Web kaynağı güvenliği için tarama. Bir web uygulaması nasıl korunur: temel ipuçları, araçlar, faydalı bağlantılar. Bilimsel yenilik iddiası

Taranan web sitelerinin %70'inden fazlasına bir veya daha fazla güvenlik açığı bulaştığını gösterdi.

Bir web uygulaması sahibi olarak sitenizin çevrimiçi tehditlere karşı korunmasını nasıl sağlarsınız? Yoksa gizli bilgilerin sızmasından mı?

Bulut tabanlı bir güvenlik çözümü kullanıyorsanız düzenli güvenlik açığı taraması muhtemelen güvenlik planınızın bir parçasıdır.

Ancak eğer değilse rutin bir tarama yapıp önlem almanız gerekir. gerekli eylemler Riskleri azaltmak için.

İki tür tarayıcı vardır.

1.Ticari - sürekli güvenlik, raporlama, uyarılar için taramayı otomatikleştirme yeteneği verir, detaylı talimatlar risk azaltma vb. Konularda. Bu sektördeki ünlü isimlerden bazıları şunlardır:

Acunetix
Tespit et
Nitelikler

Açık Kaynak/Ücretsiz - Talep üzerine güvenlik kontrollerini indirebilir ve çalıştırabilirsiniz.

Hepsi ticari güvenlik açıkları gibi çok çeşitli güvenlik açıklarını kapsayamayacak.

Aşağıdaki açık kaynaklı güvenlik açığı tarayıcılarına bir göz atalım.

1. Arachni

Arachni, modern web uygulamaları için Ruby üzerine kurulmuş yüksek performanslı bir güvenlik tarayıcısıdır.

Mac, Windows ve Linux için ikili formatta mevcuttur.

Arachni yalnızca temel bir statik veya CMS web sitesi için bir çözüm değildir, aynı zamanda aşağıdaki platformlarla entegrasyon yeteneğine de sahiptir.

Aktif ve pasif kontrolleri gerçekleştirir.

Windows, Solaris, Linux, BSD, Unix
Nginx, Apache, Tomcat, IIS, İskele
Java, Yakut, Python, ASP, PHP
Django, Raylar, CherryPy, CakePHP, ASP.NET MVC, Symfony

Keşfedilen güvenlik açıklarından bazıları:

NoSQL / Blind / SQL / Code / LDAP / Command / XPath enjeksiyonu
Sahte siteler arası komut dosyası oluşturma isteği
Yolu atla
Yerel/uzak dosya dahil
Cevabı bölme
Siteler arası komut dosyası çalıştırma
Tanımlanmamış DOM yönlendirmeleri
Açıklama kaynak kodu

2.XssPy

Python tabanlı XSS ​​(Siteler Arası Komut Dosyası Çalıştırma) güvenlik açığı tarayıcısı, Microsoft, Stanford, Motorola, Informatica vb. dahil olmak üzere birçok kuruluş tarafından kullanılmaktadır.

Faizan Ahmad'ın XssPy'si akıllı bir araçtır. Sadece ana sayfayı veya sayfayı kontrol etmek yerine, web sitelerindeki bağlantıların tamamını kontrol eder.

XssPy ayrıca alt etki alanını da kontrol eder.

3. w3af

2006'nın sonlarında başlatılan açık kaynaklı bir proje olan w3af, Python'u temel alıyor ve Linux ve Windows işletim sistemi için mevcut. w3af, OWASP'ın ilk 10'u da dahil olmak üzere 200'den fazla güvenlik açığını tespit etme kapasitesine sahiptir.

Raporlama için çeşitli kayıt yöntemlerini destekler.Örnek:

CSV
HTML
Konsol
Metin
XML
E-posta adres

Bir eklenti mimarisi üzerine kurulmuştur ve mevcut tüm eklentilere göz atabilirsiniz.

4. Nikto

Netsparker sponsorluğundaki açık kaynak projesi, web sunucusundaki yanlış yapılandırmaları, eklentileri ve internetteki güvenlik açıklarını bulmayı amaçlıyor.

5. Vallahi

Wfuzz (Web Fuzzer), penetrasyon testi için bir uygulama değerlendirme aracıdır.

Web uygulamasını kullanmak ve doğrulamak için herhangi bir alanın HTTP isteğindeki verileri saplayabilirsiniz.

Wfuzz, taramayı çalıştırmak istediğiniz bilgisayarda Python'u gerektirir.

6. OWASP ZAP'ı

ZAP (Zet Attack Proxy), dünya çapında yüzlerce gönüllü tarafından aktif olarak güncellenen ünlü penetrasyon testi araçlarından biridir.

Raspberry Pi'de bile çalışabilen çapraz platformlu bir Java aracıdır.

ZIP, mesajları engellemek ve doğrulamak için tarayıcı ile web uygulaması arasında bulunur.

