendali interne dell'azienda.

Tuttavia, una volta che un sito web diventa disponibile su Internet, diventa un bersaglio per gli attacchi informatici. Maggior parte in modo semplice Gli attacchi contro un sito web oggi significano sfruttare le vulnerabilità dei suoi componenti. E il problema principale è che le vulnerabilità sono diventate abbastanza comuni sui siti Web moderni.

Le vulnerabilità rappresentano una minaccia imminente e crescente. Nella maggior parte dei casi sono il risultato di difetti di sicurezza nel codice dell'applicazione web e di un'errata configurazione dei componenti del sito web.

Diamo alcune statistiche. Secondo i dati del rapporto sulle minacce informatiche per la prima metà del 2016, High-Tech Bridge pubblica le tendenze della sicurezza web della prima metà del 2016, preparato da High-Tech Bridge:

• oltre il 60% dei servizi web o API per applicazioni mobili contenere almeno una vulnerabilità pericolosa che consenta di compromettere il database;
• Il 35% dei siti vulnerabili agli attacchi XSS sono vulnerabili anche alle SQL injection e agli attacchi XXE;
• Il 23% dei siti contiene la vulnerabilità POODLE e solo lo 0,43% - Heartbleed;
• i casi di sfruttamento di vulnerabilità pericolose (ad esempio, consentendo l'iniezione SQL) durante gli attacchi RansomWeb sono aumentati di 5 volte;
• Il 79,9% dei server Web presenta intestazioni http configurate in modo errato o non sicure;
• Gli aggiornamenti e le correzioni richiesti oggi sono installati solo sul 27,8% dei server web.

Per proteggere le risorse web, specialisti informazioni di sicurezza utilizzare un insieme diverso di strumenti. Ad esempio, i certificati SSL vengono utilizzati per crittografare il traffico e sul perimetro dei server Web è installato un Web Application Firewall (WAF), che richiede una configurazione seria e un lungo autoapprendimento. Un mezzo altrettanto efficace per garantire la sicurezza del sito web è controllare periodicamente lo stato di sicurezza (ricerca di vulnerabilità), e gli strumenti per eseguire tali controlli sono gli scanner di sicurezza del sito web, menzionati anche parleremo in questa recensione.

Il nostro sito Web aveva già una recensione dedicata agli scanner di sicurezza delle applicazioni Web - "", che esaminava i prodotti dei leader di mercato. In questa recensione non toccheremo più questi argomenti, ma ci concentreremo su una revisione degli scanner di sicurezza gratuiti dei siti Web.

Il tema del software libero è particolarmente rilevante oggi. A causa della situazione economica instabile in Russia, molte organizzazioni (sia del settore commerciale che pubblico) stanno attualmente ottimizzando i propri budget IT e spesso non ci sono abbastanza soldi per acquistare costosi prodotti commerciali per l'analisi della sicurezza dei sistemi. Allo stesso tempo, ci sono molte utilità gratuite (gratuite, open source) per la ricerca di vulnerabilità di cui le persone semplicemente non sono a conoscenza. Inoltre, alcuni di essi non sono inferiori funzionalità ai loro concorrenti pagati. Pertanto, in questo articolo parleremo degli scanner di sicurezza gratuiti per siti Web più interessanti.

Cosa sono gli scanner di sicurezza dei siti web?

Gli scanner di sicurezza dei siti Web sono strumenti software (hardware e software) che ricercano difetti nelle applicazioni Web (vulnerabilità) che portano alla violazione dell'integrità del sistema o dei dati dell'utente, al loro furto o all'acquisizione del controllo del sistema nel suo complesso.

Utilizzando gli scanner di sicurezza dei siti Web, è possibile rilevare le vulnerabilità nelle seguenti categorie:

• vulnerabilità della fase di codifica;
• vulnerabilità in fase di implementazione e configurazione di un'applicazione web;
• vulnerabilità della fase operativa del sito web.

Tra le vulnerabilità in fase di codifica rientrano le vulnerabilità legate all'errata elaborazione dei dati di input e output (SQL injection, XSS).

Tra le vulnerabilità in fase di implementazione del sito web rientrano le vulnerabilità legate a impostazioni errate dell'ambiente dell'applicazione web (server web, server applicazioni, SSL/TLS, framework, componenti di terze parti, presenza della modalità DEBUG, ecc.).

Le vulnerabilità nella fase operativa del sito Web includono vulnerabilità associate all'uso di software obsoleto, password semplici, archiviazione di copie archiviate su un server Web in accesso pubblico, disponibilità di moduli di servizio disponibili pubblicamente (phpinfo), ecc.

Come funzionano gli scanner di sicurezza dei siti web

In generale, il principio di funzionamento di uno scanner di sicurezza per siti Web è il seguente:

• Raccolta di informazioni sull'oggetto in studio.
• Verifica delle vulnerabilità del software del sito Web utilizzando database delle vulnerabilità.
• Individuazione dei punti deboli del sistema.
• Formazione di raccomandazioni per la loro eliminazione.

