Веб-ресурс қауіпсіздігін сканерлеу. Веб-қосымшаны қалай қорғауға болады: негізгі кеңестер, құралдар, пайдалы сілтемелер. Болжалды ғылыми жаңалық

сканерленген веб-сайттардың 70%-дан астамы бір немесе бірнеше осалдықтармен жұқтырылғаны көрсетілген.

Веб-қосымшаның иесі ретінде сайтыңыздың онлайн қауіптерден қорғалғанын қалай қамтамасыз етесіз? Немесе құпия ақпараттың ағып кетуінен бе?

Бұлтқа негізделген қауіпсіздік шешімін пайдаланып жатсаңыз, осалдықтарды тұрақты сканерлеу қорғаныс жоспарының бөлігі болуы мүмкін.

Дегенмен, олай болмаса, әдеттегі сканерлеуді және қабылдауды орындау керек қажетті әрекеттертәуекелдерді азайту үшін.

Сканердің екі түрі бар.

1.Коммерциялық - үздіксіз қауіпсіздік, есеп беру, ескертулер үшін сканерлеуді автоматтандыру мүмкіндігін береді, егжей-тегжейлі нұсқаулартәуекелді азайту және т.б. Осы саладағы белгілі атаулардың кейбірі:

Acunetix
анықтау
Qualys

Ашық бастапқы код / ​​тегін - сұраныс бойынша қауіпсіздік тексерулерін жүктеп алуға және орындауға болады.

Олардың барлығы коммерциялық сияқты осалдықтардың кең ауқымын қамти алмайды.

Келесі ашық бастапқы осалдық сканерлерін қарастырайық.

1. Арахни

Arachni - заманауи веб-қосымшаларға арналған жоғары өнімділік Ruby негізіндегі қауіпсіздік сканері.

Ол Mac, Windows және Linux үшін екілік пішімде қол жетімді.

Бұл негізгі статикалық немесе CMS веб-сайт шешімі ғана емес, сонымен қатар Arachni келесі платформалармен біріктіруге қабілетті.

Ол белсенді және пассивті тексерулерді орындайды.

Windows, Solaris, Linux, BSD, Unix
Nginx, Apache, Tomcat, IIS, Jetty
Java, Ruby, Python, ASP, PHP
Django, Rails, CherryPy, CakePHP, ASP.NET MVC, Symfony

Кейбір осалдықтар анықталды:

NoSQL / Blind / SQL / Code / LDAP / Command / XPath инъекциясы
Жалған сайттар арасындағы сценарийлерді сұрау
айналма жол
Жергілікті/қашықтағы файлды қоса
Жауапты бөлу
Сайтаралық сценарий жазу
Анықталмаған DOM қайта бағыттаулары
Ашу бастапқы код

2.XssPy

Питон негізіндегі XSS (сайтаралық сценарий) осалдық сканерін Microsoft, Stanford, Motorola, Informatica және т.б. сияқты көптеген ұйымдар пайдаланады.

Faizan Ahmad жазған XssPy - ақылды құрал. Басты бетті немесе бетті тексерудің орнына ол веб-сайттардағы барлық сілтемені тексереді.

XssPy сонымен қатар қосалқы доменді тексереді.

3. w3af

w3af, 2006 жылдың соңында басталған ашық бастапқы жоба, Python негізінде жасалған және Linux пен Windows үшін қол жетімді. w3af 200-ден астам осалдықтарды, соның ішінде OWASP топ 10-ын анықтауға қабілетті.

Ол есеп беру үшін әртүрлі журнал жүргізу әдістерін қолдайды.Мысалы:

csv
HTML
Консоль
Мәтін
XML
Электрондық пошта мекенжайы

Ол плагин архитектурасына негізделген және барлық қолжетімді плагиндерді тексеруге болады.

4. Никто

Netsparker демеушілік ететін ашық бастапқы жоба веб-сервердің қате конфигурациясын, плагиндерді және веб осалдықтарын табуға бағытталған.

5.Wfuzz

Wfuzz (Web Fuzzer) – енуді тексеру қолданбасын бағалау құралы.

Веб-бағдарламаны пайдалану және оны тексеру үшін кез келген өріске арналған HTTP сұрауындағы деректерді кесуге болады.

Wfuzz сканерлеуді іске қосқыңыз келетін құрылғыда Python орнатылуын талап етеді.

6.OWASP ZAP

ZAP (Zet Attack Proxy) - бүкіл әлем бойынша жүздеген еріктілер белсенді түрде жаңартып отыратын танымал енуді тексеру құралдарының бірі.

Бұл тіпті Raspberry Pi-де де жұмыс істей алатын кросс-платформалық Java құралы.

ZIP хабарламаларды ұстап алу және тексеру үшін браузер мен веб-қосымшаның арасында отырады.

Төмендегі кейбір ZAP мүмкіндіктерін атап өту керек.

Фуззер
Автоматты және пассивті сканер
Бірнеше сценарий тілдерін қолдау
мәжбүрлі көрініс

7. Толқындық

Wapiti берілген мақсаттың веб-беттерін шарлайды және оның осал екенін білу үшін сценарийлер мен енгізу пішінін іздейді.

Бұл бастапқы кодтың қауіпсіздігін тексеру емес, қара терезені тексеру.

Ол GET және POST HTTP әдістерін, HTTP және HTTPS проксилерін, бірнеше аутентификацияларды және т.б. қолдайды.

8. Вега

Vega XSS, SQLi, RFI және басқа да көптеген осалдықтарды табу үшін Java тілінде жазылған көп платформалы бағдарламалық құрал Subgraph арқылы жасалған.

Вега көмектесті GUIжәне берілген тіркелгі деректерімен қолданбаға кіру арқылы автоматты сканерлеуді орындауға қабілетті.

Егер сіз әзірлеуші ​​болсаңыз, жаңа шабуыл модульдерін жасау үшін vega API пайдалана аласыз.

9. SQLmap

Аты бойынша болжауға болатындай, кемшіліктерді табу арқылы дерекқорға ену тестін орындауға болады.

Ол кез келген ОЖ-де Python 2.6 немесе 2.7-мен жұмыс істейді. Қаласаңыз, sqlmap бұрынғыдан да пайдалы болады.

10 Grabber

Бұл Python негізіндегі шағын құрал, ол бірнеше нәрсені жақсы орындайды.

Grabber мүмкіндіктерінің кейбірі:

JavaScript бастапқы код анализаторы
Сайтаралық сценарий, SQL инъекциясы, соқыр SQL инъекциясы
PHP-SAT арқылы PHP қолданбаларын тестілеу

11. Голизмеро

Wfuzz, DNS recon, sqlmap, OpenVas, робот анализаторы және т.б. сияқты танымал қауіпсіздік құралдарын басқаруға және іске қосуға арналған құрылым.

Golismero басқа құралдардан шолуларды біріктіріп, бір нәтиже көрсете алады.

12. OWASP Xenotix XSS

Xenotix XSS OWASP - тораптар арасындағы сценарийлерді табуға және пайдалануға арналған кеңейтілген құрылым.

Онда жылдам сканерлеу және жақсартылған нәтижелер үшін үш кірістірілген интеллектуалды термобекіткіш бар.

13.Метаскан

Отандық әзірлеушілердің веб-қосымшаларына арналған осалдық сканері

Санат: .

Авторы: Мақсадхан Якубов, Богдан Шкляревский.

Бұл мақалада веб-ресурстарды басқару проблемалары, сондай-ақ қауіпсіз басқару және бұзулар мен кибершабуылдардан қорғау әдістері, әдістері мен ұсыныстары қарастырылады.

Қауіпсіз веб-сайтты жобалау, құру немесе пайдаланудағы бірінші қадам оны орналастыратын сервердің мүмкіндігінше қауіпсіз болуын қамтамасыз ету болып табылады.

Кез келген веб-сервердің негізгі құрамдас бөлігі операциялық жүйе болып табылады. Оның қауіпсіздігін қамтамасыз ету салыстырмалы түрде қарапайым: орнату жеткілікті Соңғы жаңартуларқауіпсіздік жүйелері.

Сондай-ақ, хакерлер жаңарту ескірген немесе орнатылмаған серверді іздеу үшін бір серверді тексеріп шығатын зиянды бағдарламаларды пайдалану арқылы шабуылдарын автоматтандыруға бейім екенін есте ұстаған жөн. Осыған байланысты жаңартулардың уақтылы және дұрыс орнатылуын қамтамасыз ету ұсынылады; ескірген жаңартулары орнатылған кез келген серверге шабуыл жасалуы мүмкін.