Aşağıdaki ZAP özelliklerinden bazılarından bahsetmeye değer.

Fuzzer
Otomatik ve pasif tarayıcı
Birden fazla kodlama dilini destekler
Zorunlu Görünüm

7. Vapiti

Wapiti, belirli bir hedefin web sayfalarını tarar ve savunmasız olup olmadığını görmek için komut dosyalarını ve veri giriş formlarını arar.

Bu bir kaynak kodu güvenlik kontrolü değil, daha ziyade bir kara kutu kontrolüdür.

GET ve POST HTTP yöntemlerini, HTTP ve HTTPS proxy'lerini, çoklu kimlik doğrulamayı vb. destekler.

8.Vega

Vega, XSS, SQLi, RFI ve diğer birçok güvenlik açığını bulmak için Java ile yazılmış çok platformlu bir yazılım olan Subgraph tarafından geliştirilmiştir.

Vega rahatladı GUI ve verilen kimlik bilgileriyle uygulamaya giriş yaparak otomatik tarama gerçekleştirebilmektedir.

Geliştiriciyseniz yeni saldırı modülleri oluşturmak için vega API'yi kullanabilirsiniz.

9.SQL haritası

Adından da anlaşılacağı gibi, bir veritabanı üzerinde kusurları bulmak için penetrasyon testi gerçekleştirebilirsiniz.

Herhangi bir işletim sisteminde Python 2.6 veya 2.7 ile çalışır. İsterseniz sqlmap her zamankinden daha kullanışlı olacaktır.

10. Kavrayıcı

Bu küçük Python tabanlı araç birkaç şeyi oldukça iyi yapıyor.

Grabber'ın bazı özellikleri:

JavaScript Kaynak Kodu Analizörü
Siteler arası komut dosyası çalıştırma, SQL enjeksiyonu, kör SQL enjeksiyonu
PHP Uygulamalarını PHP-SAT Kullanarak Test Etme

11. Golismero

Wfuzz, DNS recon, sqlmap, OpenVas, robot analizörü vb. gibi bazı popüler güvenlik araçlarını yönetmek ve çalıştırmak için bir çerçeve.

Golismero, diğer araçlardaki incelemeleri birleştirebilir ve tek bir sonuç gösterebilir.

12. OWASP Xenotix XSS

Xenotix XSS OWASP, siteler arası komut dosyası çalıştırmayı aramak ve kullanmak için gelişmiş bir çerçevedir.

Hızlı tarama ve iyileştirilmiş sonuçlar için yerleşik üç akıllı ısıtıcıya sahiptir.

13. Meta tarama

Yerli geliştiricilerin web uygulaması güvenlik açıklarını aramaya yönelik tarayıcı

Kategori: .

Yazar: Maksadkhan Yakubov, Bogdan Shklyarevsky.

Bu makalede, web kaynaklarının yönetimiyle ilgili sorunların yanı sıra, güvenli yönetim ve bilgisayar korsanlığı ve siber saldırılara karşı koruma için yöntemler, yöntemler ve öneriler tartışılmaktadır.

Güvenli bir web sitesi tasarlamanın, oluşturmanın veya çalıştırmanın ilk adımı, onu barındıran sunucunun mümkün olduğunca güvenli olmasını sağlamaktır.

Herhangi bir web sunucusunun ana bileşeni işletim sistemidir. Güvenliğini sağlamak nispeten basittir: zamanında kurmanız yeterli En son güncellemeler güvenlik sistemi.

Bilgisayar korsanlarının, güncellemenin güncel olmadığı veya yüklenmediği bir sunucuyu arayarak, bir sunucudan diğerine geçen kötü amaçlı yazılımları kullanarak saldırılarını otomatikleştirme eğiliminde olduklarını da hatırlamakta fayda var. Bu nedenle güncellemelerin hızlı ve doğru bir şekilde yüklendiğinden emin olunması önerilir; Güncelleştirmelerin güncel olmayan sürümlerinin yüklü olduğu herhangi bir sunucu saldırıya maruz kalabilir.

Ayrıca web sunucusunda çalışan tüm yazılımları zamanında güncellemelisiniz. İlgili olmayan herhangi bir yazılım gerekli bileşenler(örneğin, bir DNS sunucusu veya VNC veya Uzak Masaüstü Hizmetleri gibi uzaktan yönetim araçları) devre dışı bırakılmalı veya kaldırılmalıdır. Uzaktan yönetim araçlarına ihtiyaç duyulursa varsayılan şifreleri veya kolayca tahmin edilebilecek şifreleri kullanmamaya dikkat edin. Bu not yalnızca uzaktan yönetim araçları için değil aynı zamanda kullanıcı hesapları, yönlendiriciler ve anahtarlar için de geçerlidir.