Categorie di scanner di sicurezza dei siti Web

Gli scanner di sicurezza dei siti web, a seconda del loro scopo, possono essere suddivisi nelle seguenti categorie (tipi):

• Scanner di rete - questo tipo gli scanner rivelano i servizi di rete disponibili, installano le loro versioni, determinano il sistema operativo, ecc.
• Scanner per la ricerca di vulnerabilità negli script web- questo tipo di scanner ricerca vulnerabilità come SQL inj, XSS, LFI/RFI, ecc. o errori (file temporanei non eliminati, indicizzazione di directory, ecc.).
• Trovatori di exploit- questo tipo di scanner è progettato per la ricerca automatizzata di exploit in Software e script.
• Strumenti di automazione dell'iniezione- utility che si occupano specificatamente della ricerca e dello sfruttamento delle iniezioni.
• Debugger- strumenti per correggere errori e ottimizzare il codice in un'applicazione web.

Esistono anche utilità universali che includono le funzionalità di diverse categorie di scanner contemporaneamente.

Di seguito è riportata una breve panoramica degli scanner di sicurezza gratuiti dei siti Web. Poiché esistono molte utilità gratuite, nella recensione sono inclusi solo gli strumenti gratuiti più popolari per l'analisi della sicurezza delle tecnologie web. Per includere una determinata utilità nella revisione, sono state analizzate le risorse specializzate sul tema della sicurezza della tecnologia web:

Una breve rassegna degli scanner gratuiti per la sicurezza dei siti Web

Scanner di rete

Nmap

Tipo di scanner: scanner di rete.

Nmap (Network Mapper) è un'utilità gratuita e open source. È progettato per scansionare reti con un numero qualsiasi di oggetti, determinare lo stato degli oggetti della rete scansionata, nonché le porte e i servizi corrispondenti. Per fare ciò, Nmap utilizza molti metodi di scansione diversi, come UDP, TCP connect, TCP SYN (half-open), FTP proxy (ftp rivoluzionario), Reverse-ident, ICMP (ping), FIN, ACK, Xmas tree, SYN e scansione NULL.

Nmap supporta inoltre un'ampia gamma di funzionalità aggiuntive, ovvero: determinazione del sistema operativo di un host remoto utilizzando le impronte digitali dello stack TCP/IP, scansione "invisibile", calcolo dinamico della latenza e ritrasmissione dei pacchetti, scansione parallela, identificazione degli host inattivi utilizzando il ping polling parallelo , scansione utilizzando host falsi, rilevamento della presenza di filtri di pacchetti, scansione RPC diretta (senza utilizzare un portmapper), scansione utilizzando la frammentazione IP, nonché indicazione arbitraria di indirizzi IP e numeri di porta delle reti scansionate.

Nmap ha ricevuto lo status di Prodotto di sicurezza dell'anno da riviste e comunità come Linux Journal, Info World, LinuxQuestions.Org e Codetalker Digest.

Piattaforma: l'utilità è multipiattaforma.

Puoi trovare ulteriori informazioni sullo scanner Nmap.

Strumenti IP

Tipo di scanner: scanner di rete.

IP Tools è un analizzatore di protocollo che supporta regole di filtraggio, adattatore di filtraggio, decodifica di pacchetti, descrizione di protocollo e molto altro. Informazioni dettagliate ogni pacchetto è contenuto in un albero di stili, un menu contestuale permette di scansionare l'indirizzo IP selezionato.

Oltre allo sniffer di pacchetti, IP Tools offre un set completo di strumenti di rete, incluso adattatore statistico, monitoraggio del traffico IP e molto altro.

Puoi trovare ulteriori informazioni sullo scanner IP-Tools.

Pesce saltato

Lo scanner di vulnerabilità web multipiattaforma Skipfish del programmatore Michal Zalewski esegue un'analisi ricorsiva di un'applicazione web e il suo controllo basato su dizionario, dopo di che crea una mappa del sito annotata con commenti sulle vulnerabilità rilevate.

Lo strumento è sviluppato internamente da Google.

Lo scanner esegue un'analisi dettagliata dell'applicazione web. È inoltre possibile creare un dizionario per testare successivamente la stessa applicazione. Il rapporto dettagliato di Skipfish contiene informazioni sulle vulnerabilità rilevate, l'URL della risorsa contenente la vulnerabilità e la richiesta inviata. Nel report, i dati ottenuti sono ordinati per livello di gravità e tipo di vulnerabilità. Il report viene generato in formato html.

Vale la pena notare che lo scanner delle vulnerabilità web di Skipfish genera una quantità molto elevata di traffico e la scansione richiede molto tempo.

Piattaforme: MacOS, Linux, Windows.

Puoi scoprire di più sullo scanner Skipfish.

Wapiti

Tipo di scanner: scanner per la ricerca di vulnerabilità negli script web.

Wapiti è un'utilità console per il controllo delle applicazioni web. Funziona secondo il principio della “scatola nera”.

Wapiti funziona come segue: innanzitutto, lo scanner WASS analizza la struttura del sito, cerca gli script disponibili e analizza i parametri. Wapiti quindi attiva il fuzzer e continua la scansione finché non vengono trovati tutti gli script vulnerabili.