Сондай-ақ веб-серверде жұмыс істейтін барлық бағдарламалық құралды уақытында жаңарту керек. Алдын ала шарт болып табылмайтын кез келген бағдарламалық құралды (мысалы, DNS сервері немесе VNC немесе қашықтағы жұмыс үстелі қызметтері сияқты қашықтан басқару құралдары) өшіру немесе жою керек. Қашықтан басқару құралдары әлі де қажет болса, әдепкі немесе оңай болжауға болатын құпия сөздерді пайдаланбағаныңызға көз жеткізіңіз. Бұл ескерту қашықтан басқару құралдарына ғана емес, сонымен қатар пайдаланушы тіркелгілеріне, маршрутизаторларға және қосқыштарға да қатысты.

Келесі маңызды нүктеантивирустық бағдарламалық құрал болып табылады. Оны пайдалану Windows немесе Unix платформасы ретінде пайдаланылғанына қарамастан кез келген веб-ресурс үшін міндетті талап болып табылады. Икемді брандмауэрмен біріктірілген антивирустық бағдарламалық қамтамасыз ету ең көп бағдарламалардың біріне айналады тиімді жолдарыкибершабуылдардан қорғау. Веб-сервер шабуылдың нысанасына айналғанда, шабуылдаушы дер кезінде қауіпсіздік осалдығын пайдалану үшін бұзу құралдарын немесе зиянды бағдарламаларды жүктеп алады. Жоғары сапалы антивирустық бағдарламалық қамтамасыз ету болмаған жағдайда, қауіпсіздіктің осалдығы ұзақ уақыт бойы байқалмай қалуы және жағымсыз салдарға әкелуі мүмкін.

ең көп ең жақсы нұсқаақпараттық ресурстарды қорғау көп деңгейлі тәсіл болған кезде. Алдыңғы қапталда - желіаралық қалқан және операциялық жүйе; олардың артындағы антивирус пайда болған бос орындарды толтыруға дайын.

Параметрлерге негізделген операциялық жүйежәне веб-сервердің функционалдығын ескере отырып, кибершабуылдардан қорғаудың келесі жалпы әдістерін беруге болады:

• Қажет емес құрамдастарды орнатпаңыз. Әрбір компонент өзімен бірге жеке қауіп тудырады; неғұрлым көп болса, соғұрлым жалпы тәуекел жоғары болады.
• Амалдық жүйе мен қолданбалардың қауіпсіздік жаңартуларын уақтылы орнатыңыз.
• Антивирусты қолданыңыз, қосыңыз автоматты орнатужаңартуларды орнатыңыз және олардың дұрыс орнатылғанын жүйелі түрде тексеріңіз.

Бұл тапсырмалардың кейбірі қиын болып көрінуі мүмкін, бірақ шабуыл үшін бір қауіпсіздік тесігі жеткілікті екенін есте сақтаңыз. Бұл жағдайда ықтимал тәуекелдер деректер мен трафикті ұрлау, сервердің IP мекенжайын қара тізімге енгізу, ұйымның беделіне нұқсан келтіру және веб-сайттың тұрақсыздығы болып табылады.

Осалдықтың сыни дәрежесі бойынша, әдетте, 5 деңгей бөлінеді, олар күйді анықтайды. осы сәтвеб-ресурс бар (1-кесте). Әдетте, шабуылдаушылар өздерінің мақсаттары мен біліктіліктеріне сүйене отырып, бұзылған ресурста бекінуге тырысады және олардың қатысуын бүркемелейді.

Сайтты бұзу әрқашан сыртқы белгілермен танылуы мүмкін емес (мобильді қайта бағыттау, беттердегі спам сілтемелері, басқа адамдардың баннерлері, бұзу және т.б.). Сайт бұзылған кезде бұл сыртқы белгілер болмауы мүмкін. Ресурс қалыпты, үзіліссіз, қателерсіз және антивирустардың қара тізіміне түспей жұмыс істей алады. Бірақ бұл сайт қауіпсіз дегенді білдірмейді. Мәселе мынада, қауіпсіздік аудитін жүргізбестен хакерлік сценарийлерді бұзу және жүктеп алу фактісін байқау қиын, ал веб қабықшалар, бэкдорлар және басқа хакерлер құралдарының өзі ұзақ уақыт бойы орналастырылуы мүмкін және олардың мақсаты бойынша пайдаланылмауы мүмкін. . Бірақ бір күні, сәт келеді және оларды шабуылдаушы қатты пайдалана бастайды, нәтижесінде сайт иесі проблемаларға тап болады. Спам, фишингтік беттерді орналастыру үшін сайт хостингте бұғатталған (немесе кейбір функциялар өшірілген) және беттерде қайта бағыттаулар немесе вирустардың пайда болуы антивирустарға тыйым салуға және санкцияларға толы. іздеу жүйелері. Мұндай жағдайда сайтты шұғыл түрде «емдеу», содан кейін сюжет қайталанбауы үшін бұзудан қорғау керек. Көбінесе әдеттегі антивирустар трояндардың кейбір түрлерін және веб қабықшаларын танымайды, мұның себебі уақтылы жаңартылмаған немесе ескірген бағдарламалық жасақтама болуы мүмкін. Веб-ресурсты вирустар мен сценарийлерге тексеру кезінде пайдалану керек антивирустық бағдарламаларәртүрлі мамандықтар, бұл жағдайда бір антивирустық бағдарлама таппаған троянды басқасы анықтай алады. 1-суретте антивирустық бағдарламалық құралды қарап шығу есебінің мысалы көрсетілген, мұнда басқа антивирустық бағдарламалар зиянды бағдарламаны анықтай алмағанын ескеру маңызды.

«PHP/Phishing.Agent.B», «Linux/Roopre.E.Gen», «PHP/Kryptik.AE» сияқты трояндарды шабуылдаушылар пайдаланады. қашықтықтан басқарукомпьютер. Мұндай бағдарламалар көбінесе веб-сайтқа енеді электрондық пошта, тегін бағдарламалық құрал, басқа веб-сайттар немесе сөйлесу бөлмесі. Көбінесе мұндай бағдарлама пайдалы файл ретінде әрекет етеді. Дегенмен, бұл пайдаланушылардың жеке ақпаратын жинайтын және оны шабуылдаушыларға беретін зиянды троян. Бұған қоса, ол белгілі бір веб-сайттарға автоматты түрде қосылып, жүйеге зиянды бағдарламалардың басқа түрлерін жүктей алады. Анықтауды және жоюды болдырмау үшін "Linux/Roopre.E.Gen" қауіпсіздік мүмкіндіктерін өшіруі мүмкін. Бұл троян жүйе ішінде жасыруға мүмкіндік беретін руткит технологиясын қолдану арқылы жасалған.

• PHP/WebShell.NCL жүйелік файлдарды жою, жүктеу сияқты әртүрлі функцияларды орындай алатын троян болып табылады зиянды бағдарлама, бар құрамдастарды немесе жүктеп салынған жеке ақпаратты және басқа деректерді жасыру. Бұл бағдарлама жалпы антивирустық тексеруді айналып өтіп, пайдаланушы білместен жүйеге еніп кетуі мүмкін. Бұл бағдарламақашықтағы пайдаланушылар вирус жұққан веб-сайтты бақылауға алу үшін бэкдорды орнатуға қабілетті. Бұл бағдарламаның көмегімен шабуылдаушы пайдаланушыға тыңшылық жасай алады, файлдарды басқара алады, қосымша бағдарламалық құрал орната алады және бүкіл жүйені басқара алады.
• "JS/TrojanDownloader.FakejQuery. А" - трояндық бағдарлама, шабуылдардың негізгі нысанасы CMS «WordPress» және «Joomla» көмегімен әзірленген сайттар болып табылады. Шабуылдаушы веб-сайтты бұзған кезде, олар WordPress немесе Joomla плагиндерін орнатуға ұқсайтын сценарийді іске қосады, содан кейін header.php файлына зиянды JavaScript енгізеді.
• PHP/small.NBK - хакерлерге қашықтан қол жеткізуге мүмкіндік беретін зиянды бағдарлама компьютерлік жүйе, файлдарды өзгертуге, жеке ақпаратты ұрлауға және көбірек зиянды бағдарламалық құралды орнатуға мүмкіндік береді. Трояндық аттар деп аталатын қауіптердің бұл түрлерін әдетте шабуылдаушы жүктеп алады немесе басқа бағдарлама жүктеп алады. Олар сондай-ақ вирус жұққан қолданбаларды немесе онлайн ойындарды орнатуға байланысты, сондай-ақ вирус жұққан сайттарға барған кезде пайда болуы мүмкін.

Өкінішке орай, хакерлердің сценарийлері сыртқы белгілермен немесе сыртқы сканерлермен анықталмайды. Сондықтан іздеу жүйесінің антивирустары да, веб-шебердің компьютерінде орнатылған антивирустық бағдарламалық құрал да сайттың қауіпсіздік мәселелері туралы хабарламайды. Сценарийлер сайттың жүйелік каталогтарының бір жеріне орналастырылса (түбірде де, суреттерде де емес) немесе бар сценарийлерге енгізілсе, олар да кездейсоқ байқалмайды.