Sonraki önemli nokta antivirüs yazılımıdır. Kullanımı, Windows veya Unix platformu olarak kullanılmasına bakılmaksızın herhangi bir web kaynağı için zorunlu bir gerekliliktir. Esnek bir güvenlik duvarı ile birleştirildiğinde antivirüs yazılımı en popüler yazılımlardan biri haline gelir. etkili yollar siber saldırılara karşı koruma. Bir web sunucusu bir saldırının hedefi haline geldiğinde, saldırgan güvenlik açıklarından yararlanmak için hemen bilgisayar korsanlığı araçlarını veya kötü amaçlı yazılımları indirmeye çalışır. Kaliteli bir antivirüs yazılımının yokluğunda, bir güvenlik açığı uzun süre fark edilmeden kalabilir ve istenmeyen sonuçlara yol açabilir.

En çok en iyi seçenek Bilgi kaynaklarını korurken çok düzeyli bir yaklaşım vardır. Ön tarafta güvenlik duvarı ve işletim sistemi bulunur; arkalarındaki antivirüs ortaya çıkan boşlukları doldurmaya hazır.

Parametrelere dayalı işletim sistemi ve web sunucusu işlevselliği açısından, siber saldırılara karşı korunmaya yönelik aşağıdaki genel tekniklerden bahsedilebilir:

• Gereksiz bileşenleri kurmayın. Her bileşen ayrı bir tehdidi beraberinde getiriyor; ne kadar çok olursa, toplam risk o kadar yüksek olur.
• Güvenlik güncellemeleriyle işletim sisteminizi ve uygulamalarınızı güncel tutun.
• Antivirüs kullanın, açın otomatik kurulum güncellemelerini yapın ve bunların doğru şekilde yüklenip yüklenmediğini düzenli olarak kontrol edin.

Bu görevlerden bazıları zor görünebilir ancak saldırı için yalnızca tek bir güvenlik açığının yeterli olduğunu unutmayın. Bu durumda olası riskler arasında veri ve trafik hırsızlığı, sunucunun IP adresinin kara listeye alınması, kuruluşun itibarının zedelenmesi ve web sitesinin istikrarsızlığı yer alır.

Güvenlik açıklarının kritiklik derecesine göre kural olarak güvenlik açığının durumunu belirleyen 5 seviye vardır. şu an bir web kaynağı var (Tablo 1). Saldırganlar genellikle hedeflerine ve niteliklerine göre saldırıya uğrayan kaynakta yer edinmeye ve varlıklarını gizlemeye çalışır.

Bir site hacklemesi her zaman harici işaretlerle (mobil yönlendirme, sayfalardaki spam bağlantıları, diğer kişilerin banner'ları, tahrifat vb.) tanınamaz. Sitenin güvenliği ihlal edilmişse bu harici işaretler mevcut olmayabilir. Kaynak, kesintiler, hatalar olmadan veya antivirüs kara listelerine dahil edilmeden normal şekilde çalışabilir. Ancak bu sitenin güvenli olduğu anlamına gelmez. Sorun, bir güvenlik denetimi yapmadan hacker komut dosyalarının hacklenmesi ve indirilmesi gerçeğini fark etmenin zor olmasıdır ve web kabukları, arka kapılar ve diğer hacker araçlarının uzun süre barındırmada kalabilmesi ve amaçları için kullanılamamasıdır. kullanım amacı. Ancak bir gün, bir saldırgan tarafından ciddi şekilde istismar edilmeye başlandığı ve site sahibi için sorunlara yol açtığı bir an gelir. Spam veya kimlik avı sayfaları yayınlamak için, site barındırmada engellenir (veya işlevselliğin bir kısmı devre dışı bırakılır) ve sayfalarda yönlendirmelerin veya virüslerin görünümü, antivirüslerin yasaklanması ve yaptırımlarla doludur. arama motorları. Böyle bir durumda, siteyi acilen "tedavi etmek" ve ardından olay örgüsünün tekrarlanmaması için bilgisayar korsanlığına karşı koruma kurmak gerekir. Çoğu zaman, standart antivirüsler bazı Truva atı türlerini ve web kabuklarını tanımaz; bunun nedeni, zamansız güncellemeler veya güncel olmayan yazılımlar olabilir. Bir web kaynağını virüslere ve komut dosyalarına karşı kontrol ederken şunları kullanmalısınız: antivirüs programları farklı uzmanlıklara sahip olduğundan, bu durumda bir antivirüs programı tarafından bulunmayan bir Truva Atı, bir başkası tarafından tespit edilebilir. Şekil 1'de bir antivirüs yazılımı tarama raporu örneği gösterilmektedir ve diğer antivirüs programlarının kötü amaçlı yazılımı tespit edemediğini unutmamak önemlidir.