Lo scanner Wapiti WASS funziona con i seguenti tipi di vulnerabilità:

• Divulgazione di file (inclusione/richiesta locale e remota, fopen, readfile).
• Iniezione di database (PHP/JSP/ASP SQL Injection e XPath Injection).
• Iniezione XSS (Cross Site Scripting) (riflessa e permanente).
• Rilevamento dell'esecuzione del comando (eval(), system(), passtru()...).
• Iniezione CRLF (suddivisione della risposta HTTP, fissazione della sessione...).
• Iniezione XXE (XmleXternal Entity).
• Utilizzo di file potenzialmente pericolosi.
• Configurazioni .htaccess deboli che possono essere aggirate.
• Presenza di file di backup che forniscono informazioni sensibili (divulgazione del codice sorgente).

Wapiti è incluso nelle utilità della distribuzione Kali Linux. Puoi scaricare i sorgenti da SourceForge e usarli su qualsiasi distribuzione basata sul kernel Linux. Wapiti supporta i metodi di richiesta GET e POST HTTP.

Piattaforme: Windows, Unix, MacOS.

Puoi scoprire di più sullo scanner Wapiti.

Nesso

Lo scanner Nessus è uno strumento potente e affidabile che appartiene alla famiglia scanner di rete, consentendo di cercare vulnerabilità nei servizi di rete offerti da sistemi operativi, firewall, router di filtraggio e altri componenti di rete. Per cercare le vulnerabilità, vengono utilizzati come mezzi standard testare e raccogliere informazioni sulla configurazione e il funzionamento della rete, e mezzi speciali, emulando le azioni di un utente malintenzionato per penetrare nei sistemi collegati alla rete.

Puoi scoprire di più sullo scanner Nessus.

bsqlbf-v2

Tipo di scanner: strumento di automazione dell'iniezione.

bsqlbf-v2 è uno script scritto in Perl. Brute forcer per iniezioni SQL cieche. Lo scanner funziona sia con valori interi nell'URL che con valori stringa.

Piattaforme: MS-SQL, MySQL, PostgreSQL, Oracle.

Puoi trovare ulteriori informazioni sullo scanner bsqlbf-v2.

Debugger

Suite Rutto

Tipo di scanner: debugger.

Burp Suite è una raccolta di applicazioni multipiattaforma relativamente indipendenti scritte in Java.

Il nucleo del complesso è il modulo Burp Proxy, che svolge le funzioni di un server proxy locale; i restanti componenti del set sono Spider, Intruder, Repeater, Sequencer, Decoder e Comparer. Tutti i componenti sono interconnessi in un unico insieme in modo tale che i dati possano essere inviati a qualsiasi parte dell'applicazione, ad esempio, da Proxy a Intruder per condurre vari controlli sull'applicazione web, da Intruder a Repeater per un'analisi manuale più approfondita di Intestazioni HTTP.

Piattaforme: software multipiattaforma.

Puoi scoprire di più sullo scanner Burp Suite.

Violinista

Tipo di scanner: debugger.

Fiddler è un proxy di debug che registra tutto il traffico HTTP(S). Lo strumento consente di esaminare questo traffico, impostare un punto di interruzione e “giocare” con i dati in entrata o in uscita.

Caratteristiche funzionali di Fiddler:

• Possibilità di controllare tutte le richieste, biscotti, parametri trasmessi dai browser Internet.
• Funzione per modificare al volo le risposte del server.
• Capacità di manipolare intestazioni e richieste.
• Funzione per modificare la larghezza del canale.

Piattaforme: software multipiattaforma.

Puoi trovare ulteriori informazioni sullo scanner Fiddler.

N-Stalker Web Application Security Scanner X Edizione gratuita

Tipo di scanner: scanner per la ricerca di vulnerabilità negli script web, strumento di ricerca di exploit.

Uno strumento efficace per i servizi web è N-Stealth Security Scanner di N-Stalker. L'azienda vende una versione più completa di N-Stealth, ma è gratuita versione di prova abbastanza adatto per una semplice valutazione. Il prodotto a pagamento ha più di 30mila test di sicurezza del server web, ma anche versione gratuita rileva più di 16mila lacune specifiche, comprese le vulnerabilità in server Web ampiamente utilizzati come Microsoft IIS e Apache. Ad esempio, N-Stealth cerca script vulnerabili Common Gateway Interface (CGI) e Hypertext Preprocessor (PHP) e utilizza attacchi per penetrare server SQL, scenari tipici tra siti e altre lacune nei server Web più diffusi.

N-Stealth supporta sia HTTP che HTTP Secure (HTTPS - utilizzando SSL), confronta le vulnerabilità con il dizionario CVE (Common Vulnerabilities and Exposures) e il database Bugtraq e genera report decenti. N-Stealth viene utilizzato per individuare le vulnerabilità più comuni nei server Web e aiuta a identificare i vettori di attacco più probabili.

Naturalmente, per una valutazione più affidabile della sicurezza di un sito Web o di un'applicazione, si consiglia di acquistare una versione a pagamento.

Puoi scoprire di più sullo scanner N-Stealth.

conclusioni

Testare i siti Web per identificare le vulnerabilità è una buona misura preventiva. Attualmente esistono molti scanner di sicurezza per siti Web commerciali e disponibili gratuitamente. Allo stesso tempo, gli scanner possono essere sia universali (soluzioni complete) che specializzati, progettati solo per identificare determinati tipi di vulnerabilità.