Сурет 1. Вирусқа қарсы сканерлеу есебінің мысалы

Сондықтан веб-ресурстарды қорғау үшін келесі ұсыныстар қажет болуы мүмкін:

1. Тұрақты сақтық көшірмебарлық мазмұн файлдық жүйе, дерекқорлар және оқиғалар журналдары (журнал файлдары).
2. Контентті басқару жүйесін CMS соңғы тұрақты нұсқасына (контентті басқару жүйесі) жүйелі түрде жаңарту.
3. Күрделі құпия сөздерді қолдану. Құпия сөзге қойылатын талаптар: Құпия сөздің ұзындығы кемінде сегіз таңбадан тұруы керек және құпия сөзді жасау кезінде бас, кіші әріптер және арнайы таңбалар қолданылуы керек.
4. XSS шабуылы немесе SQL инъекциясы сияқты шабуылдардың алдын алу үшін қондырмаларды немесе қауіпсіздік плагиндерін міндетті түрде пайдалану.
5. Қосымшаларды (плагиндер, үлгілер немесе кеңейтімдер) пайдалану және орнату тек сенімді көздерден немесе әзірлеушілердің ресми веб-сайттарынан жүзеге асырылуы керек.
6. Вирусқа қарсы бағдарламалармен файлдық жүйені кемінде аптасына бір рет сканерлеу және жаңартылған дерекқор қолтаңбаларын пайдалану.
7. Авторизациялау және сұраулардың кез келген нысанына деректерді енгізу кезінде веб-сайтты дөрекі күшпен бұзудан қорғау үшін CAPTCHA механизмін пайдалануды қамтамасыз етіңіз (форма кері байланыс, іздеу және т.б.).
8. Қол жеткізуді шектеңіз әкімшілік панелібелгілі бір сәтсіз әрекеттерден кейін веб-сайтты басқару.
9. Веб-сервердің конфигурация файлы арқылы веб-сайттың қауіпсіздік саясатын дұрыс конфигурациялаңыз, келесі параметрлерді ескере отырып:

• рұқсат етілмеген IP мекенжайларынан кіруді болдырмау үшін веб-сайттың әкімшілік басқару тақтасына кіру үшін әкімші пайдаланатын IP мекенжайларының санын шектеу;
• XSS шабуылдарын болдырмау үшін мәтінді безендіруден басқа кез келген тәсілмен кез келген тегтерді жіберуге жол бермеу (мысалы, p b i u).

1. Дерекқорға кіру, FTP қатынасу, т.б. туралы ақпаратты қамтитын файлдарды әдепкі каталогтардан басқаларға жылжыту, содан кейін осы файлдардың атын өзгерту.

Егер сіз қорғауды қамтамасыз етпеген болсаңыз, тіпті тәжірибесіз хакерге Joomla сайтын бұзу өте оңай. Бірақ, өкінішке орай, көбінесе веб-шеберлер сайтты бұзудан қорғауды кейінге қалдырады, бұл бірінші қажеттілік емес деп есептейді. Сайтыңызға кіру рұқсатын қалпына келтіру оны қорғау шараларын қабылдаудан гөрі әлдеқайда көп уақыт пен күш жұмсайды. Веб-ресурстың қауіпсіздігі - серверлердің максималды қауіпсіздігін қамтамасыз етуге міндетті әзірлеуші ​​мен хостерге ғана емес, сонымен қатар сайт әкімшісіне де міндет.

Кіріспе

IN заманауи бизнесВеб-технологиялар үлкен танымалдылыққа ие болды. Көптеген сайттар ірі компанияларинтерактивтілігі, жекелендіру құралдары, тұтынушылармен әрекеттесу құралдары (онлайн дүкендер, қашықтан банктік қызметтер), және жиі - және компанияның ішкі корпоративтік қосымшаларымен біріктіру құралдары.

Дегенмен, веб-сайт Интернетте қолжетімді болғаннан кейін ол кибершабуылдардың нысанасына айналады. Көпшілігі қарапайым түрдеБүгінгі күні веб-сайтқа жасалған шабуылдар оның құрамдас бөліктерінің осалдықтарын пайдалану болып табылады. Ал басты мәселе – осалдықтар заманауи сайттар үшін әдеттегідей қалыпты жағдайға айналды.

Осалдықтар - жақын арада және өсіп келе жатқан қауіп. Олар негізінен веб-бағдарлама кодындағы қауіпсіздік ақауларының және веб-сайт компоненттерінің дұрыс конфигурацияланбауының нәтижесі болып табылады.

Кейбір статистикаға назар аударайық. High-Tech Bridge сәйкес 2016 жылдың бірінші жартыжылдығындағы веб-қауіпсіздік тенденциялары туралы High-Tech Bridge дайындаған 2016 жылдың бірінші жартыжылдығындағы киберқауіптер туралы есеп:

• арналған веб-қызметтердің немесе API интерфейстерінің 60%-дан астамы мобильді қосымшалардерекқорды бұзуға мүмкіндік беретін кем дегенде бір қауіпті осалдықты қамтуы;
• XSS шабуылдарына осал сайттардың 35%-ы SQL инъекциясына және XXE шабуылдарына да осал;
• Сайттардың 23% -ында POODLE осалдығы бар, ал тек 0,43% - Heartbleed;
• RansomWeb шабуылдары барысында қауіпті осалдықтарды пайдалану жағдайлары (мысалы, SQL инъекциясына рұқсат беру) 5 есе өсті;
• Веб-серверлердің 79,9% дұрыс конфигурацияланбаған немесе қауіпті http тақырыптары бар
• Веб-серверлердің тек 27,8%-ында ағымдағы қажетті жаңартулар мен патчтар орнатылған.

Веб-ресурстарды қорғау үшін мамандар ақпараттық қауіпсіздікбасқа құралдар жинағын пайдаланыңыз. Мысалы, SSL сертификаттары трафикті шифрлау үшін пайдаланылады, ал веб-бағдарлама брандмауэрі (WAF) веб-серверлердің периметрінде орнатылады, олар күрделі конфигурацияны және ұзақ өзін-өзі үйренуді қажет етеді. Веб-сайттардың қауіпсіздігін қамтамасыз етудің бірдей тиімді құралы қауіпсіздік жағдайын мерзімді тексеру (осалдықтарды іздеу), ал мұндай тексерулерді жүргізу құралдары веб-сайттың қауіпсіздік сканерлері болып табылады, олар туралы талқыланатын боладыосы шолуда.

Біздің сайтта веб-қосымшалардың қауіпсіздік сканерлеріне арналған шолу болды - нарық көшбасшыларының өнімдерін зерттеген «». Бұл шолуда біз бұдан былай бұл тақырыптарды қозғамаймыз, бірақ веб-сайт қауіпсіздігінің ақысыз сканерлерін шолуға назар аударамыз.

Еркін бағдарламалық қамтамасыз ету тақырыбы бүгінгі күні әсіресе өзекті болып табылады. Ресейдегі тұрақсыз экономикалық жағдайға байланысты көптеген ұйымдар (коммерцияда да, мемлекеттік секторда да) қазір өздерінің IT бюджетін оңтайландыруда және жүйе қауіпсіздігін талдау үшін қымбат коммерциялық өнімдерді сатып алуға қаражат жиі жеткіліксіз. Сонымен қатар, адамдар жай білмейтін осалдықтарды табуға арналған көптеген тегін (тегін, ашық бастапқы) утилиталар бар. Оның үстіне олардың кейбіреулерінен кем түспейді функционалдылықолардың ақылы бәсекелестеріне. Сондықтан, осы мақалада біз ең қызықты тегін веб-сайт қауіпсіздік сканерлері туралы сөйлесетін боламыз.

Веб-сайттың қауіпсіздік сканерлері дегеніміз не

Веб-сайттың қауіпсіздік сканерлері – жүйенің немесе пайдаланушы деректерінің тұтастығын бұзуға, олардың ұрлануына немесе тұтастай жүйені бақылауға алуға әкелетін веб-қосымшалардағы ақауларды (осалдықтарды) іздейтін бағдарламалық (бағдарламалық және аппараттық құрал) құралдары.

Веб-сайт қауіпсіздік сканерлері келесі санаттардағы осалдықтарды анықтай алады:

• кодтау кезеңінің осалдықтары;
• веб-қосымшаны енгізу және конфигурациялау кезеңінің осалдықтары;
• веб-сайтты пайдалану осалдықтары.

Кодтау кезеңінің осалдықтары кіріс және шығыс деректерін дұрыс өңдеуге байланысты осалдықтарды қамтиды (SQL инъекциясы, XSS).

Веб-сайтты іске асыру осалдықтары веб-бағдарлама ортасының дұрыс емес параметрлеріне қатысты осалдықтарды қамтиды (веб-сервер, қолданба сервері, SSL/TLS, фреймворк, үшінші тарап компоненттері, DEBUG режимі және т.б.).

