웹 리소스 보안을 검사하는 중입니다. 웹 애플리케이션을 보호하는 방법: 기본 팁, 도구, 유용한 링크. 과학적 참신성 주장

검사한 웹사이트의 70% 이상이 하나 이상의 취약점에 감염된 것으로 나타났습니다.

웹 애플리케이션 소유자로서 귀하의 사이트가 온라인 위협으로부터 보호되는지 어떻게 확인합니까? 아니면 기밀 정보 유출로 인해?

클라우드 기반 보안 솔루션을 사용하는 경우 정기적인 취약성 검사가 보안 계획의 일부일 가능성이 높습니다.

하지만 그렇지 않은 경우 정기적인 검사를 수행하고 조치를 취해야 합니다. 필요한 조치위험을 완화하기 위해.

스캐너에는 두 가지 유형이 있습니다.

1. 상업용 - 지속적인 보안, 보고, 경고를 위한 검색을 자동화하는 기능을 제공합니다. 자세한 지침위험 완화 등에 관한 것입니다. 이 업계의 유명한 이름 중 일부는 다음과 같습니다.

아큐네틱스
탐지하다
퀄리스

오픈 소스/무료 - 요청 시 보안 검사를 다운로드하고 실행할 수 있습니다.

이들 모두가 상업용 취약점과 같은 광범위한 취약점을 다룰 수 있는 것은 아닙니다.

다음 오픈소스 취약점 스캐너를 살펴보겠습니다.

1. 아라크니

Arachni는 최신 웹 애플리케이션을 위해 Ruby를 기반으로 구축된 고성능 보안 스캐너입니다.

Mac, Windows 및 Linux에서 바이너리 형식으로 사용할 수 있습니다.

Arachni는 기본적인 정적 또는 CMS 웹사이트를 위한 솔루션일 뿐만 아니라 다음 플랫폼과도 통합할 수 있습니다.

능동 및 수동 검사를 수행합니다.

윈도우, 솔라리스, 리눅스, BSD, 유닉스
Nginx, 아파치, 톰캣, IIS, 부두
자바, 루비, 파이썬, ASP, PHP
Django, 레일스, CherryPy, CakePHP, ASP.NET MVC, Symfony

발견된 취약점 중 일부는 다음과 같습니다.

NoSQL/블라인드/SQL/코드/LDAP/명령어/XPath 주입
위조 크로스 사이트 스크립팅 요청
우회 경로
로컬/원격 파일 포함
답변 분할
크로스 사이트 스크립팅
정의되지 않은 DOM 리디렉션
폭로 소스 코드

2. XssPy

Python 기반 XSS(Cross Site Scripting) 취약점 스캐너는 Microsoft, Stanford, Motorola, Informatica 등을 포함한 많은 조직에서 사용됩니다.

Faizan Ahmad의 XssPy는 스마트 도구입니다. 홈페이지나 페이지만 확인하는 것이 아니라 웹사이트의 전체 링크를 확인합니다.

XssPy는 하위 도메인도 확인합니다.

3. w3af

2006년 후반에 시작된 오픈 소스 프로젝트인 w3af는 Python을 기반으로 하며 Linux 및 Windows OS에서 사용할 수 있습니다. w3af는 OWASP 상위 10개 취약점을 포함하여 200개 이상의 취약점을 탐지할 수 있습니다.

보고를 위한 다양한 로깅 방법을 지원합니다.예:

CSV
HTML
콘솔
텍스트
XML
이메일 주소

플러그인 아키텍처를 기반으로 구축되었으며 사용 가능한 모든 플러그인을 확인할 수 있습니다.

4. 닉토

Netsparker가 후원하는 오픈 소스 프로젝트로, 인터넷에서 웹 서버 구성 오류, 플러그인 및 취약점을 찾는 것을 목표로 합니다.

5. 와퍼즈

Wfuzz(Web Fuzzer)는 침투 테스트를 위한 애플리케이션 평가 도구입니다.

웹 애플리케이션을 사용하고 유효성을 검사하기 위해 모든 필드에 대한 HTTP 요청의 데이터를 스텁할 수 있습니다.

Wfuzz에서는 스캔을 실행하려는 컴퓨터에 Python이 필요합니다.

6. OWASP ZAP

ZAP(Zet Attack Proxy)는 전 세계 수백 명의 자원봉사자가 적극적으로 업데이트하는 유명한 침투 테스트 도구 중 하나입니다.

Raspberry Pi에서도 실행할 수 있는 크로스 플랫폼 Java 도구입니다.

ZIP은 브라우저와 웹 애플리케이션 사이에 위치하여 메시지를 가로채고 확인합니다.

다음 ZAP 기능 중 일부는 언급할 가치가 있습니다.

퍼저
자동 및 수동 스캐너
여러 스크립팅 언어 지원
강제 보기

7. 와피티

Wapiti는 특정 대상의 웹 페이지를 크롤링하고 스크립트와 데이터 입력 양식을 찾아 취약한지 확인합니다.

이는 소스 코드 보안 검사가 아니라 블랙박스 검사입니다.

GET 및 POST HTTP 메서드, HTTP 및 HTTPS 프록시, 다중 인증 등을 지원합니다.

8. 베가

Vega는 XSS, SQLi, RFI 및 기타 여러 취약점을 찾기 위해 Java로 작성된 다중 플랫폼 소프트웨어인 Subgraph에 의해 개발되었습니다.

베가는 편안해졌어요 GUI주어진 자격 증명으로 애플리케이션에 로그인하여 자동 검사를 수행할 수 있습니다.

개발자라면 vega API를 사용하여 새로운 공격 모듈을 만들 수 있습니다.

9. SQL맵

이름에서 짐작할 수 있듯이, 이를 사용하면 데이터베이스에 대한 침투 테스트를 수행하여 결함을 찾을 수 있습니다.

모든 OS의 Python 2.6 또는 2.7에서 작동합니다. 원한다면 sqlmap이 그 어느 때보다 유용해질 것입니다.

10. 그래버

이 작은 Python 기반 도구는 몇 가지 작업을 매우 잘 수행합니다.

그래버의 일부 기능:

JavaScript 소스 코드 분석기
크로스사이트 스크립팅, SQL 인젝션, 블라인드 SQL 인젝션
PHP-SAT를 사용하여 PHP 애플리케이션 테스트

11. 골리스메로

Wfuzz, DNS recon, sqlmap, OpenVas, 로봇 분석기 등 일부 널리 사용되는 보안 도구를 관리하고 실행하기 위한 프레임워크입니다.

Golismero는 다른 도구의 리뷰를 통합하여 하나의 결과를 표시할 수 있습니다.

12. OWASP 제노틱스 XSS

Xenotix XSS OWASP는 크로스 사이트 스크립팅을 검색하고 활용하기 위한 고급 프레임워크입니다.

빠른 스캔과 향상된 결과를 위해 3개의 스마트 퓨저가 내장되어 있습니다.

13. 메타스캔

국내 개발자의 웹 애플리케이션 취약점 검색을 위한 스캐너

범주: .

저자: Maksadkhan Yakubov, Bogdan Shklyarevsky.

이 문서에서는 웹 리소스 관리 문제와 안전한 관리 및 해킹 및 사이버 공격으로부터 보호하기 위한 방법, 방법 및 권장 사항에 대해 설명합니다.

안전한 웹사이트를 설계, 제작 또는 운영하는 첫 번째 단계는 해당 웹사이트를 호스팅하는 서버가 최대한 안전한지 확인하는 것입니다.

모든 웹 서버의 주요 구성 요소는 운영 체제입니다. 안전을 보장하는 것은 상대적으로 간단합니다. 제때에 설치하면 됩니다. 최신 업데이트보안 시스템.

해커는 업데이트가 오래되었거나 설치되지 않은 서버를 찾아 한 서버를 차례로 통과하는 맬웨어를 사용하여 공격을 자동화하는 경향이 있다는 점을 기억할 가치가 있습니다. 따라서 업데이트가 신속하고 정확하게 설치되었는지 확인하는 것이 좋습니다. 오래된 버전의 업데이트가 설치된 서버는 공격을 받을 수 있습니다.