“PHP/Phishing.Agent.B”, “Linux/Roopre.E.Gen”, “PHP/Kryptik.AE” gibi Truva atları saldırganlar tarafından şu amaçlarla kullanılır: uzaktan kumanda bilgisayar. Bu tür programlar genellikle bir web sitesine şu adresten girer: e-posta, ücretsiz yazılım, diğer web siteleri veya sohbet odaları. Çoğu zaman böyle bir program yararlı bir dosya görevi görür. Ancak kullanıcıların kişisel bilgilerini toplayan ve saldırganlara aktaran kötü amaçlı bir Truva atıdır. Ayrıca belirli web sitelerine otomatik olarak bağlanabiliyor ve sisteme diğer kötü amaçlı yazılım türlerini indirebiliyor. Algılama ve kaldırmayı önlemek için "Linux/Roopre.E.Gen" güvenlik özelliklerini devre dışı bırakabilir. Bu Truva atı programı, sistemin içinde saklanmasına olanak tanıyan rootkit teknolojisi kullanılarak geliştirilmiştir.

• "PHP/WebShell.NCL" silme gibi çeşitli işlevleri gerçekleştirebilen bir Truva atı programıdır. sistem dosyaları, Yükleniyor kötü amaçlı yazılım, mevcut bileşenleri veya indirilen kişisel bilgileri ve diğer verileri gizleyin. Bu program genel anti-virüs taramasını atlayabilir ve kullanıcının bilgisi olmadan sisteme girebilir. Bu program uzaktaki kullanıcıların virüslü bir web sitesinin kontrolünü ele geçirmesi için bir arka kapı kurma yeteneğine sahiptir. Bir saldırgan, bu programı kullanarak bir kullanıcıyı gözetleyebilir, dosyaları yönetebilir, ek yazılım yükleyebilir ve tüm sistemi kontrol edebilir.
• "JS/TrojanDownloader.FakejQuery. A" - Ana hedefleri CMS “WordPress” ve “Joomla” kullanılarak geliştirilen siteler olan bir Truva atı programı. Bir saldırgan bir web sitesini hacklediğinde, WordPress veya Joomla eklentilerinin kurulumunu simüle eden bir komut dosyası çalıştırır ve ardından başlık.php dosyasına kötü amaçlı JavaScript kodu enjekte eder.
• "PHP/küçük.NBK" - bilgisayar korsanlarının uzaktan erişim elde etmesine olanak tanıyan kötü amaçlı bir uygulamadır bilgisayar sistemi dosyaları değiştirmelerine, kişisel bilgileri çalmalarına ve daha fazla kötü amaçlı yazılım yüklemelerine olanak tanır. Truva Atları adı verilen bu tür tehditler genellikle bir saldırgan tarafından veya başka bir program tarafından indirilir. Virüslü uygulamaların veya çevrimiçi oyunların yüklenmesinin yanı sıra virüslü siteleri ziyaret ederken de görünebilirler.

Ne yazık ki hacker komut dosyaları harici işaretler veya harici tarayıcılar tarafından algılanamıyor. Bu nedenle ne arama motoru antivirüsleri ne de web yöneticisinin bilgisayarında yüklü olan antivirüs yazılımı site güvenliği sorunlarını bildirmez. Komut dosyaları sitenin sistem dizinlerinde (kökte veya görüntülerde değil) bir yerde bulunursa veya mevcut komut dosyalarına enjekte edilirse, bunlar da yanlışlıkla fark edilmeyecektir.

Şekil 1. Antivirüs yazılımı tarama raporu örneği

Bu nedenle aşağıdaki öneriler web kaynaklarının korunması için gerekli önlemler olabilir:

1. Düzenli destek olmak tüm içerik dosya sistemi, veritabanları ve olay günlükleri (günlük dosyaları).
2. İçerik yönetim sisteminin düzenli olarak CMS'nin (içerik yönetim sistemi) en son kararlı sürümüne güncellenmesi.
3. Karmaşık şifreler kullanmak. Şifre gereksinimleri: Şifre en az sekiz karakter içermeli ve şifre oluşturulurken büyük ve küçük karakterlerin yanı sıra özel karakterler de kullanılmalıdır.
4. XSS saldırısı veya SQL enjeksiyonu gibi saldırıları önlemek için güvenlik eklentileri veya eklentileri kullanmak zorunludur.
5. Eklentilerin (eklentiler, şablonlar veya uzantılar) kullanımı ve kurulumu yalnızca güvenilir kaynaklardan veya resmi geliştirici web sitelerinden yapılmalıdır.
6. Dosya sisteminin haftada en az bir kez antivirüs programlarıyla taranması ve güncel veri tabanı imzalarının kullanılması.
7. Yetkilendirme sırasında ve herhangi bir talep formuna (form) veri girilmesi sırasında web sitesinin kaba kuvvet şifreleriyle ele geçirilmesini önlemek için CAPTCHA mekanizmasının kullanılmasını sağlayın. geri bildirim, arama vb.).
8. Giriş yeteneğini kısıtla yönetim paneli belirli sayıda başarısız denemeden sonra web sitesi kontrolü.
9. Web sitesi güvenlik politikasını, aşağıdaki gibi parametreleri dikkate alarak web sunucusu yapılandırma dosyası aracılığıyla doğru şekilde yapılandırın:

• yetkisiz IP adreslerinden erişimi önlemek amacıyla yönetici tarafından web sitesinin yönetim kontrol paneline erişmek için kullanılan IP adreslerinin sayısını sınırlamak;
• XSS saldırılarını önlemek için herhangi bir etiketin metin formatı dışında herhangi bir yöntemle (örn. p b i u) iletilmesini önleyin.

1. Veritabanı erişimi, FTP erişimi vb. bilgileri içeren dosyaların varsayılan dizinlerden diğerlerine taşınması ve daha sonra bu dosyaların yeniden adlandırılması.

Daha az deneyimli bir bilgisayar korsanı için bile, koruma sağlamazsanız bir Joomla web sitesini hacklemek oldukça kolaydır. Ancak ne yazık ki web yöneticileri, bunun gerekli olmadığını düşünerek sitelerini hacklenmeye karşı korumayı genellikle daha sonraya erteliyor. Sitenize erişimi yeniden sağlamak, onu korumak için önlem almaktan çok daha fazla zaman ve çaba gerektirecektir. Bir web kaynağının güvenliği, yalnızca sunucuların maksimum güvenliğini sağlamakla yükümlü olan geliştirici ve barındırıcının değil, aynı zamanda site yöneticisinin de görevidir.

giriiş

İÇİNDE modern iş Web teknolojileri büyük bir popülerlik kazandı. Çoğu site büyük şirketler etkileşim, kişiselleştirme araçları ve müşterilerle etkileşim araçları (çevrimiçi mağazalar, uzaktan kumanda) içeren bir dizi uygulamadır. banka hizmetleri) ve çoğu zaman şirketin dahili kurumsal uygulamalarıyla entegrasyon anlamına gelir.

Ancak bir web sitesi internette kullanıma sunulduktan sonra siber saldırıların hedefi haline gelir. En basit bir şekilde Bugün bir web sitesine yapılan saldırıların amacı, bileşenlerinin güvenlik açıklarından yararlanmaktır. Ve asıl sorun, modern web sitelerinde güvenlik açıklarının oldukça yaygın hale gelmesidir.

Güvenlik açıkları yakın ve büyüyen bir tehdittir. Bunlar çoğunlukla web uygulama kodundaki güvenlik kusurlarının ve web sitesi bileşenlerinin yanlış yapılandırılmasının sonucudur.

Biraz istatistik verelim. High-Tech Bridge, High-Tech Bridge tarafından hazırlanan 2016 yılının ilk yarısına ait web güvenliği trendlerini yayınlayan 2016 yılının ilk yarısına ilişkin siber tehditler raporundaki verilere göre:

• için web hizmetlerinin veya API'lerin %60'ından fazlası mobil uygulamalar veritabanının tehlikeye atılmasına olanak tanıyan en az bir tehlikeli güvenlik açığı içermeli;
• XSS saldırılarına karşı savunmasız olan sitelerin %35'i aynı zamanda SQL enjeksiyonlarına ve XXE saldırılarına karşı da savunmasızdır;
• Sitelerin %23'ü POODLE güvenlik açığını içeriyor ve yalnızca %0,43'ü - Heartbleed;
• RansomWeb saldırıları sırasında tehlikeli güvenlik açıklarından yararlanma vakaları (örneğin, SQL enjeksiyonuna izin verme) 5 kat arttı;
• Web sunucularının %79,9'u yanlış yapılandırılmış veya güvenli olmayan http başlıklarına sahiptir;
• Günümüzün gerekli güncellemeleri ve düzeltmeleri web sunucularının yalnızca %27,8'inde yüklüdür.

Web kaynaklarını korumak için uzmanlar bilgi Güvenliği farklı bir araç seti kullanın. Örneğin, trafiği şifrelemek için SSL sertifikaları kullanılır ve web sunucularının çevresine, ciddi yapılandırma ve uzun süreli kendi kendine öğrenme gerektiren bir Web Uygulaması Güvenlik Duvarı (WAF) kurulur. Web sitesi güvenliğini sağlamanın eşit derecede etkili bir yolu, güvenlik durumunu periyodik olarak kontrol etmektir (zafiyetlerin araştırılması) ve bu tür kontrolleri gerçekleştirmeye yönelik araçlar, ayrıca bahsedilen web sitesi güvenlik tarayıcılarıdır. konuşacağız bu incelemede.