Веб-сайт жұмысының осалдықтары ескірген бағдарламалық жасақтаманы, қарапайым құпия сөздерді, мұрағатталған көшірмелерді веб-серверде сақтауға байланысты осалдықтарды қамтиды. жалпыға қолжетімділік, қоғамдық доменде сервистік модульдердің (phpinfo) болуы және т.б.

Веб-сайт қауіпсіздік сканерлері қалай жұмыс істейді

Жалпы, веб-сайттың қауіпсіздік сканерінің жұмыс принципі келесідей:

• Зерттелетін объект туралы мәліметтерді жинақтау.
• Веб-сайт бағдарламалық жасақтамасының осалдықтар базасындағы осалдықтарға аудиті.
• Жүйенің әлсіз жақтарын анықтау.
• Оларды жою бойынша ұсыныстарды қалыптастыру.

Веб-сайт қауіпсіздік сканерлерінің санаттары

Веб-сайттың қауіпсіздік сканерлерін олардың мақсатына қарай келесі санаттарға (түрлерге) бөлуге болады:

• Желілік сканерлер - берілген түрісканер қолжетімді желі қызметтерін көрсетеді, олардың нұсқаларын орнатады, ОЖ анықтайды және т.б.
• Веб сценарийінің осалдық сканерлері- сканердің бұл түрі SQL inj, XSS, LFI/RFI және т.б. сияқты осалдықтарды немесе қателерді (жойылған уақытша файлдар, каталогтарды индекстеу және т.б.) іздейді.
• Эксплуат іздеушілер- бұл сканер түрі эксплуаттарды автоматтандырылған іздеуге арналған бағдарламалық қамтамасыз етужәне сценарийлер.
• Инъекциялық автоматтандыру құралдары- инъекцияларды іздеу және пайдаланумен арнайы айналысатын коммуналдық қызметтер.
• Түзетушілер- веб-қосымшадағы қателерді түзету және кодты оңтайландыру құралдары.

Сондай-ақ бірден бірнеше санаттағы сканерлердің мүмкіндіктерін қамтитын әмбебап утилиталар бар.

Төменде веб-сайт қауіпсіздік сканерлерінің ақысыз қысқаша шолуы берілген. Көптеген тегін утилиталар болғандықтан, шолуға веб-технологиялардың қауіпсіздігін талдауға арналған ең танымал тегін құралдар ғана енгізілген. Белгілі бір утилитаны шолуға қосқанда, веб-технологиялық қауіпсіздік тақырыбы бойынша арнайы ресурстар талданды:

Тегін веб-сайт қауіпсіздік сканерлеріне қысқаша шолу

Желілік сканерлер

nmap

Сканер түрі: желілік сканер.

Nmap (Network Mapper) тегін және ашық бастапқы коды бар қызметтік бағдарлама. Ол объектілердің кез келген саны бар желілерді сканерлеуге, сканерленген желі нысандарының, сондай-ақ порттар мен олардың сәйкес қызметтерінің күйін анықтауға арналған. Бұл үшін Nmap көптеген әртүрлі сканерлеу әдістерін пайдаланады, мысалы, UDP, TCP қосылымы, TCP SYN (жартылай ашық), FTP проксиі (ftp арқылы үзу), Reverse-ident, ICMP (ping), FIN, ACK, Xmas tree, SYN және NULL сканерлеу.

Nmap сонымен қатар TCP/IP стек саусақ іздерін пайдаланып қашықтан хост операциялық жүйесін анықтау, жасырын сканерлеу, динамикалық кідірістерді есептеу және пакетті қайта жіберу, параллель сканерлеу, параллель пинг арқылы белсенді емес хостты анықтау, жалған хостты сканерлеу, пакеттік сүзгі сияқты кеңейтілген мүмкіндіктердің кең ауқымын қолдайды. анықтау, тікелей (портмапер жоқ) RPC сканерлеуі, IP фрагментациясын сканерлеу және сканерленген желілердің реттелетін IP мекенжайлары мен порт нөмірлері.

Nmap Linux Journal, Info World, LinuxQuestions.Org және Codetalker Digest сияқты журналдар мен қауымдастықтардан Жылдың қауіпсіздік өнімі мәртебесін алды.

Платформа: утилита кросс-платформа болып табылады.

Nmap сканері туралы қосымша ақпаратты табуға болады.

IP құралдары

Сканер түрі: желілік сканер.

IP Tools – сүзу ережелерін, таңдау адаптерін, пакеттерді декодтауды, протоколды сипаттауды және т.б. қолдайтын протокол анализаторы. Егжей-тегжейлі ақпаратәрбір бума туралы мәнерлер ағашында қамтылған, тінтуірдің оң жақ түймешігімен басу мәзірі таңдалған IP мекенжайын сканерлеуге мүмкіндік береді.

Пакеттік снайферге қосымша, IP құралдары толық жиынтығын ұсынады желілік құралдар, соның ішінде статистика адаптері, IP трафигін бақылау және т.б.

IP-Tools сканері туралы қосымша ақпаратты табуға болады.

скип балық

Бағдарламашы Михал Залевскийдің Skipfish веб-осалдығы сканері веб-қосымшаның рекурсивті талдауын және оның сөздікке негізделген тексеруін жүзеге асырады, содан кейін табылған осалдықтар туралы түсініктемелері бар сайт картасын жасайды.

Құралды Google ішкі әзірлейді.

Сканер веб-бағдарламаның егжей-тегжейлі талдауын орындайды. Сондай-ақ, сол қолданбаны кейінірек сынау үшін сөздік жасауға болады. Skipfish егжей-тегжейлі есебінде табылған осалдықтар, осалдықты қамтитын ресурстың URL мекенжайы және жіберілген сұрау туралы ақпарат бар. Есепте алынған деректер қауіптілік деңгейі және осалдық түрі бойынша сұрыпталады. Есеп html форматында жасалады.

Айта кету керек, Skipfish веб осалдық сканері трафиктің өте үлкен көлемін жасайды және сканерлеу өте ұзақ уақыт алады.

Платформалар: MacOS, Linux, Windows.

Skipfish сканері туралы қосымша ақпаратты табуға болады.

вапити

Сканер түрі: веб-скрипт осалдық сканері.

Wapiti — веб-қолданбаны тексеру консолінің қызметтік бағдарламасы. «Қара жәшік» (қара жәшік) принципі бойынша жұмыс істейді.

Wapiti келесідей жұмыс істейді: біріншіден, WASS тексеріп шығу құралы сайт құрылымын талдайды, қолжетімді сценарийлерді іздейді және параметрлерді талдайды. Содан кейін Wapiti фузерді қосады және барлық осал сценарийлер табылмайынша сканерлеуді жалғастырады.

Wapiti WASS сканері осалдықтардың келесі түрлерімен жұмыс істейді:

• Файлды ашу (Жергілікті және қашықтағы қосу/талап ету, fopen, оқу файлы).
• Деректер базасын енгізу (PHP/JSP/ASP SQL инъекциялары және XPath инъекциялары).
• XSS (Cross Site Scripting) инъекциясы (шағылысқан және тұрақты).
• Команданың орындалуын анықтау (eval(), system(), passtru()…).
• CRLF инъекциясы (HTTP жауабын бөлу, сеансты бекіту…).
• XXE (XmleXternal Entity) инъекциясы.
• Белгілі ықтимал қауіпті файлдарды пайдалану.
• Айтып өтуге болатын әлсіз .htaccess конфигурациялары.
• Құпиялық ақпаратты беретін сақтық көшірме файлдарының болуы (бастапқы кодты ашу).

Wapiti - Kali Linux дистрибутивінің утилиталарының бөлігі. Бастапқы кодты SourceForge сайтынан жүктеп алып, оны Linux ядросына негізделген кез келген таратуда пайдалануға болады. Wapiti GET және POST HTTP сұрау әдістерін қолдайды.

Платформалар: Windows, Unix, MacOS.

Wapiti сканері туралы қосымша ақпаратты табуға болады.

Нессус

Nessus сканері отбасына жататын қуатты және сенімді құрал желілік сканерлер, операциялық жүйелер, желіаралық қалқандар, сүзу маршрутизаторлары және басқа желі құрамдастары ұсынатын желілік қызметтердегі осалдықтарды іздеуге мүмкіндік береді. Осалдықтарды іздеу үшін қолданылады стандартты құралдаржелінің конфигурациясы мен жұмысы туралы ақпаратты тестілеу және жинау, және арнайы құралдар, желіге қосылған жүйелерге ену үшін шабуылдаушы әрекеттерін эмуляциялау.

Nessus сканері туралы қосымша ақпаратты табуға болады.

bsqlbf-v2

Сканер түрі: инъекцияны автоматтандыру құралы.

bsqlbf-v2 - Perl тілінде жазылған сценарий. Blind SQL инъекциялық bruteforcer. Сканер url және жол мәндеріндегі бүтін мәндермен де жұмыс істейді.