또한 웹 서버에서 실행되는 모든 소프트웨어를 적시에 업데이트해야 합니다. 관련되지 않은 모든 소프트웨어 필요한 구성 요소(예: DNS 서버나 VNC 또는 원격 데스크톱 서비스와 같은 원격 관리 도구)을 비활성화하거나 제거해야 합니다. 원격 관리 도구가 필요한 경우 기본 비밀번호나 쉽게 추측할 수 있는 비밀번호를 사용하지 않도록 주의하세요. 이 참고 사항은 원격 관리 도구뿐만 아니라 사용자 계정, 라우터 및 스위치에도 적용됩니다.

다음 중요한 점바이러스 백신 소프트웨어입니다. Windows 또는 Unix 플랫폼으로 사용되는지 여부에 관계없이 모든 웹 리소스에 대한 사용은 필수 요구 사항입니다. 유연한 방화벽과 결합하면 바이러스 백신 소프트웨어가 가장 뛰어난 소프트웨어 중 하나가 됩니다. 효과적인 방법사이버 공격으로부터 보호. 웹 서버가 공격 대상이 되면 공격자는 즉시 보안 취약점을 이용하기 위해 해킹툴이나 악성 소프트웨어를 다운로드하려고 시도한다. 고품질의 바이러스 백신 소프트웨어가 없으면 보안 취약점이 오랫동안 감지되지 않아 바람직하지 않은 결과를 초래할 수 있습니다.

제일 최선의 선택정보 자원을 보호할 때 다단계 접근 방식이 있습니다. 전면에는 방화벽과 운영 체제가 있습니다. 그 뒤에 있는 바이러스 백신은 발생하는 모든 격차를 메울 준비가 되어 있습니다.

매개변수 기반 운영 체제및 웹 서버 기능과 관련하여 사이버 공격으로부터 보호하기 위한 다음과 같은 일반적인 기술을 인용할 수 있습니다.

• 불필요한 구성 요소를 설치하지 마십시오. 각 구성 요소에는 별도의 위협이 따릅니다. 더 많을수록 전체 위험이 높아집니다.
• 보안 업데이트를 통해 운영 체제와 애플리케이션을 최신 상태로 유지하세요.
• 바이러스 백신을 사용하고 켜세요 자동 설치업데이트하고 올바르게 설치되었는지 정기적으로 확인합니다.

이러한 작업 중 일부는 어려워 보일 수 있지만 단 하나의 보안 허점만 있어도 공격할 수 있다는 점을 기억하세요. 이 경우 잠재적인 위험에는 데이터 및 트래픽 도난, 서버 IP 주소 블랙리스트 작성, 조직의 평판 손상, 웹사이트 불안정 등이 포함됩니다.

일반적으로 취약점의 심각도에 따라 취약점의 상태를 5단계로 결정합니다. 이 순간웹 리소스가 있습니다(표 1). 일반적으로 공격자는 자신의 목표와 자격을 기반으로 해킹된 리소스에 대한 기반을 확보하고 자신의 존재를 위장하려고 합니다.

사이트 해킹은 항상 외부 표시(모바일 리디렉션, 페이지의 스팸 링크, 타인의 배너, 훼손 등)로 인식될 수는 없습니다. 사이트가 손상된 경우 이러한 외부 표시가 나타나지 않을 수 있습니다. 리소스는 중단, 오류 또는 바이러스 백신 블랙리스트에 포함되지 않고 정상적으로 작동할 수 있습니다. 그러나 이것이 사이트가 안전하다는 것을 의미하지는 않습니다. 문제는 보안감사를 하지 않으면 해킹 사실을 알아차리기 어렵고, 웹셸, 백도어, 기타 해커툴 자체가 꽤 오랫동안 호스팅에 남아 자신의 용도로 활용되지 않을 수 있다는 점이다. 의도된 목적. 그러나 어느 날 공격자에 의해 심각하게 악용되기 시작하여 사이트 소유자에게 문제가 발생하는 순간이 옵니다. 스팸 또는 피싱 페이지 게시의 경우 사이트가 호스팅에서 차단되거나 일부 기능이 비활성화되고 페이지에 리디렉션 또는 바이러스가 나타나는 경우 바이러스 백신 및 제재가 금지됩니다. 검색 엔진. 이러한 경우 사이트를 긴급하게 "치료"한 다음 음모가 반복되지 않도록 해킹 방지 기능을 설치해야합니다. 표준 바이러스 백신은 일부 유형의 트로이 목마 및 웹 셸을 인식하지 못하는 경우가 많습니다. 그 이유는 업데이트가 시기적절하지 않거나 소프트웨어가 오래되었기 때문일 수 있습니다. 웹 리소스에서 바이러스 및 스크립트를 확인할 때 다음을 사용해야 합니다. 바이러스 백신 프로그램전문 분야가 다르므로 이 경우 한 바이러스 백신 프로그램에서 발견되지 않은 트로이 목마가 다른 바이러스 백신 프로그램에서 발견될 수 있습니다. 그림 1은 바이러스 백신 소프트웨어 검사 보고서의 예를 보여주며, 다른 바이러스 백신 프로그램은 악성 코드를 탐지할 수 없다는 사실에 유의하는 것이 중요합니다.

“PHP/Phishing.Agent.B”, “Linux/Roopre.E.Gen”, “PHP/Kryptik.AE”와 같은 트로이 목마는 공격자가 다음을 수행하는 데 사용됩니다. 리모콘컴퓨터. 이러한 프로그램은 종종 다음을 통해 웹 사이트에 들어갑니다. 이메일, 무료 소프트웨어, 기타 웹사이트 또는 채팅방. 대부분의 경우 이러한 프로그램은 유용한 파일 역할을 합니다. 하지만 사용자의 개인정보를 수집해 공격자에게 전송하는 악성 트로이 목마이다. 또한 특정 웹사이트에 자동으로 연결하여 다른 유형의 악성 코드를 시스템에 다운로드할 수도 있습니다. 탐지 및 제거를 피하기 위해 "Linux/Roopre.E.Gen"은 보안 기능을 비활성화할 수 있습니다. 이 트로이 목마 프로그램은 시스템 내부에 숨길 수 있는 루트킷 기술을 사용하여 개발되었습니다.

• "PHP/웹쉘.NCL" 삭제 등 다양한 기능을 수행할 수 있는 트로이 목마 프로그램입니다. 시스템 파일, 로드 중 악성 코드, 기존 구성 요소나 다운로드한 개인 정보 및 기타 데이터를 숨길 수 있습니다. 이 프로그램은 일반적인 안티 바이러스 검사를 우회하고 사용자가 모르는 사이에 시스템에 들어갈 수 있습니다. 이 프로그램원격 사용자가 감염된 웹사이트를 제어할 수 있도록 백도어를 설치할 수 있습니다. 공격자는 이 프로그램을 사용하여 사용자를 감시하고, 파일을 관리하고, 추가 소프트웨어를 설치하고, 전체 시스템을 제어할 수 있습니다.
• "JS/TrojanDownloader.FakejQuery. ㅏ" - CMS "WordPress" 및 "Joomla"를 사용하여 개발된 사이트를 주요 대상으로 하는 트로이 목마 프로그램입니다. 공격자는 웹사이트를 해킹할 때 WordPress 또는 Joomla 플러그인 설치를 시뮬레이션하는 스크립트를 실행한 다음 악성 JavaScript 코드를 header.php 파일에 삽입합니다.
• "PHP/소형.NBK" - 해커가 원격으로 액세스할 수 있도록 허용하는 악성 애플리케이션입니다. 컴퓨터 시스템, 파일을 수정하고, 개인 정보를 도용하고, 더 많은 악성 소프트웨어를 설치할 수 있습니다. 트로이 목마라고 하는 이러한 유형의 위협은 일반적으로 공격자가 다운로드하거나 다른 프로그램을 통해 다운로드합니다. 감염된 애플리케이션이나 온라인 게임의 설치뿐만 아니라 감염된 사이트를 방문할 때 나타날 수도 있습니다.