Web sitemizde zaten pazar liderlerinin ürünlerini inceleyen web uygulaması güvenlik tarayıcılarına yönelik bir inceleme - "" vardı. Bu incelememizde artık bu konulara değinmeyeceğiz, ancak ücretsiz web sitesi güvenlik tarayıcılarının incelemesine odaklanacağız.

Özgür yazılım konusu bugün özellikle önemlidir. Rusya'daki istikrarsız ekonomik durum nedeniyle, pek çok kuruluş (hem ticari hem de kamu sektörü) şu anda BT bütçelerini optimize ediyor ve genellikle sistem güvenliğini analiz etmek için pahalı ticari ürünleri satın almaya yetecek para bulunmuyor. Aynı zamanda, insanların bilmediği güvenlik açıklarını aramak için birçok ücretsiz (ücretsiz, açık kaynak) yardımcı program vardır. Üstelik bazıları aşağılık değil işlevsellikücretli rakiplerine. Bu nedenle bu yazıda en ilginç ücretsiz web sitesi güvenlik tarayıcılarından bahsedeceğiz.

Web sitesi güvenlik tarayıcıları nelerdir?

Web sitesi güvenlik tarayıcıları, sistem veya kullanıcı verilerinin bütünlüğünün ihlaline, bunların çalınmasına veya bir bütün olarak sistem üzerinde kontrol sahibi olmasına yol açan web uygulamalarındaki kusurları (güvenlik açıkları) arayan yazılım (donanım ve yazılım) araçlarıdır.

Web sitesi güvenlik tarayıcılarını kullanarak aşağıdaki kategorilerdeki güvenlik açıklarını tespit edebilirsiniz:

• kodlama aşaması güvenlik açıkları;
• bir web uygulamasının uygulama ve yapılandırma aşamasındaki güvenlik açıkları;
• Web sitesinin işletim aşamasındaki güvenlik açıkları.

Kodlama aşamasındaki güvenlik açıkları, giriş ve çıkış verilerinin (SQL enjeksiyonları, XSS) yanlış işlenmesiyle ilişkili güvenlik açıklarını içerir.

Web sitesi uygulama aşamasındaki güvenlik açıkları, web uygulama ortamının (web sunucusu, uygulama sunucusu, SSL/TLS, çerçeve, üçüncü taraf bileşenleri, DEBUG modunun varlığı vb.) yanlış ayarlarıyla ilişkili güvenlik açıklarını içerir.

Bir web sitesinin operasyonel aşamasındaki güvenlik açıkları, güncel olmayan yazılımların kullanımıyla ilişkili güvenlik açıklarını, basit şifreler arşivlenmiş kopyaların bir web sunucusunda saklanması Kamu erişim, kamuya açık hizmet modüllerinin (phpinfo) kullanılabilirliği vb.

Web sitesi güvenlik tarayıcıları nasıl çalışır?

Genel olarak bir web sitesi güvenlik tarayıcısının çalışma prensibi şu şekildedir:

• İncelenen nesne hakkında bilgi toplanması.
• Güvenlik açığı veritabanlarını kullanarak web sitesi yazılımının güvenlik açıkları açısından denetlenmesi.
• Sistem zayıflıklarının belirlenmesi.
• Ortadan kaldırılması için önerilerin oluşturulması.

Web sitesi güvenlik tarayıcılarının kategorileri

Web sitesi güvenlik tarayıcıları amaçlarına bağlı olarak aşağıdaki kategorilere (türlere) ayrılabilir:

• Ağ tarayıcıları - bu tip tarayıcılar mevcut ağ hizmetlerini ortaya çıkarır, sürümlerini yükler, işletim sistemini belirler vb.
• Web komut dosyalarındaki güvenlik açıklarını aramaya yönelik tarayıcılar- bu tür tarayıcı, SQL inj, XSS, LFI/RFI vb. gibi güvenlik açıklarını veya hataları (silinen geçici dosyalar, dizin indeksleme vb.) arar.
• Buluculardan Yararlanma- bu tür tarayıcı, açıklardan yararlananların otomatik olarak aranması için tasarlanmıştır yazılım ve senaryolar.
• Enjeksiyon otomasyon araçları- özellikle enjeksiyonların aranması ve kullanılmasıyla ilgilenen yardımcı programlar.
• Hata ayıklayıcılar- bir web uygulamasında hataları düzeltmeye ve kodu optimize etmeye yönelik araçlar.

Aynı anda birkaç tarayıcı kategorisinin yeteneklerini içeren evrensel yardımcı programlar da vardır.