Платформалар: MS-SQL, MySQL, PostgreSQL, Oracle.

bsqlbf-v2 сканері туралы қосымша ақпаратты табуға болады.

Түзетушілер

Burp Suite

Сканер түрі: отладчик.

Burp Suite – Java тілінде жазылған салыстырмалы түрде тәуелсіз кросс-платформалық қолданбалар жиынтығы.

Кешеннің өзегі жергілікті прокси-сервердің функцияларын орындайтын Burp Proxy модулі болып табылады; жинақтың қалған құрамдас бөліктері - Өрмекші, Интрудер, Қайталаушы, Секвендер, Декодер және Салыстырушы. Барлық құрамдас бөліктер деректерді қолданбаның кез келген бөлігіне жіберуге болатындай бір бүтінге біріктірілген, мысалы, веб-қосымшадағы әртүрлі тексерулер үшін прокси-серверден интрудерге дейін, HTTP протоколын мұқият қолмен талдау үшін интруденден қайталағышқа дейін. тақырыптар.

Платформалар: кросс-платформалық бағдарламалық қамтамасыз ету.

Burp Suite сканері туралы қосымша ақпаратты табуға болады.

Скрипкашы

Сканер түрі: отладчик.

Fiddler – барлық HTTP(S) трафигін тіркейтін жөндеу проксиі. Құрал осы трафикті зерттеуге, тоқтау нүктесін орнатуға және кіріс немесе шығыс деректермен «ойнауға» мүмкіндік береді.

Fiddlerin функционалдық ерекшеліктері:

• Барлық сұраныстарды басқару мүмкіндігі, печенье, Интернет-шолғыштар арқылы берілетін параметрлер.
• Сервер жауаптарын жылдам өзгерту функциясы.
• Тақырыптар мен сұрауларды басқару мүмкіндігі.
• Арна енін өзгерту функциясы.

Платформалар: кросс-платформалық бағдарламалық қамтамасыз ету.

Fiddler сканері туралы қосымша ақпаратты табуға болады.

N-Stalker веб қолданбасының қауіпсіздік сканері X тегін шығарылымы

Сканер түрі: веб-скрипт осалдық сканері, эксплуатация сканері.

Тиімді веб-қызмет құралы - N-Stalker N-Stealth қауіпсіздік сканері. Компания N-Stealth-тің толық функционалды нұсқасын сатады, бірақ ол тегін. сыналатын нұсқақарапайым бағалау үшін өте қолайлы. Ақылы өнімде веб-сервердің қауіпсіздік жүйесінің 30 мыңнан астам сынақтары бар, сонымен қатар тегін нұсқасы Microsoft IIS және Apache сияқты кеңінен қолданылатын веб-серверлердегі осалдықтарды қоса алғанда, 16 000-нан астам нақты олқылықтарды табады. Мысалы, N-Stealth осал Common Gateway Interface (CGI) және Hypertext Preprocessor (PHP) сценарийлерін іздейді, ену үшін шабуылдарды пайдаланады. SQL сервері, типтік торапаралық сценарийлер және танымал веб-серверлердегі басқа олқылықтар.

N-Stealth HTTP және HTTP Secure (HTTPS - SSL арқылы) екеуін де қолдайды, осалдықтарды ортақ осалдықтар мен әсерлер (CVE) сөздігіне және Bugtraq дерекқорына салыстырады және жақсы есептерді жасайды. N-Stealth веб-серверлердегі ең көп таралған осалдықтарды табу үшін пайдаланылады және ең ықтимал шабуыл векторларын анықтауға көмектеседі.

Әрине, веб-сайттың немесе қолданбалардың қауіпсіздігін сенімдірек бағалау үшін ақылы нұсқаны сатып алу ұсынылады.

N-Stealth сканері туралы қосымша ақпаратты табуға болады.

қорытындылар

Веб-сайттарды осалдықтарға тестілеу жақсы алдын алу шарасы болып табылады. Қазіргі уақытта көптеген коммерциялық және еркін таратылатын веб-сайттардың қауіпсіздік сканерлері бар. Бұл ретте сканерлер әмбебап (күрделі шешімдер) және мамандандырылған, осалдықтардың белгілі бір түрлерін анықтауға ғана арналған болуы мүмкін.

Кейбір тегін сканерлер өте қуатты және үлкен тереңдік пен көрсетеді жақсы сапавеб-сайттарды тексеру. Бірақ веб-сайттардың қауіпсіздігін талдау үшін тегін құралдарды пайдаланбас бұрын, олардың сапасына көз жеткізу керек. Бүгінгі күні бұл үшін көптеген әдістер бар (мысалы, веб-бағдарлама қауіпсіздігі сканерін бағалау критерийлері , OWASP веб-бағдарлама сканерінің спецификация жобасы).

Белгілі бір инфрақұрылымның қауіпсіздігінің толық көрінісін тек күрделі шешімдер арқылы алуға болады. Кейбір жағдайларда бірнеше қауіпсіздік сканерлерін қолданған дұрыс.

1. Мақсаты мен міндеттері

Жұмыстың мақсаты – сыртқы қолжетімділік қауіпсіздігін арттыру алгоритмдерін әзірлеу ақпараттық ресурстаркорпоративтік білім беру желілерінен олардың нақты қауіпсіздік қатерлерін, сондай-ақ пайдаланушы контингентінің сипаттамаларын, қауіпсіздік саясаттарын, архитектуралық шешімдерді және ресурстарды қамтамасыз етуді ескере отырып.

Мақсатқа сүйене отырып, жұмыста келесі міндеттер шешіледі:

1. Білім беру желілеріндегі ақпараттық қауіпсіздікке негізгі қатерлерге талдау жасаңыз.

2. Білім беру желілеріндегі қажетсіз ақпараттық ресурстарға қол жеткізуді шектеу әдісін әзірлеу.

3. Веб-беттерді сканерлеуге, тікелей қосылымдарды іздеуге және сайттардағы ықтимал зиянды кодты одан әрі талдау үшін файлдарды жүктеп алуға мүмкіндік беретін алгоритмдерді әзірлеу.

4. Веб-сайттардағы қажетсіз ақпараттық ресурстарды анықтау алгоритмін жасау.

2. Тақырыптың өзектілігі

Заманауи интеллектуалды оқыту жүйелері веб-бағдарланған және олардың пайдаланушыларына жұмыс істеу мүмкіндігін береді әртүрлі түрлеріжергілікті және қашықтағы білім беру ресурстары. Мәселе қауіпсіз пайдалануИнтернетте орналастырылған ақпараттық ресурстар (IR) үнемі өзекті болып келеді. Бұл мәселені шешу үшін қолданылатын әдістердің бірі қажетсіз ақпараттық ресурстарға қол жеткізуді шектеу болып табылады.

Білім беру ұйымдарына Интернетке қосылуды қамтамасыз ететін операторлар қажетсіз IR-ға қолжетімділіктің шектелуін қамтамасыз етуі керек. Шектеу белгіленген тәртіппен жүйелі түрде жаңартылатын тізімдер бойынша операторлар арқылы сүзгілеу арқылы жүзеге асырылады. Дегенмен, білім беру желілерінің мақсаты мен пайдаланушы аудиториясын ескере отырып, қажетсіз ресурстарды динамикалық түрде танитын және пайдаланушыларды олардан қорғайтын икемді, өздігінен білім алатын жүйені қолданған жөн.

Жалпы алғанда, қажетсіз ресурстарға қол жеткізу келесі қауіптерді тудырады: заңсыз және асоциалды әрекеттерді насихаттау, мысалы: саяси экстремизм, терроризм, нашақорлық, порнография және басқа да материалдарды тарату; білім алу мақсатында компьютерлік желілерді пайдаланудан оқушылардың назарын аудару; өткізу қабілеттілігі шектеулі сыртқы арналардың шамадан тыс жүктелуіне байланысты Интернетке қол жеткізудегі қиындықтар. Жоғарыда аталған ресурстар жиі байланысты қауіптермен зиянды бағдарламаларды енгізу үшін пайдаланылады.

Қолданыстағы желілік ресурстарға қол жеткізуді шектеу жүйелерінің тек жеке пакеттерді ғана емес, сонымен қатар олардың мазмұнын - желі арқылы берілетін мазмұнды да көрсетілген шектеулерге сәйкестігін тексеру мүмкіндігі бар. Мазмұнды сүзу жүйелері қазіргі уақытта келесі веб-мазмұнды сүзу әдістерін пайдаланады: DNS атауы немесе арнайы IP мекенжайы, веб-мазмұндағы кілт сөздер және файл түрі бойынша. Белгілі бір веб-сайтқа немесе сайттар тобына кіруді блоктау үшін мазмұны сәйкес келмейтін URL мекенжайларының жинағын көрсету керек. URL сүзгісі желі қауіпсіздігін қатаң бақылауды қамтамасыз етеді. Дегенмен, барлық ықтимал орынсыз URL мекенжайларын алдын ала болжай алмайсыз. Сонымен қатар, күмәнді мазмұны бар кейбір веб-сайттар URL мекенжайларымен жұмыс істемейді, тек IP мекенжайларымен жұмыс істейді.