안타깝게도 해커 스크립트는 외부 서명이나 외부 스캐너로는 감지되지 않습니다. 따라서 웹마스터의 컴퓨터에 설치된 검색 엔진 바이러스 백신이나 바이러스 백신 소프트웨어 모두 사이트 보안 문제를 보고하지 않습니다. 스크립트가 사이트의 시스템 디렉터리(루트나 이미지가 아닌)에 있거나 기존 스크립트에 삽입된 경우에도 실수로 발견되지 않습니다.

그림 1. 바이러스 백신 소프트웨어 검사 보고서의 예

따라서 웹 리소스를 보호하기 위해 다음 권장 사항이 필요할 수 있습니다.

1. 정기적인 지원모든 콘텐츠 파일 시스템, 데이터베이스 및 이벤트 로그(로그 파일).
2. 콘텐츠 관리 시스템을 CMS(콘텐츠 관리 시스템)의 최신 안정 버전으로 정기적으로 업데이트합니다.
3. 복잡한 비밀번호를 사용합니다. 비밀번호 요구 사항: 비밀번호는 8자 이상이어야 하며, 비밀번호 생성 시 대문자, 소문자, 특수 문자를 사용해야 합니다.
4. XSS 공격이나 SQL 주입과 같은 공격을 방지하려면 보안 추가 기능이나 플러그인을 사용하는 것이 필수입니다.
5. 추가 기능(플러그인, 템플릿, 확장 프로그램)의 사용 및 설치는 신뢰할 수 있는 소스나 공식 개발자 웹사이트에서만 수행해야 합니다.
6. 바이러스 백신 프로그램을 사용하고 최신 데이터베이스 서명을 사용하여 일주일에 한 번 이상 파일 시스템을 검사합니다.
7. 승인 및 요청 양식(양식)에 데이터를 입력하는 동안 무차별 비밀번호를 통한 해킹으로부터 웹사이트를 보호하기 위해 CAPTCHA 메커니즘을 사용하도록 제공합니다. 피드백, 검색 등).
8. 입장할 수 없도록 제한 관리 패널특정 횟수의 시도 실패 후 웹사이트 제어.
9. 다음과 같은 매개변수를 고려하여 웹 서버 구성 파일을 통해 웹사이트 보안 정책을 올바르게 구성하십시오.

• 승인되지 않은 IP 주소로부터의 접속을 방지하기 위해 관리자가 웹사이트의 관리 제어판에 접속하는 데 사용하는 IP 주소 수를 제한합니다.
• XSS 공격을 방지하려면 텍스트 형식(예: p b i u) 이외의 방법으로 태그가 전송되지 않도록 하세요.

1. 데이터베이스 액세스, FTP 액세스 등에 대한 정보가 포함된 파일을 기본 디렉터리에서 다른 디렉터리로 이동한 다음 해당 파일의 이름을 바꿉니다.

경험이 부족한 해커라도 보호 기능을 제공하지 않으면 Joomla 웹사이트를 해킹하는 것은 매우 쉽습니다. 그러나 불행하게도 웹마스터들은 사이트 해킹을 중요하지 않은 문제로 생각하여 해킹으로부터 보호하는 것을 나중으로 미루는 경우가 많습니다. 사이트에 대한 액세스를 복원하려면 사이트를 보호하기 위한 조치를 취하는 것보다 훨씬 더 많은 시간과 노력이 필요합니다. 웹 리소스의 보안은 서버의 최대 보안을 보장할 의무가 있는 개발자와 호스팅 업체뿐만 아니라 사이트 관리자의 임무입니다.

소개

안에 현대 비즈니스웹 기술은 엄청난 인기를 얻었습니다. 대부분의 사이트 대기업상호 작용, 개인화 도구 및 고객과의 상호 작용 수단(온라인 상점, 원격지)을 갖춘 일련의 애플리케이션입니다. 은행 서비스) 및 종종 회사 내부 기업 애플리케이션과의 통합 수단입니다.

그러나 웹사이트가 인터넷에 공개되면 사이버 공격의 표적이 됩니다. 최대 간단한 방법으로오늘날 웹사이트에 대한 공격은 해당 구성 요소의 취약점을 악용하는 것입니다. 그리고 가장 큰 문제는 취약점이 현대 웹사이트에서 매우 흔해진다는 것입니다.

취약점은 임박하고 점점 커지는 위협입니다. 이는 대부분 웹 애플리케이션 코드의 보안 결함과 웹 사이트 구성 요소의 잘못된 구성으로 인해 발생합니다.

몇 가지 통계를 봅시다. 하이테크브릿지는 2016년 상반기 사이버위협 보고서 자료에 따라 하이테크브릿지가 작성한 2016년 상반기 웹 보안 동향을 발표합니다.

• 웹 서비스 또는 API의 60% 이상 모바일 애플리케이션데이터베이스를 손상시킬 수 있는 위험한 취약점이 하나 이상 포함되어 있습니다.
• XSS 공격에 취약한 사이트 중 35%는 SQL 주입 및 XXE 공격에도 취약합니다.
• 사이트의 23%에 POODLE 취약점이 포함되어 있으며 0.43%만이 Heartbleed입니다.
• RansomWeb 공격 중 위험한 취약점을 악용하는 사례(예: SQL 삽입 허용)가 5배 증가했습니다.
• 웹 서버의 79.9%가 잘못 구성되었거나 안전하지 않은 http 헤더를 가지고 있습니다.
• 현재 필요한 업데이트와 수정 사항은 웹 서버의 27.8%에만 설치되어 있습니다.

웹자원을 보호하기 위해 전문가가 정보 보안다른 도구 세트를 사용하십시오. 예를 들어 SSL 인증서는 트래픽을 암호화하는 데 사용되며 WAF(웹 애플리케이션 방화벽)는 웹 서버 경계에 설치되며 이는 심각한 구성과 장기간의 자체 학습이 필요합니다. 웹사이트 보안을 보장하는 똑같이 효과적인 방법은 정기적으로 보안 상태를 확인(취약점 검색)하는 것이며, 이러한 확인을 수행하는 도구는 웹사이트 보안 스캐너입니다. 우리 얘기하자이번 리뷰에서는.

우리 웹사이트에는 이미 웹 애플리케이션 보안 스캐너에 대한 리뷰가 있었습니다. ""는 시장 리더의 제품을 리뷰했습니다. 이번 리뷰에서는 더 이상 이러한 주제를 다루지 않고 무료 웹사이트 보안 스캐너에 대한 리뷰에 중점을 둘 것입니다.

자유 소프트웨어라는 주제는 오늘날 특히 관련성이 높습니다. 러시아의 불안정한 경제 상황으로 인해 현재 많은 조직(상업 및 공공 부문 모두)에서 IT 예산을 최적화하고 있으며, 시스템 보안 분석을 위한 고가의 상용 제품을 구입할 자금이 부족한 경우가 많습니다. 동시에 사람들이 전혀 알지 못하는 취약점을 검색하기 위한 무료(무료, 오픈 소스) 유틸리티가 많이 있습니다. 게다가 그들 중 일부는 열등하지 않습니다. 기능성유료 경쟁사에게. 따라서 이 기사에서는 가장 흥미로운 무료 웹사이트 보안 스캐너에 대해 이야기하겠습니다.

웹사이트 보안 스캐너란 무엇입니까?

웹사이트 보안 스캐너는 시스템 또는 사용자 데이터의 무결성 위반, 도난 또는 시스템 전체에 대한 제어권 획득으로 이어지는 웹 애플리케이션의 결함(취약성)을 검색하는 소프트웨어(하드웨어 및 소프트웨어) 도구입니다.

웹사이트 보안 스캐너를 사용하면 다음 범주의 취약점을 탐지할 수 있습니다.

• 코딩 단계 취약점;
• 웹 애플리케이션 구현 및 구성 단계의 취약점;
• 홈페이지 운영단계 취약점.

코딩 단계의 취약점에는 입력 및 출력 데이터의 잘못된 처리(SQL 삽입, XSS)와 관련된 취약점이 포함됩니다.

웹사이트 구현 단계의 취약점에는 웹 애플리케이션 환경(웹 서버, 애플리케이션 서버, SSL/TLS, 프레임워크, 타사 구성 요소, DEBUG 모드 존재 등)의 잘못된 설정과 관련된 취약점이 포함됩니다.