Alcuni scanner gratuiti sono strumenti piuttosto potenti e mostrano grande profondità e buona qualità controlli del sito web. Ma prima di utilizzare utilità gratuite per analizzare la sicurezza dei siti Web, è necessario accertarsi della loro qualità. Oggi esistono già molti metodi per questo (ad esempio, Web Application Security Scanner Evaluation Criteria, OWASP Web Application ScannerSpecific Project).

Solo soluzioni globali possono fornire il quadro più completo della sicurezza di una particolare infrastruttura. In alcuni casi è meglio utilizzare più scanner di sicurezza.

1. Scopo e obiettivi

Lo scopo del lavoro è sviluppare algoritmi per aumentare la sicurezza dell'accesso all'esterno risorse di informazione dalle reti educative aziendali, tenendo conto delle loro caratteristiche minacce alla sicurezza, nonché delle caratteristiche della popolazione di utenti, delle politiche di sicurezza, delle soluzioni architettoniche e del supporto delle risorse.

In base all'obiettivo, nel lavoro vengono risolti i seguenti compiti:

1. Effettuare un'analisi delle principali minacce alla sicurezza delle informazioni nelle reti educative.

2. Sviluppare un metodo per limitare l'accesso alle risorse informative indesiderate nelle reti educative.

3. Sviluppare algoritmi che consentano la scansione di pagine Web, la ricerca di connessioni dirette e il download di file per un'ulteriore analisi del codice potenzialmente dannoso sui siti.

4. Sviluppare un algoritmo per identificare le risorse informative indesiderate sui siti web.

2. Pertinenza dell'argomento

I moderni sistemi di formazione intelligenti sono basati sul Web e forniscono agli utenti la possibilità di lavorare vari tipi risorse educative locali e remote. Problema uso sicuro le risorse informative (IR) pubblicate su Internet stanno diventando sempre più rilevanti. Uno dei metodi utilizzati per risolvere questo problema è limitare l'accesso alle risorse informative indesiderate.

Gli operatori che forniscono accesso a Internet agli istituti scolastici sono tenuti a garantire che l'accesso alle informazioni indesiderate sia limitato. La restrizione viene effettuata filtrando per operatori mediante elenchi regolarmente aggiornati secondo la procedura stabilita. Tuttavia, dato lo scopo e il pubblico di utenti delle reti educative, è consigliabile utilizzare un sistema più flessibile e di autoapprendimento in grado di riconoscere dinamicamente le risorse indesiderate e di proteggere gli utenti da esse.

In generale, l'accesso a risorse indesiderate comporta le seguenti minacce: propaganda di azioni illegali e asociali, quali: estremismo politico, terrorismo, tossicodipendenza, distribuzione di pornografia e altri materiali; distrarre gli studenti dall'utilizzo delle reti informatiche per scopi didattici; difficoltà di accesso a Internet a causa del sovraccarico di canali esterni con larghezza di banda limitata. Le risorse sopra elencate vengono spesso utilizzate per iniettare malware e le minacce associate.

I sistemi esistenti per limitare l'accesso alle risorse di rete hanno la capacità di verificare non solo la conformità dei singoli pacchetti con le restrizioni specificate, ma anche il loro contenuto, ovvero il contenuto trasmesso attraverso la rete. Attualmente, i sistemi di filtraggio dei contenuti utilizzano i seguenti metodi per filtrare i contenuti web: per nome DNS o indirizzo IP specifico, per parole chiave all'interno del contenuto web e per tipo di file. Per bloccare l'accesso a un sito Web o a un gruppo di siti specifico, è necessario specificare più URL che contengono contenuto inappropriato. Il filtraggio degli URL fornisce un controllo completo sulla sicurezza della rete. Tuttavia, è impossibile prevedere in anticipo tutti i possibili URL inappropriati. Inoltre, alcuni siti web con contenuti dubbi non funzionano con gli URL, ma esclusivamente con gli indirizzi IP.

Un modo per risolvere il problema è filtrare i contenuti ricevuti tramite il protocollo HTTP. Lo svantaggio dei sistemi di filtraggio dei contenuti esistenti è l'uso di elenchi di controllo degli accessi generati staticamente. Per riempirli, gli sviluppatori di sistemi di filtraggio dei contenuti commerciali assumono dipendenti che dividono i contenuti in categorie e classificano i record nel database.

Per eliminare le carenze dei sistemi di filtraggio dei contenuti esistenti per le reti educative, è rilevante sviluppare sistemi di filtraggio del traffico web con determinazione dinamica della categoria di una risorsa web in base al contenuto delle sue pagine.

3. Novità scientifica percepita

Un algoritmo per limitare l'accesso degli utenti di sistemi di apprendimento intelligenti a risorse indesiderate su siti Internet, basato sulla formazione dinamica di elenchi di accesso alle risorse informative attraverso la loro classificazione ritardata.

4. Risultati pratici previsti

Gli algoritmi sviluppati possono essere utilizzati in sistemi per limitare l'accesso a risorse indesiderate nei sistemi di apprendimento dei computer intelligenti.