Мәселені шешудің бір жолы - HTTP протоколы арқылы алынған мазмұнды сүзу. Қолданыстағы мазмұнды сүзгілеу жүйелерінің кемшілігі статикалық түрде жасалған қол жеткізуді басқару тізімдерін пайдалану болып табылады. Оларды толтыру үшін коммерциялық мазмұнды сүзу жүйелерін әзірлеушілер мазмұнды санаттарға бөлетін және дерекқордағы жазбаларды реттейтін қызметкерлерді жалдайды.

Білім беру желілері үшін қолданыстағы мазмұнды сүзгілеу жүйелерінің кемшіліктерін жою үшін оның беттерінің мазмұны негізінде веб-ресурс санатын динамикалық анықтау арқылы веб-трафикті сүзу жүйелерін әзірлеу маңызды.

3. Болжалды ғылыми жаңалық

Ақпараттық ресурстарға олардың кейінге қалдырылған жіктелуі бойынша қол жеткізу тізімдерін динамикалық қалыптастыруға негізделген Интернет-сайттардың қажетсіз ресурстарына зияткерлік оқыту жүйелерін пайдаланушылардың қол жеткізуін шектеу алгоритмі.

4. Жоспарланған практикалық нәтижелер

Жасалған алгоритмдерді интеллектуалды компьютерлік оқыту жүйелеріндегі қажетсіз ресурстарға қол жеткізуді шектеу жүйелерінде қолдануға болады.

5. Зерттеулер мен әзірлемелерге шолу

5.1 Жаһандық деңгейдегі тақырып бойынша зерттеулер мен әзірлемелерге шолу

Ақпараттық қауіпсіздікті қамтамасыз ету мәселелері атақты ғалымдардың еңбектеріне арналған: Х.Х. Безруков, П.Д. Зегжда, А.М. Ивашко, А.И. Костогрызов, В.И. Курбатов К.Лендвер, Д.Маклин, А.А. Молдова, Х.А. Молдавян, А.А.Малюк, Е.А.Дербин, Р.Сандху, Дж.М.Кэрролл және т.б. Сонымен қатар, корпоративтік және ашық желілердегі мәтіндік көздердің орасан зор көлеміне қарамастан, ақпаратты қорғау әдістері мен жүйелерін әзірлеу саласында қазіргі уақытта қауіпсіздік қатерлерін талдауға және қажетсіз ресурстарға қол жеткізуді шектеуді зерттеуге бағытталған зерттеулер жеткіліксіз. Web-ке кіру мүмкіндігі бар компьютерлік оқытуда.

Украинада осы саладағы жетекші зерттеуші Домарев В.В. . Оның диссертациялық зерттеуі ақпараттық қауіпсіздіктің күрделі жүйелерін құру мәселелеріне арналған. Кітаптардың авторы: «Қауіпсіздік ақпараттық технологиялар. Қорғау жүйелерін құру әдістемесі», «Ақпараттық технологиялар қауіпсіздігі. Жүйелік тәсіл» т.б., 40-тан астам ғылыми мақалалар мен басылымдардың авторы.

5.2 Тақырып бойынша республикалық деңгейдегі зерттеулер мен әзірлемелерге шолу

Донецк ұлттық техникалық университетінде ақпараттық қауіпсіздік жүйесін құрудың үлгілері мен әдістерін әзірлеу корпоративтік желікәсіпорындар, әртүрлі критерийлерді ескере отырып, Химка С.С. . Білім беру жүйелеріндегі ақпаратты қорғау Ю.С. .

6. Білім беру жүйелеріндегі веб-ресурстарға қол жеткізуді шектеу мәселелері

Ақпараттық технологиялардың дамуы қазір Интернет-контент ресурстары мен қолжетімділік инфрақұрылымын сипаттаудың екі аспектісі туралы айтуға мүмкіндік береді. Қолжетімділік инфрақұрылымының астында аппараттық құралдар мен жиынтықты түсіну әдеттегідей бағдарламалық құралдар, IP пакеттер форматында деректердің берілуін қамтамасыз етеді, ал мазмұны ұсыну формасының (мысалы, белгілі бір кодтаудағы символдар тізбегі ретінде) және ақпарат мазмұнының (семантикасының) жиынтығы ретінде анықталады. Мұндай сипаттаманың сипаттамалық қасиеттерінің арасында мыналарды бөліп көрсету керек:

1. мазмұнның қол жеткізу инфрақұрылымынан тәуелсіздігі;

2. мазмұнның үздіксіз сапалық және сандық өзгеруі;

3. жаңа интерактивті ақпараттық ресурстардың пайда болуы («тірі журналдар», әлеуметтік желілер, тегін энциклопедиялар және т.б.), пайдаланушылар желілік мазмұнды құруға тікелей қатысады.

Ақпараттық ресурстарға қол жеткізуді басқару мәселелерін шешу кезінде инфрақұрылым мен желі мазмұнының сипаттамаларына қатысты шешілетін қауіпсіздік саясатын әзірлеу мәселелері үлкен маңызға ие. Ақпараттық қауіпсіздік моделін сипаттау деңгейі неғұрлым жоғары болса, соғұрлым қол жеткізуді басқару желі ресурстарының семантикасына бағытталған. Әлбетте, MAC және IP мекенжайлары (сілтеме және желілік деңгейжелілік құрылғы интерфейстерінің өзара әрекеттесуін) кез келген деректер санатына байланыстыруға болмайды, өйткені бір мекенжай әртүрлі қызметтерді көрсете алады. Порт нөмірлері (көлік деңгейі), әдетте, қызмет түрі туралы түсінік береді, бірақ бұл қызмет көрсететін ақпаратты сапалы түрде сипаттамайды. Мысалы, белгілі бір веб-сайтты тек көліктік деңгей ақпараты негізінде семантикалық категориялардың біріне (медиа, бизнес, ойын-сауық және т.б.) жіктеу мүмкін емес. Қауіпсіздік ақпаратты қорғауқолданбалы деңгейде ол мазмұнды сүзу тұжырымдамасына жақындайды, яғни. желі ресурстарының семантикасын ескере отырып қол жеткізуді басқару. Сондықтан қол жеткізуді басқару жүйесі неғұрлым мазмұнға бағытталған болса, оның көмегімен пайдаланушылар мен ақпараттық ресурстардың әртүрлі категорияларына қатысты сараланған тәсілді жүзеге асыруға болады. Атап айтқанда, мағыналық-бағдарланған басқару жүйесі білім беру ұйымдары студенттерінің оқу үдерісімен үйлеспейтін ресурстарға қол жеткізуін тиімді шектей алады.

Веб-ресурсты алу процесінің мүмкін нұсқалары 1-суретте көрсетілген

1-сурет – HTTP протоколы арқылы веб-ресурсты алу процесі

Интернет-ресурстарды пайдалануға икемді бақылауды қамтамасыз ету үшін операциялық компанияда білім беру ұйымының ресурстарды пайдалануының тиісті саясатын енгізу қажет. Бұл саясатты «қолмен» де, автоматты түрде де жүзеге асыруға болады. «Қолмен» енгізу компанияда нақты уақыт режимінде немесе маршрутизаторлардың, прокси-серверлердің немесе желіаралық қалқандардың журналдарын пайдалана отырып, білім беру мекемесін пайдаланушылардың белсенділігін бақылайтын қызметкерлердің арнайы штаты бар екенін білдіреді. Мұндай бақылау қиын, өйткені ол көп еңбекті қажет етеді. Интернет-ресурстарды пайдалануды икемді бақылауды қамтамасыз ету үшін компания әкімшіге ұйымның ресурстарды пайдалану саясатын жүзеге асыру құралын беруі керек. Мазмұнды сүзгілеу осы мақсатқа қызмет етеді. Оның мәні ақпарат алмасу объектілерін құрамдас бөліктерге бөлуде, осы құрамдас бөліктердің мазмұнын талдауда, олардың параметрлерінің интернет-ресурстарды пайдалану бойынша қабылданған саясатқа сәйкестігін анықтауда және осындай нәтижелер бойынша белгілі бір әрекеттерді жүзеге асыруда жатыр. талдау. Веб-трафикті сүзу жағдайында ақпарат алмасу объектілері веб-сұрауларды, веб-беттердің мазмұнын және пайдаланушының сұрауы бойынша жіберілетін файлдарды білдіреді.