웹 사이트 운영 단계의 취약점에는 오래된 소프트웨어 사용과 관련된 취약점이 포함됩니다. 간단한 비밀번호, 웹 서버에 보관된 복사본을 저장 공개 액세스, 공개적으로 사용 가능한 서비스 모듈(phpinfo)의 가용성 등

웹사이트 보안 스캐너 작동 방식

일반적으로 웹사이트 보안 스캐너의 작동 원리는 다음과 같습니다.

• 연구 중인 개체에 대한 정보를 수집합니다.
• 취약점 데이터베이스를 사용하여 웹사이트 소프트웨어의 취약점을 감사합니다.
• 시스템 약점 식별.
• 제거에 대한 권장 사항 형성.

웹사이트 보안 스캐너 카테고리

웹사이트 보안 스캐너는 목적에 따라 다음 범주(유형)로 나눌 수 있습니다.

• 네트워크 스캐너 - 이 유형스캐너는 사용 가능한 네트워크 서비스를 표시하고 해당 버전을 설치하며 OS 등을 결정합니다.
• 웹 스크립트의 취약점을 검색하는 스캐너- 이 유형의 스캐너는 SQL inj, XSS, LFI/RFI 등과 같은 취약점이나 오류(삭제되지 않은 임시 파일, 디렉터리 인덱싱 등)를 검색합니다.
• 익스플로잇 파인더- 이 유형의 스캐너는 다음에서 악용을 자동으로 검색하도록 설계되었습니다. 소프트웨어그리고 스크립트.
• 주입 자동화 도구- 주입 검색 및 활용을 구체적으로 처리하는 유틸리티입니다.
• 디버거- 웹 애플리케이션에서 오류를 수정하고 코드를 최적화하기 위한 도구입니다.

여러 범주의 스캐너 기능을 동시에 포함하는 범용 유틸리티도 있습니다.

다음은 무료 웹사이트 보안 스캐너에 대한 간략한 개요입니다. 무료 유틸리티가 많기 때문에 웹 기술의 보안을 분석하는 데 가장 널리 사용되는 무료 도구만 검토에 포함됩니다. 검토에 특정 유틸리티를 포함할 때 웹 기술 보안 주제에 대한 전문 리소스가 분석되었습니다.

무료 웹사이트 보안 스캐너에 대한 간략한 검토

네트워크 스캐너

엔맵

스캐너 유형: 네트워크 스캐너.

Nmap(Network Mapper)은 무료 오픈 소스 유틸리티입니다. 이는 개체 수에 관계없이 네트워크를 검색하고, 검색된 네트워크의 개체 상태는 물론 포트 및 해당 서비스를 확인하도록 설계되었습니다. 이를 위해 Nmap은 UDP, TCP 연결, TCP SYN(반 개방), FTP 프록시(ftp 획기적인), Reverse-ident, ICMP(ping), FIN, ACK, Xmas tree, SYN과 같은 다양한 스캐닝 방법을 사용합니다. 및 NULL 스캐닝.

Nmap은 또한 TCP/IP 스택 지문을 사용하여 원격 호스트의 운영 체제 결정, "보이지 않는" 스캐닝, 대기 시간 및 패킷 재전송의 동적 계산, 병렬 스캐닝, 병렬 핑 폴링을 사용하여 비활성 호스트 식별과 같은 광범위한 추가 기능을 지원합니다. , 잘못된 호스트를 사용하여 검색, 패킷 필터 존재 감지, 직접(portmapper 사용 없이) RPC 검색, IP 조각화를 사용한 검색, 검색된 네트워크의 IP 주소 및 포트 번호에 대한 임의 표시.

Nmap은 Linux Journal, Info World, LinuxQuestions.Org 및 Codetalker Digest와 같은 잡지와 커뮤니티로부터 올해의 보안 제품상을 받았습니다.

플랫폼: 이 유틸리티는 크로스 플랫폼입니다.

자세한 내용은 Nmap 스캐너상담이 가능합니다.

IP 도구

스캐너 유형: 네트워크 스캐너.

IP 도구는 필터링 규칙, 필터링 어댑터, 패킷 디코딩, 프로토콜 설명 등을 지원하는 프로토콜 분석기입니다. 자세한 정보각 패키지는 스타일 트리에 포함되어 있으며 마우스 오른쪽 버튼 클릭 메뉴를 사용하면 선택한 IP 주소를 검색할 수 있습니다.

패킷 스니퍼 외에도 IP Tools는 완전한 세트를 제공합니다. 네트워크 도구, 통계 어댑터, IP 트래픽 모니터링 등을 포함합니다.

IP-Tools 스캐너에 대해 자세히 알아볼 수 있습니다.

가다랑어

프로그래머 Michal Zalewski의 크로스 플랫폼 웹 취약성 스캐너 Skipfish는 웹 애플리케이션과 사전 기반 검사에 대한 재귀 분석을 수행한 후 감지된 취약성에 대한 주석이 달린 사이트 맵을 생성합니다.

이 도구는 Google에서 내부적으로 개발 중입니다.

스캐너는 웹 애플리케이션에 대한 자세한 분석을 수행합니다. 동일한 애플리케이션의 후속 테스트를 위해 사전을 생성하는 것도 가능합니다. Skipfish의 세부 보고서에는 감지된 취약점, 취약점이 포함된 리소스의 URL 및 전송된 요청에 대한 정보가 포함되어 있습니다. 보고서에서 얻은 데이터는 심각도 수준과 취약점 유형별로 정렬됩니다. 보고서는 html 형식으로 생성됩니다.

Skipfish 웹 취약점 스캐너는 매우 많은 양의 트래픽을 생성하고 스캔하는 데 매우 오랜 시간이 걸린다는 점은 주목할 가치가 있습니다.

플랫폼: MacOS, Linux, Windows.

Skipfish 스캐너에 대해 자세히 알아볼 수 있습니다.

와피티

스캐너 유형: 웹 스크립트의 취약점을 검색하기 위한 스캐너입니다.

Wapiti는 웹 애플리케이션 감사를 위한 콘솔 유틸리티입니다. 이는 "블랙박스" 원리에 따라 작동합니다.

Wapiti의 기능은 다음과 같습니다. 먼저 WASS 스캐너는 사이트 구조를 분석하고 사용 가능한 스크립트를 검색하며 매개변수를 분석합니다. 그런 다음 Wapiti는 fuzzer를 켜고 모든 취약한 스크립트가 발견될 때까지 스캔을 계속합니다.

Wapiti WASS 스캐너는 다음 유형의 취약점에 대해 작동합니다.

• 파일 공개(로컬 및 원격 포함/요구, fopen, readfile).
• 데이터베이스 주입(PHP/JSP/ASP SQL 주입 및 XPath 주입).
• XSS(Cross Site Scripting) 주입(반영 및 영구).
• 명령 실행 감지(eval(), system(), passtru()…).
• CRLF 주입(HTTP 응답 분할, 세션 고정...).
• XXE(XmleXternal Entity) 주입.
• 잠재적으로 위험한 파일을 사용합니다.
• 우회할 수 있는 약한 .htaccess 구성입니다.
• 민감한 정보를 제공하는 백업 파일이 존재합니다(소스 코드 공개).

Wapiti는 Kali Linux 배포판의 유틸리티에 포함되어 있습니다. SourceForge에서 소스를 다운로드하여 Linux 커널 기반 배포판에서 사용할 수 있습니다. Wapiti는 GET 및 POST HTTP 요청 방법을 지원합니다.

플랫폼: 윈도우, 유닉스, 맥OS.

Wapiti 스캐너에 대해 자세히 알아볼 수 있습니다.

네소스

Nessus 스캐너는 가족이 소유한 강력하고 신뢰할 수 있는 도구입니다. 네트워크 스캐너이를 통해 운영 체제, 방화벽, 필터링 라우터 및 기타 네트워크 구성 요소가 제공하는 네트워크 서비스의 취약점을 검색할 수 있습니다. 취약점을 검색하기 위해 다음과 같이 사용됩니다. 표준 수단네트워크 구성 및 운영에 관한 정보를 테스트하고 수집합니다. 특별한 수단, 네트워크에 연결된 시스템에 침투하는 공격자의 행동을 에뮬레이트합니다.