5. Revisione della ricerca e sviluppo

5.1 Panoramica della ricerca e sviluppo sul tema a livello globale

Il lavoro di scienziati famosi come: H.H. è dedicato ai problemi di garantire la sicurezza delle informazioni. Bezrukov, P.D. Zegzda, A.M. Ivashko, A.I. Kostogrizov, V.I. Kurbatov K. Lendver, D. McLean, A.A. Moldavia, H.A. Moldovyan, A.A. Malyuk, E.A. Derbin, R. Sandhu, J.M. Carroll e altri. Allo stesso tempo, nonostante l'enorme volume di fonti di testo nelle reti aziendali e aperte, nel campo dello sviluppo di metodi e sistemi per la sicurezza delle informazioni, la ricerca mirava ad analizzare le minacce alla sicurezza e a studiare la limitazione dell'accesso a risorse indesiderate nella formazione informatica con accesso al Web .

In Ucraina, il ricercatore leader in questo settore è V.V. Domarev. . La sua tesi di ricerca è dedicata ai problemi della creazione di sistemi complessi di sicurezza delle informazioni. Autore dei libri: “Sicurezza Tecnologie informatiche. Metodologia per la realizzazione dei sistemi di protezione”, “Sicurezza delle tecnologie informatiche. Approccio sistematico”, ecc., autore di oltre 40 articoli e pubblicazioni scientifiche.

5.2 Revisione della ricerca e sviluppo sul tema a livello nazionale

Presso l'Università tecnica nazionale di Donetsk, sviluppo di modelli e metodi per la creazione di un sistema di sicurezza informatica rete aziendale Khimka S.S. è stata coinvolta nell'impresa tenendo conto di vari criteri. . La protezione delle informazioni nei sistemi educativi era occupata da Yu.S. .

6. Problemi di limitazione dell'accesso alle risorse web nei sistemi educativi

Lo sviluppo della tecnologia dell'informazione ci consente attualmente di parlare di due aspetti della descrizione delle risorse: il contenuto di Internet e l'infrastruttura di accesso. L'infrastruttura di accesso è solitamente intesa come un insieme di hardware e Software, che fornisce la trasmissione dei dati nel formato del pacchetto IP, e il contenuto è definito come una combinazione della forma di presentazione (ad esempio, come una sequenza di caratteri in una determinata codifica) e del contenuto (semantica) delle informazioni. Tra le proprietà caratteristiche di tale descrizione, dovrebbe essere evidenziato quanto segue:

1. indipendenza dei contenuti dall'infrastruttura di accesso;

2. continui cambiamenti qualitativi e quantitativi nei contenuti;

3. l'emergere di nuove risorse informative interattive (“live journals”, mezzi di comunicazione sociale, enciclopedie libere, ecc.), in cui gli utenti partecipano direttamente alla creazione di contenuti online.

Quando si risolvono i problemi di controllo dell'accesso alle risorse informative, di grande importanza sono le questioni relative allo sviluppo di politiche di sicurezza, che vengono risolte in relazione alle caratteristiche dell'infrastruttura e del contenuto della rete. Quanto più alto è il livello di descrizione del modello di sicurezza informatica, tanto più il controllo degli accessi è focalizzato sulla semantica delle risorse di rete. Ovviamente, gli indirizzi MAC e IP (link e livello di rete interazione) delle interfacce dei dispositivi di rete non possono essere legate ad alcuna categoria di dati, poiché lo stesso indirizzo può rappresentare servizi diversi. I numeri di porta (livello di trasporto), di norma, danno un'idea del tipo di servizio, ma non caratterizzano qualitativamente le informazioni fornite da questo servizio. Ad esempio, non è possibile classificare un particolare sito Web in una delle categorie semantiche (media, affari, intrattenimento, ecc.) basate esclusivamente sulle informazioni del livello di trasporto. Sicurezza informazioni di sicurezza a livello applicativo si avvicina al concetto di filtraggio dei contenuti, ovvero controllo degli accessi tenendo conto della semantica delle risorse di rete. Di conseguenza, quanto più il sistema di controllo degli accessi è orientato al contenuto, tanto più differenziato può essere l'approccio in relazione alle diverse categorie di utenti e risorse informative con il suo aiuto. In particolare, un sistema di controllo orientato semanticamente può limitare efficacemente l’accesso degli studenti nelle istituzioni educative a risorse incompatibili con il processo di apprendimento.

Le possibili opzioni per il processo di ottenimento di una risorsa web sono presentate in Fig. 1

Figura 1 - Il processo per ottenere una risorsa web tramite protocollo HTTP

Per garantire un controllo flessibile sull'uso delle risorse Internet, è necessario introdurre una politica adeguata per l'uso delle risorse da parte di un'organizzazione educativa nell'azienda operatore. Questa politica può essere implementata manualmente o automaticamente. L'implementazione "manuale" significa che l'azienda dispone di uno staff speciale che monitora l'attività degli utenti degli istituti scolastici in tempo reale o utilizzando i registri di router, server proxy o firewall. Tale monitoraggio è problematico perché richiede molto lavoro. Per fornire un controllo flessibile sull'utilizzo delle risorse Internet, l'azienda deve fornire all'amministratore uno strumento per implementare la politica di utilizzo delle risorse dell'organizzazione. Il filtraggio dei contenuti serve a questo scopo. La sua essenza sta nella scomposizione degli oggetti di scambio di informazioni in componenti, nell'analisi del contenuto di questi componenti, nel determinare la conformità dei loro parametri con la politica accettata per l'utilizzo delle risorse Internet e nell'intraprendere determinate azioni sulla base dei risultati di tale analisi. Nel caso del filtraggio del traffico web, per oggetto dello scambio di informazioni si intendono le richieste web, i contenuti delle pagine web e i file trasferiti su richiesta dell'utente.