Білім беру ұйымының пайдаланушылары Интернетке тек прокси-сервер арқылы қол жеткізе алады. Белгілі бір ресурсқа қол жеткізу әрекеті кезінде прокси сервер ресурстың арнайы дерекқорға қосылғанын тексереді. Егер мұндай ресурс тыйым салынған дерекқорға орналастырылса, оған кіруге тыйым салынады және пайдаланушыға экранда сәйкес хабарлама көрсетіледі.

Сұралған ресурс тыйым салынған ресурстардың дерекқорында болмаса, оған қол жеткізу қамтамасыз етіледі, алайда бұл ресурсқа кіру туралы жазба арнайы қызмет журналында жазылады. Күніне бір рет (немесе басқа кезеңмен) прокси-сервер ең көп кіретін ресурстардың тізімін жасайды (URL тізімі түрінде) және оны сарапшыларға жібереді. Сарапшылар (жүйе әкімшілері) сәйкес әдістемені қолдана отырып, алынған ресурстар тізімін тексереді және олардың сипатын анықтайды. Егер ресурс мақсатты емес болса, сарапшы оны жіктейді (порноресурс, ойын ресурсы) және дерекқорға өзгерістер енгізеді. Барлық қажетті өзгертулерді енгізгеннен кейін дерекқордың жаңартылған нұсқасы жүйеге қосылған барлық прокси-серверлерге автоматты түрде жіберіледі. Прокси-серверлердегі мақсатты емес ресурстарды сүзу схемасы күріште көрсетілген. 2.

2-сурет - Прокси-серверлердегі мақсатты емес ресурстарды сүзудің негізгі принциптері

Прокси-серверлердегі мақсатты емес ресурстарды сүзу мәселелері төмендегідей. Орталықтандырылған фильтрация кезінде орталық түйіннің жабдықтарының жоғары өнімділігі қажет, үлкен өткізу қабілетіорталық түйіндегі байланыс арналары, орталық түйіннің істен шығуы бүкіл сүзу жүйесінің толық істен шығуына әкеледі.

Ұйымның жұмыс станцияларында немесе серверлерінде тікелей «далада» орталықтандырылмаған сүзгілеу кезінде орналастыру және қолдау құны жоғары.

Сұраныс жіберу сатысында мекенжай бойынша сүзгілеу кезінде қажетсіз мазмұнның болуына профилактикалық реакция, «маскировка» веб-сайттарды сүзу кезінде қиындықтар болмайды.

Мазмұн бойынша сүзгілеу кезінде әрбір ресурсты қабылдау кезінде үлкен көлемдегі ақпаратты өңдеу қажет, Java, Flash сияқты құралдарды қолдану арқылы дайындалған ресурстарды өңдеудің күрделілігі.

7. Интеллектуалды оқыту жүйесін пайдаланушылар үшін веб-ресурстардың ақпараттық қауіпсіздігі

Интернет-ресурстарға қол жеткізуді басқару құралдарын біріктірудің иерархиялық принципіне негізделген жалпы шешімді пайдалана отырып, IR-ға қол жеткізуді басқару мүмкіндігін қарастырайық (3-сурет). ITS-тен қажет емес IR-ға қол жеткізуді шектеуге желіаралық қалқан, прокси-серверлерді пайдалану, енуді анықтау үшін аномальды белсенділікті талдау, өткізу қабілеттілігін шектеу, мазмұнды (мазмұн) талдау негізінде сүзу, қол жеткізу негізінде сүзу сияқты технологиялардың комбинациясы арқылы қол жеткізуге болады. тізімдер. Сонымен қатар, өзекті міндеттердің бірі қолжетімділікті шектеу тізімдерін қалыптастыру және пайдалану болып табылады.

Қажет емес ресурстарды сүзгілеу қолданыстағы ережелерге сәйкес жүзеге асырылады нормативтік құжаттарбелгіленген тәртіппен жарияланған тізімдер негізінде жүзеге асырылады. Басқа ақпараттық ресурстарға қол жеткізуді шектеу білім беру желісінің операторы әзірлеген арнайы критерийлер негізінде жүзеге асырылады.

Көрсетілген жиіліктен төмен пайдаланушыға, тіпті ықтимал қалаусыз ресурсқа да рұқсат етіледі. Сұраныстағы ресурстар ғана талдауға және жіктеуге жатады, яғни пайдаланушы сұрауларының саны берілген шекті мәннен асып кеткен ресурстар. Сканерлеу және талдау сұраулар саны шекті мәннен асқаннан кейін біраз уақыттан кейін (сыртқы арналардағы ең аз жүктеме кезеңінде) жүзеге асырылады.

Жеке веб-беттер емес, олармен байланысты барлық ресурстар (беттегі сілтемелерді талдау арқылы) сканерленеді. Нәтижесінде, бұл тәсіл ресурсты сканерлеу процесінде зиянды бағдарламаларға сілтемелердің болуын анықтауға мүмкіндік береді.

3-сурет – Интернет ресурстарына қол жеткізуді басқару құралдарының иерархиясы

(анимация, 24 кадр, 25 Кб)

Ресурстарды автоматтандырылған классификациялау клиенттің – жүйе иесінің корпоративтік серверінде орындалады. Жіктеу уақыты кешіктірілген ресурстарды жіктеу тұжырымдамасына негізделген қолданылған әдіспен анықталады. Бұл пайдаланушының көрсетілген жиіліктен төмен, тіпті ықтимал қалаусыз ресурсқа қол жеткізуі қолайлы деп болжайды. Бұл қымбат тұратын классификацияны болдырмайды. Сұраныстағы ресурстар ғана талдауға және автоматтандырылған жіктеуге жатады, яғни пайдаланушы сұрауларының жиілігі берілген шекті мәннен асатын ресурстар. Сканерлеу және талдау сұраулар саны шекті мәннен асқаннан кейін біраз уақыттан кейін (сыртқы арналардағы ең аз жүктеме кезеңінде) жүзеге асырылады. Әдіс үш тізімнің динамикалық құрылысының схемасын жүзеге асырады: «қара» (BSP), «ақ» (BSP) және «сұр» (BSS). «Қара» тізімдегі ресурстарға кіруге тыйым салынады. «Ақ» тізімде расталған рұқсат етілген ресурстар бар. «Сұр» тізімде пайдаланушылар кемінде бір рет сұраған, бірақ жіктелмеген ресурстар бар. «Қара» тізімді бастапқы қалыптастыру және одан әрі «қолмен» түзету уәкілетті мемлекеттік орган берген тыйым салынған ресурстардың мекенжайлары туралы ресми ақпарат негізінде жүзеге асырылады. «Ақ» тізімнің бастапқы мазмұны пайдалануға ұсынылған ресурстар болып табылады. Қара тізімге енбеген ресурсқа кез келген сұрау қабылданады. Бұл ресурс «ақ» тізімде болмаған жағдайда, ол «сұр» тізімге орналастырылады, мұнда осы ресурсқа сұраныстардың саны бекітіледі. Сұраныстардың жиілігі белгілі бір шекті мәннен асатын болса, ресурстың автоматтандырылған жіктелуі жүргізіледі, оның негізінде ол «қара» немесе «ақ» тізімге енеді.

8. Интеллектуалды оқыту жүйесін пайдаланушылар үшін веб-ресурстардың ақпараттық қауіпсіздігін анықтау алгоритмдері

Қол жеткізуді шектеу алгоритмі. Интернет-сайттардың қажетсіз ресурстарына қол жеткізуге шектеулер IOS жүйесінде қажетсіз ИК-ке қол жеткізу қаупі тұжырымдамасының келесі анықтамасына негізделген. IR-ның k-сыныбына жатқызылған қалаусыз i-ші IR-ға қол жеткізу тәуекелі ITS-тің берілген түрінің қалаусыз ИК-терімен келтірілген залалдың сараптамалық бағасына немесе пайдаланушының жеке басына және санына пропорционал мән болып табылады. белгілі бір уақыт аралығында осы ресурсқа қол жеткізу саны:

Тәуекелдің залал құнымен жүзеге асу ықтималдығының туындысы ретіндегі классикалық анықтамасына ұқсастық бойынша бұл анықтама тәуекелді қажетсіз ИК-ке қол жеткізуден болатын ықтимал залал мөлшерін математикалық күту ретінде түсіндіреді. Күтілетін залалдың шамасы ИҚ қолданушылардың жеке басына әсер ету дәрежесімен анықталады, бұл өз кезегінде осы әсерді бастан өткерген пайдаланушылардың санына тура пропорционалды.

Кез келген веб-ресурсты талдау барысында оған қол жеткізудің қалаулылығы немесе қалаусыздығы тұрғысынан оның әрбір бетінің келесі негізгі компоненттерін ескеру қажет: мазмұны, яғни мәтіндік және басқа (графикалық, фото, бейне) осы бетте орналастырылған ақпарат; сол веб-сайттың басқа беттерінде орналастырылған мазмұн (ішкі сілтемелерді жүктеп алынған беттердің мазмұнынан алуға болады: тұрақты тіркестер); басқа сайттарға қосылымдар (вирустар мен трояндардың ықтимал жүктеп алынуы тұрғысынан) және сәйкес емес мазмұнның болуы тұрғысынан. Тізімдер арқылы қажетсіз ресурстарға қол жеткізуді шектеу алгоритмі күріште көрсетілген. 4.