Nessus 스캐너에 대해 자세히 알아볼 수 있습니다.

bsqlbf-v2

스캐너 유형: 주입 자동화 도구.

bsqlbf-v2는 Perl로 작성된 스크립트입니다. 블라인드 SQL 주입을 위한 무차별 대입 공격입니다. 스캐너는 URL의 정수 값과 문자열 값 모두에서 작동합니다.

플랫폼: MS-SQL, MySQL, PostgreSQL, Oracle.

bsqlbf-v2 스캐너에 대해 자세히 알아볼 수 있습니다.

디버거

버프 스위트

스캐너 유형: 디버거.

Burp Suite는 Java로 작성된 상대적으로 독립적인 크로스 플랫폼 애플리케이션 모음입니다.

컴플렉스의 핵심은 로컬 프록시 서버의 기능을 수행하는 Burp Proxy 모듈입니다. 세트의 나머지 구성 요소는 Spider, Intruder, Repeater, Sequencer, Decoder 및 Comparer입니다. 모든 구성 요소는 웹 애플리케이션에 대한 다양한 검사를 수행하기 위해 프록시에서 침입자로 데이터를 애플리케이션의 어느 부분으로든 보낼 수 있는 방식으로 하나의 전체로 상호 연결됩니다. HTTP 헤더.

플랫폼: 크로스 플랫폼 소프트웨어.

Burp Suite 스캐너에 대해 자세히 알아볼 수 있습니다.

바이올리니스트

스캐너 유형: 디버거.

Fiddler는 모든 HTTP(S) 트래픽을 기록하는 디버그 프록시입니다. 이 도구를 사용하면 이 트래픽을 검사하고 중단점을 설정하고 들어오거나 나가는 데이터를 "재생"할 수 있습니다.

Fiddler의 기능적 특징:

• 모든 요청을 제어하는 ​​능력, 쿠키, 인터넷 브라우저에 의해 전송되는 매개변수입니다.
• 즉석에서 서버 응답을 변경하는 기능입니다.
• 헤더와 요청을 조작하는 능력.
• 채널 폭을 변경하는 기능입니다.

플랫폼: 크로스 플랫폼 소프트웨어.

Fiddler 스캐너에 대해 자세히 알아볼 수 있습니다.

N-Stalker 웹 애플리케이션 보안 스캐너 X 무료 버전

스캐너 유형: 웹 스크립트의 취약점을 검색하기 위한 스캐너, 검색 도구 이용.

웹 서비스를 위한 효과적인 도구는 N-Stalker의 N-Stealth Security Scanner입니다. 회사는 N-Stealth의 보다 완전한 기능을 갖춘 버전을 판매하지만 무료입니다. 평가판간단한 평가에 매우 적합합니다. 유료제품은 3만회 이상의 웹서버 보안 테스트를 거쳤지만, 무료 버전 Microsoft IIS 및 Apache와 같이 널리 사용되는 웹 서버의 취약점을 포함하여 16,000개 이상의 특정 격차를 탐지합니다. 예를 들어 N-Stealth는 취약한 CGI(Common Gateway Interface) 및 PHP(Hypertext Preprocessor) 스크립트를 찾아 공격을 사용하여 침투합니다. SQL 서버, 일반적인 사이트 간 시나리오 및 널리 사용되는 웹 서버의 기타 격차.

N-Stealth는 HTTP 및 HTTP 보안(HTTPS - SSL 사용)을 모두 지원하고, CVE(Common Vulnerability and Exposures) 사전 및 Bugtraq 데이터베이스에 대한 취약점을 일치시키고, 괜찮은 보고서를 생성합니다. N-Stealth는 웹 서버에서 가장 일반적인 취약점을 찾는 데 사용되며 가장 가능성이 높은 공격 벡터를 식별하는 데 도움이 됩니다.

물론, 웹사이트나 애플리케이션의 보안을 보다 확실하게 평가하려면 유료 버전을 구입하는 것이 좋습니다.

N-Stealth 스캐너에 대해 자세히 알아볼 수 있습니다.

결론

취약점을 식별하기 위해 웹사이트를 테스트하는 것은 좋은 예방 조치입니다. 현재 무료로 사용할 수 있는 상업용 웹사이트 보안 스캐너가 많이 있습니다. 동시에 스캐너는 특정 유형의 취약점을 식별하기 위해 설계된 범용(포괄적 솔루션) 및 전문화될 수 있습니다.

일부 무료 스캐너는 매우 강력한 도구이며 뛰어난 깊이와 정보를 보여줍니다. 양질웹사이트 확인. 그러나 무료 유틸리티를 사용하여 웹사이트의 보안을 분석하기 전에 해당 품질을 확인해야 합니다. 오늘날 이를 위한 방법은 이미 많이 있습니다(예: 웹 애플리케이션 보안 스캐너 평가 기준, OWASP 웹 애플리케이션 스캐너 사양 프로젝트).

포괄적인 솔루션만이 특정 인프라의 보안에 대한 가장 완벽한 그림을 제공할 수 있습니다. 어떤 경우에는 여러 보안 스캐너를 사용하는 것이 더 좋습니다.

1. 목표와 목적

이 작업의 목적은 외부 접근에 대한 보안을 강화하기 위한 알고리즘을 개발하는 것입니다. 정보 자원기업 교육 네트워크의 특징적인 보안 위협은 물론 사용자 인구의 특징, 보안 정책, 아키텍처 솔루션 및 리소스 지원을 고려합니다.

목표에 따라 다음 작업이 작업에서 해결됩니다.

1. 교육 네트워크의 정보 보안에 대한 주요 위협을 분석합니다.

2. 교육 네트워크에서 원치 않는 정보 리소스에 대한 액세스를 제한하는 방법을 개발합니다.

3. 사이트의 잠재적 악성 코드에 대한 추가 분석을 위해 웹 페이지 검색, 직접 연결 검색 및 파일 다운로드를 허용하는 알고리즘을 개발합니다.

4. 웹사이트에서 원치 않는 정보 리소스를 식별하기 위한 알고리즘을 개발합니다.

2. 주제의 관련성

최신 지능형 교육 시스템은 웹 기반이며 사용자에게 작업 능력을 제공합니다. 다양한 방식지역 및 원격 교육 자원. 문제 안전한 사용인터넷에 게시된 정보자원(IR)은 지속적으로 관련성이 높아지고 있습니다. 이 문제를 해결하는 데 사용되는 방법 중 하나는 원하지 않는 정보 리소스에 대한 액세스를 제한하는 것입니다.

교육 기관에 인터넷 액세스를 제공하는 운영자는 원치 않는 정보에 대한 액세스를 제한해야 합니다. 제한은 정해진 절차에 따라 정기적으로 업데이트되는 목록을 사용하여 운영자가 필터링함으로써 수행됩니다. 그러나 교육 네트워크의 목적과 사용자 대상을 고려할 때 원치 않는 리소스를 동적으로 인식하고 이러한 리소스로부터 사용자를 보호하는 보다 유연한 자체 학습 시스템을 사용하는 것이 좋습니다.

일반적으로 원치 않는 리소스에 대한 접근은 다음과 같은 위협을 수반합니다: 정치적 극단주의, 테러, 마약 중독, 음란물 및 기타 자료 배포와 같은 불법적이고 비사회적인 행동의 선전; 학생들이 교육 목적으로 컴퓨터 네트워크를 사용하는 것을 방해합니다. 대역폭이 제한된 외부 채널의 과부하로 인해 인터넷 액세스가 어렵습니다. 위에 나열된 리소스는 악성 코드 및 관련 위협을 주입하는 데 자주 사용됩니다.