Aşağıda ücretsiz web sitesi güvenlik tarayıcılarına kısa bir genel bakış bulunmaktadır. Çok sayıda ücretsiz yardımcı program olduğundan, incelemeye yalnızca web teknolojilerinin güvenliğini analiz etmeye yönelik en popüler ücretsiz araçlar dahil edilmiştir. İncelemeye belirli bir yardımcı program dahil edilirken web teknolojisi güvenliği konusunda uzmanlaşmış kaynaklar analiz edildi:

Ücretsiz Web Sitesi Güvenlik Tarayıcılarının Kısa Bir İncelemesi

Ağ tarayıcıları

N haritası

Tarayıcı türü: ağ tarayıcısı.

Nmap (Ağ Eşleştiricisi) ücretsiz ve açık kaynaklı bir yardımcı programdır. Herhangi bir sayıda nesne içeren ağları taramak, taranan ağdaki nesnelerin durumunu, bağlantı noktalarını ve bunlara karşılık gelen hizmetleri belirlemek için tasarlanmıştır. Bunu yapmak için Nmap, UDP, TCP connect, TCP SYN (yarı açık), FTP proxy (ftp atılımı), Reverse-ident, ICMP (ping), FIN, ACK, Xmas ağacı, SYN gibi birçok farklı tarama yöntemini kullanır. ve NULL tarama.

Nmap ayrıca çok çeşitli ek özellikleri de destekler: TCP/IP yığın parmak izlerini kullanarak uzak bir ana bilgisayarın işletim sistemini belirleme, "görünmez" tarama, gecikmenin ve paket yeniden iletiminin dinamik hesaplanması, paralel tarama, paralel ping yoklaması kullanarak etkin olmayan ana bilgisayarları tanımlama , sahte ana bilgisayarlar kullanarak tarama, paket filtrelerinin varlığını tespit etme, doğrudan (bir port eşleyici kullanmadan) RPC taraması, IP parçalanmasını kullanarak tarama ve ayrıca taranan ağların IP adreslerinin ve port numaralarının keyfi olarak belirtilmesi.

Nmap, Linux Journal, Info World, LinuxQuestions.Org ve Codetalker Digest gibi dergi ve topluluklardan Yılın Güvenlik Ürünü statüsünü aldı.

Platform: Yardımcı program çapraz platformdur.

Daha fazla ayrıntı Nmap tarayıcı danışılabilir.

IP Araçları

Tarayıcı türü: ağ tarayıcısı.

IP Tools, filtreleme kurallarını, filtreleme adaptörünü, paket kod çözmeyi, protokol açıklamasını ve çok daha fazlasını destekleyen bir protokol analizörüdür. Detaylı bilgi Her paket bir stil ağacında bulunur; sağ tıklama menüsü seçilen IP adresini taramanıza olanak tanır.

Paket algılayıcıya ek olarak, IP Tools eksiksiz bir paket sunar. ağ araçları istatistik bağdaştırıcısı, IP trafiği izleme ve çok daha fazlasını içerir.

IP-Tools tarayıcısı hakkında daha fazla bilgi edinebilirsiniz.

Skipfish

Programcı Michal Zalewski'nin platformlar arası web güvenlik açığı tarayıcısı Skipfish, bir web uygulamasının özyinelemeli bir analizini ve sözlük tabanlı kontrolünü gerçekleştiriyor ve ardından tespit edilen güvenlik açıklarına ilişkin yorumlarla açıklamalı bir site haritası oluşturuyor.

Araç Google tarafından dahili olarak geliştirilmektedir.

Tarayıcı, web uygulamasının ayrıntılı bir analizini gerçekleştirir. Aynı uygulamanın daha sonra test edilmesi için bir sözlük oluşturmak da mümkündür. Skipfish'in ayrıntılı raporu, tespit edilen güvenlik açıkları, güvenlik açığını içeren kaynağın URL'si ve gönderilen istek hakkında bilgiler içerir. Raporda elde edilen veriler şiddet düzeyine ve güvenlik açığı türüne göre sıralanıyor. Rapor html formatında oluşturulur.

Skipfish web güvenlik açığı tarayıcısının çok büyük miktarda trafik oluşturduğunu ve taramanın çok uzun sürdüğünü belirtmekte fayda var.

Platformlar: MacOS, Linux, Windows.

Skipfish tarayıcı hakkında daha fazla bilgi edinebilirsiniz.

Vapiti

Tarayıcı türü: web komut dosyalarındaki güvenlik açıklarını aramak için tarayıcı.

Wapiti, web uygulamalarını denetlemek için kullanılan bir konsol yardımcı programıdır. “Kara kutu” prensibiyle çalışır.

Wapiti şu şekilde çalışır: ilk olarak WASS tarayıcısı site yapısını analiz eder, mevcut komut dosyalarını arar ve parametreleri analiz eder. Wapiti daha sonra fuzzer'ı açar ve tüm savunmasız komut dosyaları bulunana kadar taramaya devam eder.