Gli utenti dell'organizzazione educativa accedono a Internet esclusivamente tramite un server proxy. Ogni volta che provi ad accedere a una particolare risorsa, il server proxy controlla se la risorsa è inclusa in un database speciale. Se tale risorsa viene inserita nel database delle risorse vietate, l'accesso ad essa viene bloccato e all'utente viene visualizzato un messaggio corrispondente sullo schermo.

Se la risorsa richiesta non è nel database delle risorse vietate, l'accesso ad essa è concesso, ma la registrazione della visita a questa risorsa viene registrata in uno speciale registro di servizio. Una volta al giorno (o ad altri intervalli), il server proxy genera un elenco delle risorse più visitate (sotto forma di elenco di URL) e lo invia agli esperti. Gli esperti (amministratori di sistema), utilizzando la metodologia appropriata, controllano l'elenco risultante delle risorse e ne determinano la natura. Se la risorsa è di natura non target, l'esperto la classifica (risorsa porno, risorsa di gioco) e apporta una modifica al database. Dopo aver apportato tutte le modifiche necessarie, la versione aggiornata del database viene automaticamente inviata a tutti i server proxy collegati al sistema. Lo schema di filtraggio per le risorse non di destinazione sui server proxy è mostrato in Fig. 2.

Figura 2 – Principi di base del filtraggio delle risorse non di destinazione sui server proxy

I problemi con il filtraggio delle risorse non di destinazione sui server proxy sono i seguenti. Con la filtrazione centralizzata è necessaria un'attrezzatura dell'unità centrale ad alte prestazioni, di grandi dimensioni portata canali di comunicazione nel nodo centrale, il guasto del nodo centrale porta al completo guasto dell'intero sistema di filtraggio.

Con il filtraggio decentralizzato “sul campo” direttamente sulle workstation o sui server dell’organizzazione, il costo di implementazione e supporto è elevato.

Il filtraggio per indirizzo in fase di invio di una richiesta non prevede alcuna reazione preventiva alla presenza di contenuti indesiderati e difficoltà nel filtraggio dei siti web “mascherati”.

Quando si filtra per contenuto, è necessario elaborare grandi quantità di informazioni quando si riceve ciascuna risorsa e la complessità dell'elaborazione delle risorse preparate utilizzando strumenti come Java, Flash.

7. Sicurezza delle informazioni delle risorse web per gli utenti di sistemi di formazione intelligenti

Consideriamo la possibilità di controllare l'accesso alle risorse informative utilizzando una soluzione comune basata sul principio gerarchico dell'integrazione degli strumenti di controllo dell'accesso alle risorse Internet (Fig. 3). La limitazione dell'accesso agli IR indesiderati da IOS può essere ottenuta attraverso una combinazione di tecnologie quali firewalling, utilizzo di server proxy, analisi di attività anomale per rilevare intrusioni, limitazione della larghezza di banda, filtraggio basato sull'analisi del contenuto, filtraggio basato su liste di accesso. In questo caso, uno dei compiti chiave è la formazione e l'utilizzo di elenchi aggiornati di restrizioni di accesso.

Il filtraggio delle risorse indesiderate viene effettuato in conformità con la corrente documenti normativi sulla base di elenchi pubblicati secondo la procedura prevista. La limitazione dell'accesso ad altre risorse informative viene effettuata sulla base di criteri speciali sviluppati dall'operatore della rete educativa.

L'accesso degli utenti al di sotto della frequenza specificata, anche a una risorsa potenzialmente indesiderata, è accettabile. Sono soggette ad analisi e classificazione solo le risorse richieste, ovvero quelle per le quali il numero di richieste degli utenti ha superato una soglia specificata. La scansione e l'analisi vengono eseguite qualche tempo dopo che il numero di richieste supera il valore di soglia (durante il periodo di carico minimo sui canali esterni).

Non vengono scansionate solo le singole pagine web, ma tutte le risorse ad esse associate (analizzando i collegamenti sulla pagina). Di conseguenza, questo approccio consente di determinare la presenza di collegamenti a malware durante la scansione delle risorse.

Figura 3 - Gerarchia degli strumenti di controllo degli accessi alle risorse Internet

(animazione, 24 fotogrammi, 25 KB)