네트워크 리소스에 대한 액세스를 제한하는 기존 시스템에는 지정된 제한 사항을 준수하는지 개별 패킷뿐만 아니라 해당 콘텐츠(네트워크를 통해 전송되는 콘텐츠)도 검사할 수 있는 기능이 있습니다. 현재 콘텐츠 필터링 시스템은 웹 콘텐츠를 필터링하기 위해 DNS 이름이나 특정 IP 주소, 웹 콘텐츠 내의 키워드, 파일 형식 등의 방법을 사용합니다. 특정 웹 사이트나 사이트 그룹에 대한 액세스를 차단하려면 부적절한 콘텐츠가 포함된 URL을 여러 개 지정해야 합니다. URL 필터링은 네트워크 보안을 철저하게 제어합니다. 그러나 가능한 모든 부적절한 URL을 미리 예측하는 것은 불가능합니다. 또한 의심스러운 콘텐츠가 포함된 일부 웹 사이트는 URL에서는 작동하지 않고 IP 주소에서만 작동합니다.

문제를 해결하는 한 가지 방법은 HTTP 프로토콜을 통해 수신된 콘텐츠를 필터링하는 것입니다. 기존 콘텐츠 필터링 시스템의 단점은 정적으로 생성된 액세스 제어 목록을 사용한다는 것입니다. 이를 채우기 위해 상업용 콘텐츠 필터링 시스템 개발자는 콘텐츠를 카테고리로 나누고 데이터베이스에서 기록 순위를 매기는 직원을 고용합니다.

교육 네트워크에 대한 기존 콘텐츠 필터링 시스템의 단점을 제거하려면 페이지 콘텐츠를 기반으로 웹 리소스 카테고리를 동적으로 결정하는 웹 트래픽 필터링 시스템을 개발하는 것이 중요합니다.

3. 인식된 과학적 참신함

지연된 분류를 통해 정보 자원에 대한 액세스 목록의 동적 형성을 기반으로 지능형 학습 시스템 사용자의 인터넷 사이트의 원치 않는 리소스에 대한 액세스를 제한하는 알고리즘입니다.

4. 계획된 실제 결과

개발된 알고리즘은 지능형 컴퓨터 학습 시스템에서 원치 않는 리소스에 대한 액세스를 제한하는 시스템에 사용될 수 있습니다.

5. 연구개발 검토

5.1 글로벌 수준의 해당 주제에 대한 연구 개발 개요

H.H.와 같은 유명한 과학자들의 연구는 정보 보안 보장 문제에 전념하고 있습니다. 베즈루코프, P.D. 제그즈다, A.M. Ivashko, A.I. 코스토그리조프, V.I. Kurbatov K. Lendver, D. McLean, A.A. 몰도비아, H.A. Moldovyan, A.A. Malyuk, E.A. Derbin, R. Sandhu, J.M. Carroll 등. 동시에 기업 및 개방형 네트워크의 텍스트 소스의 압도적인 양에도 불구하고 정보 보안을 위한 방법 및 시스템 개발 분야에서는 보안 위협을 분석하고 웹 액세스를 통한 컴퓨터 교육에서 원치 않는 리소스에 대한 액세스를 제한하는 연구를 목표로 하는 연구를 진행하고 있습니다. .

우크라이나에서는 이 분야의 주요 연구원이 V.V. Domarev입니다. . 그의 논문 연구는 복잡한 정보 보안 시스템을 만드는 문제에 집중되어 있습니다. 책의 저자: “안전 정보 기술. 보호 시스템 구축 방법론”, “정보 기술의 보안. 체계적인 접근 방식” 등, 40개 이상의 과학 기사 및 출판물의 저자입니다.

5.2 국가 차원의 주제에 관한 연구 개발 검토

Donetsk National Technical University에서 정보 보안 시스템 구축을 위한 모델 및 방법 개발 기업 네트워크 Khimka S.S.는 다양한 기준을 고려하여 기업에 참여했습니다. . 교육 시스템의 정보 보호는 Yu.S. .

6. 교육 시스템에서 웹 리소스에 대한 접근을 제한하는 문제

정보 기술의 발전으로 인해 현재 리소스를 설명하는 두 가지 측면, 즉 인터넷 콘텐츠와 액세스 인프라에 대해 이야기할 수 있습니다. 액세스 인프라는 일반적으로 일련의 하드웨어와 소프트웨어, IP 패킷 형식으로 데이터 전송을 제공하며 콘텐츠는 정보의 표현 형식(예: 특정 인코딩의 문자 시퀀스)과 콘텐츠(의미)의 조합으로 정의됩니다. 그러한 설명의 특징적인 속성 중에서 다음 사항이 강조되어야 합니다.

1. 액세스 인프라로부터 콘텐츠의 독립성

2. 내용의 지속적인 질적, 양적 변화;

3. 새로운 대화형 정보 자원(“라이브 저널”, 소셜 미디어, 무료 백과사전 등)은 사용자가 온라인 콘텐츠 제작에 직접 참여합니다.

정보자원에 대한 접근통제 문제를 해결할 때, 인프라 및 네트워크 콘텐츠의 특성과 관련하여 해결되는 보안 정책 개발 문제는 매우 중요합니다. 정보 보안 모델에 대한 설명 수준이 높을수록 네트워크 리소스의 의미에 더 많은 액세스 제어가 집중됩니다. 분명히 MAC 및 IP 주소(링크 및 네트워크 계층네트워크 장치 인터페이스의 상호 작용)은 동일한 주소가 다른 서비스를 나타낼 수 있으므로 어떤 데이터 범주에도 연결될 수 없습니다. 일반적으로 포트 번호(전송 계층)는 서비스 유형에 대한 아이디어를 제공하지만 이 서비스에서 제공하는 정보를 질적으로 특성화하지는 않습니다. 예를 들어, 전송 계층 정보에만 기초하여 특정 웹 사이트를 의미 범주(미디어, 비즈니스, 엔터테인먼트 등) 중 하나로 분류하는 것은 불가능합니다. 보안 정보 보안애플리케이션 수준에서는 콘텐츠 필터링 개념에 가깝습니다. 네트워크 리소스의 의미를 고려한 액세스 제어. 결과적으로 접근 제어 시스템이 콘텐츠 지향적일수록 다양한 범주의 사용자 및 정보 자원과 관련된 접근 방식을 더욱 차별화하여 이를 구현할 수 있습니다. 특히, 의미 중심 제어 시스템은 교육 기관의 학생들이 학습 과정과 호환되지 않는 리소스에 접근하는 것을 효과적으로 제한할 수 있습니다.

웹 리소스를 얻는 프로세스에 가능한 옵션이 그림 1에 나와 있습니다.

그림 1 - HTTP 프로토콜을 통해 웹 리소스를 얻는 프로세스

인터넷 자원의 사용을 유연하게 통제하기 위해서는 운영회사 내 교육기관의 자원 사용에 대한 적절한 정책을 도입할 필요가 있습니다. 이 정책은 수동 또는 자동으로 구현될 수 있습니다. "수동" 구현은 회사에 실시간으로 또는 라우터, 프록시 서버 또는 방화벽의 로그를 사용하여 교육 기관 사용자의 활동을 모니터링하는 전문 직원이 있음을 의미합니다. 이러한 모니터링에는 많은 노동력이 필요하기 때문에 문제가 됩니다. 인터넷 리소스 사용에 대한 유연한 제어를 제공하기 위해 회사는 관리자에게 조직의 리소스 사용 정책을 구현하는 도구를 제공해야 합니다. 콘텐츠 필터링이 이러한 목적으로 사용됩니다. 그 본질은 정보 교환 개체를 구성 요소로 분해하고, 이러한 구성 요소의 내용을 분석하고, 해당 매개 변수가 인터넷 리소스 사용에 대해 허용된 정책을 준수하는지 결정하고, 그러한 분석 결과에 따라 특정 조치를 취하는 데 있습니다. 웹 트래픽을 필터링하는 경우 정보 교환 대상은 웹 요청, 웹 페이지 콘텐츠, 사용자 요청 시 전송되는 파일로 이해됩니다.

교육 기관의 사용자는 프록시 서버를 통해서만 인터넷에 액세스할 수 있습니다. 특정 리소스에 액세스하려고 할 때마다 프록시 서버는 해당 리소스가 특수 데이터베이스에 포함되어 있는지 확인합니다. 이러한 리소스가 금지된 리소스 데이터베이스에 있으면 해당 리소스에 대한 액세스가 차단되고 사용자에게 화면에 해당 메시지가 표시됩니다.