4-сурет – Қажетсіз ресурстарға қол жеткізуді шектеу алгоритмі

Қажетсіз Web-беттерді анықтау алгоритмі. Мазмұнды - веб-беттердің мәтіндерін классификациялау үшін келесі міндеттерді шешу қажет: классификациялық категорияларды орнату; бастапқы мәтіндерден автоматты түрде талдауға болатын ақпаратты алу; жіктелген мәтіндер жинақтарын жасау; алынған деректер жиынымен жұмыс істейтін классификаторды құру және оқыту.

Жіктелген мәтіндердің оқу жинағы талдауға ұшырайды, терминдер - жалпы және әрбір жіктеу категориясы үшін жеке-жеке жиі қолданылатын сөз формалары. Әрбір бастапқы мәтін вектор ретінде беріледі, оның компоненттері мәтінде берілген терминнің кездесуінің сипаттамасы болып табылады. Векторлардың сиректігін болдырмау және олардың өлшемін азайту үшін морфологиялық талдау әдістері арқылы сөз формаларын бастапқы формаға келтіру мақсатқа сай. Осыдан кейін векторды қалыпқа келтіру керек, бұл дұрысырақ жіктеу нәтижесіне қол жеткізуге мүмкіндік береді. Бір веб-бет үшін екі векторды құруға болады: біреуі пайдаланушыға көрсетілетін ақпарат үшін және екіншісі іздеу жүйелеріне берілген мәтін үшін.

Веб-бет классификаторларын құрудың әртүрлі тәсілдері бар. Ең жиі қолданылатындары: Байес классификаторы; нейрондық желілер; сызықтық классификаторлар; қолдау векторлық машинасы (SVM). Жоғарыда аталған әдістердің барлығы оқу жинағы бойынша оқытуды және тестілеу жинағы бойынша тестілеуді талап етеді. Екілік классификация үшін векторлық кеңістіктегі сипаттамалар бір-бірінен тәуелсіз деп есептейтін аңғал Байес шешімін таңдауға болады. Біз барлық ресурстарды қажет және қалаусыз деп жіктеу керек деп есептейміз. Содан кейін веб-бет мәтін үлгілерінің бүкіл жинағы екі класқа бөлінеді: C=(C1, C2) және әрбір класстың априорлық ықтималдығы P(Ci), i=1,2. Үлгілердің жеткілікті үлкен коллекциясымен P(Ci) Ci класындағы үлгілер санының үлгілердің жалпы санына қатынасына тең деп болжауға болады. Кейбір D үлгісін жіктеу үшін шартты ықтималдылықтан P(D/Ci) Байес теоремасы бойынша P(Ci /D) мәнін алуға болады:

P(D) тұрақтылығын ескере отырып, мынаны аламыз:

Векторлық кеңістіктегі мүшелер бір-бірінен тәуелсіз деп есептесек, келесі қатынасты алуға болады:

Сипаттамалары жақын мәтіндерді дәлірек жіктеу үшін (мысалы, эротикалық көріністерді сипаттайтын порнография мен көркем әдебиетті ажырату үшін) салмақ коэффициенттерін енгізу керек:

Егер kn=k; егер kn k-ден аз болса, kn.=1/|k|. Мұнда М – үлгілер базасындағы барлық терминдердің жиілігі, L – барлық үлгілердің саны.

9. Алгоритмдерді жетілдіру бағыттары

Болашақта веб-беттің кодына зиянды кодты енгізуді анықтау және Байес классификаторын тірек векторлық машинамен салыстыру мақсатында сілтемелерді талдау алгоритмін әзірлеу жоспарлануда.

10. Қорытындылар

Білім беру жүйелеріндегі веб-ресурстарға қолжетімділікті шектеу мәселесіне талдау жүргізілді. Прокси-серверлердегі мақсатты емес ресурстарды сүзудің негізгі принциптері нақты қол жеткізуді шектеу тізімдерін қалыптастыру және пайдалану негізінде таңдалады. Тізімдер арқылы қажетсіз ресурстарға қол жеткізуді шектеу алгоритмі әзірленді, ол кіру жиілігі мен пайдаланушылар контингентін ескере отырып, олардың мазмұнын талдау негізінде IR-ға кіру тізімдерін динамикалық түрде құруға және жаңартуға мүмкіндік береді. Қажетсіз мазмұнды анықтау үшін аңғал Bayes классификаторына негізделген алгоритм әзірленді.

Дереккөздер тізімі

1. Zima V. M. Ғаламдық қауіпсіздік желілік технологиялар/ В.Зима, А.Молдавян, Н.Молдавян. - 2-ші басылым. - Санкт-Петербург: BHV-Петербург, 2003. - 362 б.
2. Воротницкий Ю.И. Ғылыми және білім берудегі қажетсіз сыртқы ақпараттық ресурстарға қол жеткізуден қорғау компьютерлік желілер/ Ю.И.Воротницкий, Си Цзиньбао // Мат. XIV Int. конф. «Ақпаратты біріктірілген қорғау». – Могилев, 2009. – С.70-71.

Сайттардағы осалдықтарды тексеруге болатын ең жақсы веб-қызметтер. HP барлық осалдықтардың 80%-ы дұрыс емес веб-сервер параметрлері, ескірген бағдарламалық құрал немесе оңай болдырмауға болатын басқа мәселелерден туындайды деп есептейді.

Шолудан алынған қызметтер мұндай жағдайларды анықтауға көмектеседі. Әдетте, сканерлер белгілі осалдықтардың дерекқорына қарсы сканерлейді. Олардың кейбіреулері өте қарапайым және тек тексереді ашық порттарал басқалары мұқият және тіпті SQL инъекциясын жасауға тырысады.

WebSAINT

SAINT – WebSAINT және WebSAINT Pro веб-қызметтері негізінде құрылған осалдықты сканерлеуші ​​белгілі. Бекітілген сканерлеу жеткізушісі ретінде бұл қызмет PCI DSS сертификаттау шарттары бойынша талап етілетін ұйымдардың веб-сайттарын ASV сканерлеуін орындайды. Кесте бойынша жұмыс істей алады және мерзімді тексерулер жүргізе алады, сканерлеу нәтижелері бойынша әртүрлі есептер шығарады. WebSAINT пайдаланушы желісіндегі көрсетілген мекенжайлардағы TCP және UDP порттарын сканерлейді. «Кәсіби» нұсқада пентесттер мен веб-қосымшаларды сканерлеу және теңшелетін есептерді қосады.

ImmuniWeb

High-Tech Bridge ұсынған ImmuniWeb қызметі сканерлеудің сәл басқаша тәсілін пайдаланады: автоматты сканерлеуден басқа, ол қолмен пентесттерді де ұсынады. Процедура клиент көрсеткен уақытта басталады және 12 сағатқа дейін созылады. Есепті клиентке жібермес бұрын компания қызметкерлері қарайды. Ол әрбір анықталған осалдықты жоюдың кемінде үш жолын көрсетеді, соның ішінде веб-бағдарламаның бастапқы кодын өзгерту, брандмауэр ережелерін өзгерту және патч орнату.

адам еңбегі артық төленеді автоматты тексеру. ImmuniWeb пентесттері арқылы толық сканерлеу $639 тұрады.

BeyondSaaS

BeyondTrust ұсынған BeyondSaaS одан да қымбатқа түседі. Клиенттерге 3500 долларға жазылу ұсынылады, содан кейін олар жыл ішінде шектеусіз тексеру жүргізе алады. Бір сканерлеу $700 тұрады. Сайттар SQL инъекциялары, XSS, CSRF және операциялық жүйенің осалдықтары үшін тексеріледі. Әзірлеушілер жалған позитивтердің ықтималдығы 1% аспайды деп мәлімдейді, сонымен қатар есептер ақауларды түзету нұсқаларын көрсетеді.

BeyondTrust басқа осалдықтарды сканерлеу құралдарын ұсынады, соның ішінде 256 IP мекенжайымен шектелген ақысыз Retina Network Community.

Dell Secure Works

Dell Secure Works осы шолудағы веб-тексерушілердің ең жетілдірілгені болып табылады. Ол QualysGuard осалдықты басқару технологиясымен жұмыс істейді және веб-серверлерді тексереді, желілік құрылғылар, корпоративтік желі ішінде де, бұлттық хостингте де қолданба серверлері мен ДҚБЖ. Веб-қызмет PCI, HIPAA, GLBA және NERC CIP талаптарына сәйкес келеді.