La classificazione automatizzata delle risorse viene effettuata sul server aziendale del cliente, il proprietario del sistema. Il tempo di classificazione è determinato dal metodo utilizzato, che si basa sul concetto di classificazione ritardata delle risorse. Ciò presuppone che l'accesso dell'utente al di sotto di una frequenza specificata, anche a una risorsa potenzialmente indesiderata, sia accettabile. Ciò evita costose classificazioni al volo. Sono soggette ad analisi e classificazione automatizzata solo le risorse richieste, ovvero le risorse per le quali la frequenza delle richieste degli utenti ha superato una soglia specificata. La scansione e l'analisi vengono eseguite qualche tempo dopo che il numero di richieste supera il valore di soglia (durante il periodo di carico minimo sui canali esterni). Il metodo implementa uno schema per costruire dinamicamente tre elenchi: “nero” (ChSP), “bianco” (BSP) e “grigio” (GSP). È vietato l'accesso alle risorse presenti nella lista nera. La lista bianca contiene risorse consentite verificate. L'elenco "grigio" contiene le risorse che sono state richieste dagli utenti almeno una volta, ma non sono state classificate. La formazione iniziale e l'ulteriore adeguamento “manuale” della lista “nera” vengono effettuati sulla base delle informazioni ufficiali sugli indirizzi delle risorse vietate fornite dall'ente governativo autorizzato. Il contenuto iniziale della lista “bianca” è costituito dalle risorse consigliate per l'uso. Qualsiasi richiesta per una risorsa non presente nella lista nera viene accolta. Se questa risorsa non è nella lista "bianca", viene inserita nella lista "grigia", dove viene registrato il numero di richieste a questa risorsa. Se la frequenza delle richieste supera un determinato valore soglia, viene effettuata una classificazione automatizzata della risorsa, in base alla quale viene inserita nella lista “nera” o “bianca”.

8. Algoritmi per determinare la sicurezza delle informazioni delle risorse web per gli utenti di sistemi di formazione intelligenti

Algoritmo di restrizione dell'accesso. Le restrizioni all'accesso a risorse indesiderate sui siti Internet si basano sulla seguente definizione del concetto di rischio di accesso a IR indesiderati in IOS. Il rischio di accesso all'IR i-esimo indesiderato, classificato come classe IR k-esimo, sarà un valore proporzionale alla valutazione esperta del danno causato dall'IR indesiderato di un dato tipo di IOS o all'identità dell'utente e al numero di accessi a questa risorsa per un dato periodo di tempo:

Per analogia con la definizione classica di rischio come prodotto tra la probabilità che una minaccia si realizzi e il costo del danno causato, questa definizione interpreta il rischio come l'aspettativa matematica dell'entità del possibile danno derivante dall'accesso ad un IR indesiderato. In questo caso, l'entità del danno atteso è determinata dal grado di impatto dell'IR sulla personalità degli utenti, che a sua volta è direttamente proporzionale al numero di utenti che hanno subito tale impatto.

Nel processo di analisi di qualsiasi risorsa web, dal punto di vista dell'opportunità o indesiderabilità dell'accesso ad essa, è necessario considerare i seguenti componenti principali di ciascuna delle sue pagine: contenuto, cioè testo e altro (grafico, foto, video) informazioni pubblicate in questa pagina; contenuti pubblicati su altre pagine dello stesso sito (è possibile ottenere collegamenti interni dal contenuto delle pagine caricate da espressioni regolari); collegamenti ad altri siti (sia dal punto di vista dell'eventuale download di virus e cavalli di Troia), sia dal punto di vista della presenza di contenuti indesiderati. Un algoritmo per limitare l'accesso a risorse indesiderate utilizzando elenchi è mostrato in Fig. 4.

Figura 4 – Algoritmo per limitare l'accesso alle risorse indesiderate

Algoritmo per identificare le pagine Web indesiderate. Per classificare i contenuti - testi delle pagine web - è necessario risolvere i seguenti problemi: specificare le categorie di classificazione; estrarre informazioni da testi di origine che possono essere analizzati automaticamente; creazione di raccolte di testi classificati; costruzione e addestramento di un classificatore che funzioni con i set di dati ottenuti.

Viene analizzato l'insieme di testi classificati, identificando i termini: le forme delle parole più frequentemente utilizzate in generale e separatamente per ciascuna categoria di classificazione. Ogni testo di partenza è rappresentato come un vettore, le cui componenti sono le caratteristiche della occorrenza di un dato termine nel testo. Per evitare la scarsità dei vettori e ridurne la dimensione, è consigliabile ridurre le forme delle parole alla loro forma iniziale utilizzando metodi di analisi morfologica. Successivamente, il vettore dovrebbe essere normalizzato, il che ci consente di ottenere un risultato di classificazione più corretto. Per una pagina web possono essere generati due vettori: per le informazioni visualizzate all'utente e per il testo fornito ai motori di ricerca.

Esistono vari approcci per costruire classificatori di pagine web. I più comunemente utilizzati sono: classificatore bayesiano; reti neurali; classificatori lineari; supporto macchina vettoriale (SVM). Tutti i metodi sopra indicati richiedono formazione su una raccolta di formazione e test su una raccolta di test. Per la classificazione binaria, puoi scegliere una soluzione ingenua di Bayes, che presuppone che le caratteristiche nello spazio vettoriale siano indipendenti l'una dall'altra. Assumeremo che tutte le risorse debbano essere classificate come desiderabili e indesiderabili. Quindi l'intera raccolta di esempi di testo di pagine web viene divisa in due classi: C=(C1, C2) e la probabilità a priori di ciascuna classe è P(Ci), i=1,2. Con una raccolta di campioni sufficientemente ampia, possiamo assumere che P(Ci) sia uguale al rapporto tra il numero di campioni della classe Ci e il numero totale di campioni. Per qualche campione D da classificare, dalla probabilità condizionata P(D/Ci), secondo il teorema di Bayes, si può ottenere il valore P(Ci /D):

tenendo conto della costanza di P(D) si ottiene:

Supponendo che i termini nello spazio vettoriale siano indipendenti l'uno dall'altro, possiamo ottenere la seguente relazione:

Per classificare più accuratamente testi con caratteristiche simili (ad esempio, per distinguere tra pornografia e narrativa che descrive scene erotiche), dovrebbero essere introdotti coefficienti di ponderazione:

Se kn=k; se kn è minore di k, kn.=1/|k|. Qui M è la frequenza di tutti i termini nel database dei campioni, L è il numero di tutti i campioni.