요청한 리소스가 금지된 리소스 데이터베이스에 없으면 해당 리소스에 대한 액세스가 허용되지만 이 리소스를 방문한 기록은 특수 서비스 로그에 기록됩니다. 하루에 한 번(또는 다른 간격으로) 프록시 서버는 가장 많이 방문한 리소스 목록(URL 목록 형식)을 생성하여 전문가에게 보냅니다. 전문가(시스템 관리자)는 적절한 방법을 사용하여 결과 리소스 목록을 확인하고 그 성격을 결정합니다. 리소스가 비대상 성격의 경우 전문가는 이를 분류(포르노 리소스, 게임 리소스)하고 데이터베이스를 변경합니다. 필요한 모든 변경을 수행한 후 업데이트된 데이터베이스 버전이 시스템에 연결된 모든 프록시 서버로 자동으로 전송됩니다. 프록시 서버의 대상이 아닌 리소스에 대한 필터링 체계는 그림 1에 나와 있습니다. 2.

그림 2 - 프록시 서버에서 대상이 아닌 리소스를 필터링하는 기본 원칙

프록시 서버에서 대상이 아닌 리소스를 필터링할 때 발생하는 문제점은 다음과 같습니다. 중앙 집중식 여과를 위해서는 중앙 장치의 고성능 장비가 필요하며, 처리량중앙 노드의 통신 채널이 중단되면 중앙 노드의 오류로 인해 전체 여과 시스템이 완전히 실패하게 됩니다.

조직의 워크스테이션이나 서버에서 직접 "현장에서" 분산 필터링을 사용하면 배포 및 지원 비용이 높습니다.

요청을 보내는 단계에서 주소로 필터링할 때 원치 않는 콘텐츠의 존재에 대한 예방적 대응이 없으며 "마스크된" 웹사이트를 필터링하는 데 어려움이 있습니다.

콘텐츠별로 필터링할 경우 각 리소스를 수신할 때 많은 양의 정보를 처리해야 하며, Java, Flash 등의 도구를 사용하여 준비된 리소스를 처리하는 복잡성이 있습니다.

7. 지능형 학습 시스템 사용자를 위한 웹 자원의 정보 보안

액세스 제어 도구를 인터넷 리소스에 통합하는 계층적 원리에 기반한 공통 솔루션을 사용하여 정보 리소스에 대한 액세스를 제어할 수 있는 가능성을 고려해 보겠습니다(그림 3). IOS에서 원하지 않는 IR에 대한 액세스를 제한하는 것은 방화벽, 프록시 서버 사용, 침입 탐지를 위한 비정상적인 활동 분석, 대역폭 제한, 콘텐츠 분석 기반 필터링, 액세스 목록 기반 필터링과 같은 기술의 조합을 통해 달성할 수 있습니다. 이 경우 주요 작업 중 하나는 최신 액세스 제한 목록을 구성하고 사용하는 것입니다.

원치 않는 리소스 필터링은 현재 기준에 따라 수행됩니다. 규제 문서확립된 절차에 따라 게시된 목록을 기반으로 합니다. 다른 정보 자원에 대한 접근 제한은 교육 네트워크 운영자가 개발한 특별한 기준에 따라 수행됩니다.

잠재적으로 원치 않는 리소스에 대한 경우에도 지정된 빈도 이하의 사용자 액세스는 허용됩니다. 수요가 많은 리소스, 즉 사용자 요청 수가 지정된 임계값을 초과한 리소스만 분석 및 분류됩니다. 요청 수가 임계값을 초과한 후 일정 시간(외부 채널의 부하가 최소인 기간)에 검사 및 분석이 수행됩니다.

검사되는 것은 단일 웹 페이지뿐만 아니라 (페이지의 링크를 분석하여) 이와 관련된 모든 리소스입니다. 결과적으로 이 접근 방식을 사용하면 리소스 검색 중에 맬웨어에 대한 링크가 있는지 확인할 수 있습니다.

그림 3 - 인터넷 리소스에 대한 액세스 제어 도구의 계층 구조

(애니메이션, 24프레임, 25KB)

리소스의 자동 분류는 시스템 소유자인 클라이언트의 기업 서버에서 수행됩니다. 분류 시간은 사용된 방법에 따라 결정되는데, 이는 지연된 자원 분류의 개념을 기반으로 합니다. 이는 잠재적으로 원치 않는 리소스에 대한 경우에도 지정된 빈도 이하의 사용자 액세스가 허용된다고 가정합니다. 이는 비용이 많이 드는 즉석 분류를 방지합니다. 수요가 많은 리소스, 즉 사용자 요청 빈도가 지정된 임계값을 초과한 리소스만 분석 및 자동 분류 대상이 됩니다. 요청 수가 임계값을 초과한 후 일정 시간(외부 채널의 부하가 최소인 기간)에 검사 및 분석이 수행됩니다. 이 방법은 "검은색"(ChSP), "흰색"(BSP) 및 "회색"(GSP)의 세 가지 목록을 동적으로 구성하는 방식을 구현합니다. 블랙리스트에 있는 리소스는 접근이 금지됩니다. 화이트리스트에는 확인된 허용 리소스가 포함되어 있습니다. "회색" 목록에는 사용자가 한 번 이상 요구했지만 분류되지 않은 리소스가 포함됩니다. "블랙" 목록의 초기 형성 및 추가 "수동" 조정은 승인된 정부 기관이 제공한 금지된 리소스의 주소에 대한 공식 정보를 기반으로 수행됩니다. "화이트" 목록의 초기 내용은 사용이 권장되는 리소스로 구성됩니다. 블랙리스트에 없는 리소스에 대한 요청은 모두 승인됩니다. 이 리소스가 "화이트" 목록에 없으면 이 리소스에 대한 요청 수가 기록되는 "회색" 목록에 배치됩니다. 요청 빈도가 특정 임계값을 초과하면 리소스가 자동으로 분류되어 "블랙" 또는 "화이트" 목록에 포함됩니다.

8. 지능형 훈련 시스템 사용자를 위한 웹 자원의 정보 보안을 결정하는 알고리즘

접근 제한 알고리즘. 인터넷 사이트의 원하지 않는 리소스에 대한 액세스 제한은 IOS에서 원하지 않는 IR에 대한 액세스 위험에 대한 다음 정의에 기초합니다. k번째 IR 클래스로 분류된 원치 않는 i번째 IR에 접근할 위험은 특정 유형의 IOS 또는 사용자의 신원 및 사용자의 신원에 대한 원치 않는 IR로 인한 피해에 대한 전문가의 평가에 비례하는 값이 됩니다. 특정 기간 동안 이 리소스에 대한 액세스 횟수:

위협이 실현될 확률과 발생한 피해 비용의 곱인 위험에 대한 고전적인 정의와 유사하게 이 정의는 위험을 원치 않는 IR에 대한 액세스로 인해 발생할 수 있는 피해량에 대한 수학적 기대치로 해석합니다. 이 경우 예상되는 피해량은 IR이 사용자의 성격에 미치는 영향 정도에 따라 결정되며, 이는 이러한 영향을 경험한 사용자의 수에 정비례합니다.

웹 리소스를 분석하는 과정에서 액세스가 바람직하거나 바람직하지 않다는 관점에서 각 페이지의 콘텐츠, 즉 텍스트 및 기타(그래픽, 이 페이지에 게시된 사진, 비디오) 정보 동일한 웹사이트의 다른 페이지에 게시된 콘텐츠(로드된 페이지의 콘텐츠에서 내부 링크를 얻을 수 있음) 정규 표현식); 다른 사이트에 대한 연결(둘 다 다운로드 가능바이러스 및 트로이 목마) 및 원치 않는 콘텐츠가 존재한다는 관점에서 볼 수 있습니다. 목록을 사용하여 원치 않는 리소스에 대한 액세스를 제한하는 알고리즘은 그림 1에 나와 있습니다. 4.