9. Indicazioni per il miglioramento degli algoritmi

In futuro, si prevede di sviluppare un algoritmo per l'analisi dei collegamenti al fine di rilevare l'introduzione di codice dannoso nel codice di una pagina Web e confrontare il classificatore bayesiano con la macchina vettoriale di supporto.

10. Conclusioni

È stata effettuata un'analisi del problema della limitazione dell'accesso alle risorse web nei sistemi educativi. I principi di base del filtraggio delle risorse non target sui server proxy sono stati selezionati in base alla formazione e all'utilizzo degli attuali elenchi di restrizioni di accesso. È stato sviluppato un algoritmo per limitare l'accesso a risorse indesiderate tramite elenchi, che consente di generare e aggiornare dinamicamente elenchi di accesso a IR sulla base di un'analisi del loro contenuto, tenendo conto della frequenza delle visite e della popolazione degli utenti. Per identificare i contenuti indesiderati è stato sviluppato un algoritmo basato su un ingenuo classificatore Bayes.

Elenco delle fonti

1. Inverno V. M. Sicurezza globale tecnologie di rete/ V. Zima, A. Moldovyan, N. Moldovyan. - 2a ed. - San Pietroburgo: BHV-Pietroburgo, 2003. - 362 p.
2. Vorotnitsky Yu I. Protezione dall'accesso a risorse informative esterne indesiderate in ambito scientifico ed educativo reti di computer/ Yu.I. Vorotnitsky, Xie Jinbao // Mat. XIVInt. conf. "Protezione completa delle informazioni." - Mogilev, 2009. - pp. 70-71.

I migliori servizi web con cui puoi esaminare i siti per individuare eventuali vulnerabilità. HP stima che l'80% di tutte le vulnerabilità siano causate da impostazioni errate del server Web, utilizzo di software obsoleto o altri problemi che avrebbero potuto essere facilmente evitati.

I servizi nella revisione aiutano a identificare tali situazioni. In genere, gli scanner confrontano un database di vulnerabilità note. Alcuni di essi sono abbastanza semplici e controllano solo porti aperti, mentre altri lavorano con più attenzione e provano persino a eseguire l'SQL injection.

WebSAINT

SAINT è un noto scanner di vulnerabilità, sulla base del quale vengono realizzati i servizi web WebSAINT e WebSAINT Pro. In qualità di fornitore di scansione approvato, il servizio esegue la scansione ASV dei siti Web delle organizzazioni per le quali ciò è richiesto ai sensi della certificazione PCI DSS. Può funzionare secondo un programma, effettuare controlli periodici e generare vari report basati sui risultati della scansione. WebSAINT esegue la scansione delle porte TCP e UDP sugli indirizzi specificati sulla rete dell'utente. La versione "professionale" aggiunge pentest, scansione di applicazioni Web e report personalizzati.

ImmuniWeb

Il servizio ImmuniWeb di High-Tech Bridge utilizza un approccio leggermente diverso alla scansione: oltre alla scansione automatica, offre anche pentest manuali. La procedura inizia all'ora specificata dal cliente e dura fino a 12 ore. Il report viene esaminato dai dipendenti dell'azienda prima di essere inviato al cliente. Specifica almeno tre modi per eliminare ciascuna vulnerabilità identificata, comprese le opzioni per modificare il codice sorgente dell'applicazione web, modificare le regole del firewall e installare una patch.

Devi pagare di più per il lavoro umano che per controllo automatico. Una scansione completa con i pentest ImmuniWeb costa $ 639.

OltreSaaS

BeyondSaaS di BeyondTrust costerà ancora di più. Ai clienti viene offerto un abbonamento di 3.500 dollari, dopo il quale possono condurre un numero illimitato di audit durante tutto l'anno. Una scansione una tantum costa $ 700. I siti Web vengono controllati per individuare eventuali SQL injection, XSS, CSRF e vulnerabilità del sistema operativo. Gli sviluppatori affermano che la probabilità di falsi positivi non è superiore all'1% e nei rapporti indicano anche le opzioni per correggere i problemi.

BeyondTrust offre altri strumenti di scansione delle vulnerabilità, inclusa la Retina Network Community gratuita, che è limitata a 256 indirizzi IP.

Dell sicuro funziona

Dell Secure Works è forse il più avanzato tra gli scanner web recensiti. Funziona sulla tecnologia QualysGuard Vulnerability Management e controlla i server Web, dispositivi di rete, application server e DBMS sia all'interno della rete aziendale che su cloud hosting. Il servizio web è conforme ai requisiti PCI, HIPAA, GLBA e NERC CIP.