그림 4 - 원치 않는 리소스에 대한 액세스를 제한하는 알고리즘

원치 않는 웹 페이지를 식별하는 알고리즘. 콘텐츠(웹페이지 텍스트)를 분류하려면 다음 문제를 해결해야 합니다. 분류 범주 지정; 자동으로 분석할 수 있는 원본 텍스트에서 정보를 추출합니다. 기밀 텍스트 컬렉션 생성; 획득한 데이터 세트를 사용하여 분류기를 구성하고 훈련합니다.

분류된 텍스트의 트레이닝 세트를 분석하여 일반적으로 가장 자주 사용되는 단어 형식과 각 분류 범주에 대해 개별적으로 용어를 식별합니다. 각 소스 텍스트는 벡터로 표시되며, 그 구성 요소는 텍스트에서 특정 용어의 발생 특성을 나타냅니다. 벡터 희소성을 방지하고 차원을 줄이려면 형태소 분석 방법을 사용하여 단어 형태를 초기 형태로 줄이는 것이 좋습니다. 그런 다음 벡터를 정규화해야 보다 정확한 분류 결과를 얻을 수 있습니다. 하나의 웹 페이지에 대해 사용자에게 표시되는 정보와 검색 엔진에 제공되는 텍스트라는 두 개의 벡터가 생성될 수 있습니다.

웹 페이지 분류자를 구성하는 데는 다양한 접근 방식이 있습니다. 가장 일반적으로 사용되는 것은 베이지안 분류기입니다. 신경망; 선형 분류기; 지원 벡터 머신(SVM). 위의 모든 방법에는 훈련 컬렉션에 대한 훈련과 테스트 컬렉션에 대한 테스트가 필요합니다. 이진 분류의 경우 벡터 공간의 특성이 서로 독립적이라고 가정하는 Naive Bayes 솔루션을 선택할 수 있습니다. 우리는 모든 자원이 바람직한 자원과 바람직하지 않은 자원으로 분류되어야 한다고 가정합니다. 그런 다음 웹 페이지 텍스트 샘플의 전체 컬렉션은 C=(C1, C2)라는 두 가지 클래스로 나뉘며 각 클래스의 사전 확률은 P(Ci), i=1,2입니다. 충분히 큰 샘플 수집을 통해 P(Ci)는 전체 샘플 수에 대한 클래스 Ci 샘플 수의 비율과 동일하다고 가정할 수 있습니다. 분류할 일부 샘플 D에 대해 조건부 확률 P(D/Ci)로부터 베이즈 정리에 따라 값 P(Ci /D)를 얻을 수 있습니다.

P(D)의 불변성을 고려하여 다음을 얻습니다.

벡터 공간의 항이 서로 독립이라고 가정하면 다음 관계를 얻을 수 있습니다.

특성이 유사한 텍스트를 보다 정확하게 분류하려면(예: 음란물과 선정적인 장면을 묘사하는 소설을 구별하기 위해) 가중치 계수를 도입해야 합니다.

kn=k이면; kn이 k보다 작으면 kn.=1/|k|입니다. 여기서 M은 표본 데이터베이스에 있는 모든 용어의 빈도이고, L은 모든 표본의 수입니다.

9. 알고리즘 개선 방향

향후에는 웹페이지의 코드에 악성코드가 유입되는 것을 탐지하고 베이지안 분류기와 서포트 벡터 머신을 비교하기 위해 링크를 분석하는 알고리즘을 개발할 계획이다.

10. 결론

교육 시스템에서 웹 리소스에 대한 접근을 제한하는 문제에 대한 분석이 수행되었습니다. 프록시 서버에서 대상이 아닌 리소스를 필터링하는 기본 원칙은 현재 액세스 제한 목록의 형성 및 사용을 기반으로 선택되었습니다. 목록을 사용하여 원치 않는 리소스에 대한 액세스를 제한하는 알고리즘이 개발되었습니다. 이를 통해 방문 빈도와 사용자 인구를 고려하여 콘텐츠 분석을 기반으로 IR에 대한 액세스 목록을 동적으로 생성하고 업데이트할 수 있습니다. 원치 않는 콘텐츠를 식별하기 위해 Naive Bayes 분류기를 기반으로 하는 알고리즘이 개발되었습니다.

소스 목록

1. 겨울 V. M. 글로벌 보안 네트워크 기술/ V. Zima, A. Moldovyan, N. Moldovyan. - 2판. - 상트페테르부르크: BHV-Petersburg, 2003. - 362 p.
2. Vorotnitsky Yu.I. 과학 및 교육 분야에서 원치 않는 외부 정보 자원에 대한 접근으로부터 보호 컴퓨터 네트워크/ Yu.I. Vorotnitsky, Xie Jinbao // Mat. XIV 국제. conf. "종합적인 정보 보호." - Mogilev, 2009. - 70-71 페이지.

사이트의 취약점을 검사할 수 있는 최고의 웹 서비스입니다. HP는 모든 취약점의 80%가 잘못된 웹 서버 설정, 오래된 소프트웨어 사용 또는 쉽게 피할 수 있었던 기타 문제로 인해 발생한다고 추정합니다.

검토에 포함된 서비스는 그러한 상황을 식별하는 데 도움이 됩니다. 일반적으로 스캐너는 알려진 취약점의 데이터베이스를 확인합니다. 그 중 일부는 매우 간단하며 확인만 하면 됩니다. 열린 포트, 다른 사람들은 더 신중하게 작업하고 심지어 SQL 주입을 시도합니다.

웹세인트

SAINT는 WebSAINT 및 WebSAINT Pro 웹 서비스를 기반으로 하는 잘 알려진 취약점 스캐너입니다. 승인된 스캐닝 공급업체로서 이 서비스는 PCI DSS 인증 조건에 따라 필요한 조직의 웹사이트에 대한 ASV 스캐닝을 수행합니다. 일정에 따라 작업하고 정기적인 점검을 수행할 수 있으며 스캔 결과를 기반으로 다양한 보고서를 생성합니다. WebSAINT는 사용자 네트워크의 지정된 주소에서 TCP 및 UDP 포트를 검색합니다. "전문" 버전에는 침투 테스트, 웹 애플리케이션 검사 및 사용자 정의 보고서가 추가됩니다.

이뮤니웹

High-Tech Bridge의 ImmuniWeb 서비스는 검색에 약간 다른 접근 방식을 사용합니다. 자동 검색 외에도 수동 침투 테스트도 제공합니다. 절차는 고객이 지정한 시간에 시작되며 최대 12시간이 소요됩니다. 보고서는 고객에게 전송되기 전에 회사 직원이 검토합니다. 이는 웹 애플리케이션의 소스 코드 변경, 방화벽 규칙 변경, 패치 설치 옵션을 포함하여 식별된 각 취약점을 제거하는 최소 세 가지 방법을 지정합니다.

인간의 노동에 대한 비용보다 더 많은 비용을 지불해야 합니다. 자동 확인. ImmuniWeb 침투 테스트를 통한 전체 스캔 비용은 639달러입니다.

BeyondSaaS

BeyondTrust의 BeyondSaaS는 훨씬 더 많은 비용이 듭니다. 고객에게는 $3,500의 구독권이 제공되며 그 이후에는 일년 내내 무제한으로 감사를 수행할 수 있습니다. 일회성 스캔 비용은 $700입니다. 웹 사이트에 SQL 주입, XSS, CSRF 및 운영 체제 취약점이 있는지 검사합니다. 개발자는 오탐 확률이 1%를 넘지 않는다고 말하며 보고서에는 문제 해결 옵션도 표시되어 있습니다.

BeyondTrust는 256개의 IP 주소로 제한되는 무료 Retina 네트워크 커뮤니티를 포함하여 다른 취약점 검색 도구를 제공합니다.

Dell 보안 작업

Dell Secure Works는 아마도 검토된 웹 스캐너 중 가장 발전된 제품일 것입니다. QualysGuard Vulnerability Management 기술을 기반으로 실행되며 웹서버를 점검하고, 네트워크 장치, 기업 네트워크 및 클라우드 호스팅 내 애플리케이션 서버 및 DBMS. 웹 서비스는 PCI, HIPAA, GLBA 및 NERC CIP 요구 사항을 준수합니다.