Wapiti WASS tarayıcısı aşağıdaki güvenlik açığı türleriyle çalışır:

• Dosya açıklaması (Yerel ve uzaktan dahil etme/gerektirme, fopen, dosya okuma).
• Veritabanı Enjeksiyonu (PHP/JSP/ASP SQL Enjeksiyonları ve XPath Enjeksiyonları).
• XSS (Siteler Arası Komut Dosyası Çalıştırma) enjeksiyonu (yansıtılmış ve kalıcı).
• Komut Yürütme tespiti (eval(), system(), passtru()…).
• CRLF Enjeksiyonu (HTTP Yanıt Bölme, oturum sabitleme...).
• XXE (XmleXternal Varlık) enjeksiyonu.
• Tehlikeli olabilecek dosyaların kullanılması.
• Atlanabilecek zayıf .htaccess yapılandırmaları.
• Hassas bilgiler veren yedekleme dosyalarının varlığı (kaynak kodu açıklaması).

Wapiti, Kali Linux dağıtımının yardımcı programlarına dahildir. Kaynakları SourceForge'dan indirebilir ve Linux çekirdeğini temel alan herhangi bir dağıtımda kullanabilirsiniz. Wapiti, GET ve POST HTTP istek yöntemlerini destekler.

Platformlar: Windows, Unix, MacOS.

Wapiti tarayıcı hakkında daha fazla bilgi edinebilirsiniz.

Nessos

Nessus tarayıcı aileye ait güçlü ve güvenilir bir araçtır ağ tarayıcıları işletim sistemleri, güvenlik duvarları, filtreleme yönlendiricileri ve diğer ağ bileşenleri tarafından sunulan ağ hizmetlerindeki güvenlik açıklarını aramanıza olanak tanır. Güvenlik açıklarını aramak için şu şekilde kullanılırlar: standart araçlar Ağın yapılandırması ve işleyişi hakkında bilgi test etmek ve toplamak ve özel araçlar ağa bağlı sistemlere sızmak için bir saldırganın eylemlerini taklit eder.

Nessus tarayıcı hakkında daha fazla bilgi edinebilirsiniz.

bsqlbf-v2

Tarayıcı tipi: enjeksiyon otomasyon aracı.

bsqlbf-v2 Perl'de yazılmış bir komut dosyasıdır. Kör SQL enjeksiyonları için kaba kuvvet. Tarayıcı hem URL'deki tamsayı değerleriyle hem de dize değerleriyle çalışır.

Platformlar: MS-SQL, MySQL, PostgreSQL, Oracle.

Bsqlbf-v2 tarayıcı hakkında daha fazla bilgi edinebilirsiniz.

Hata ayıklayıcılar

Geğirme Süiti

Tarayıcı türü: hata ayıklayıcı.

Burp Suite, Java ile yazılmış, nispeten bağımsız, platformlar arası uygulamalardan oluşan bir koleksiyondur.

Kompleksin çekirdeği, yerel bir proxy sunucusunun işlevlerini yerine getiren Burp Proxy modülüdür; setin geri kalan bileşenleri Örümcek, Davetsiz Misafir, Tekrarlayıcı, Sıralayıcı, Kod Çözücü ve Karşılaştırıcıdır. Tüm bileşenler tek bir bütün halinde birbirine bağlanmıştır, böylece veriler uygulamanın herhangi bir kısmına gönderilebilir; örneğin, web uygulamasında çeşitli kontroller gerçekleştirmek için Proxy'den Davetsiz Misafir'e, daha kapsamlı manuel analiz için Davetsiz Misafir'den Tekrarlayıcı'ya. HTTP başlıkları.

Platformlar: platformlar arası yazılım.

Burp Suite tarayıcısı hakkında daha fazla bilgi edinebilirsiniz.

Kemancı

Tarayıcı türü: hata ayıklayıcı.

Fiddler, tüm HTTP(S) trafiğini günlüğe kaydeden bir hata ayıklama proxy'sidir. Araç, bu trafiği incelemenize, bir kesme noktası belirlemenize ve gelen veya giden verilerle "oynamanıza" olanak tanır.

Fiddler'ın fonksiyonel özellikleri:

• Tüm istekleri kontrol edebilme yeteneği, kurabiye, İnternet tarayıcıları tarafından iletilen parametreler.
• Sunucu yanıtlarını anında değiştirme işlevi.
• Başlıkları ve istekleri yönetme yeteneği.
• Kanal genişliğini değiştirme işlevi.

Platformlar: platformlar arası yazılım.

Fiddler tarayıcı hakkında daha fazla bilgi edinebilirsiniz.

N-Stalker Web Uygulaması Güvenlik Tarayıcısı X Ücretsiz Sürüm

Tarayıcı türü: web komut dosyalarındaki güvenlik açıklarını aramak için tarayıcı, yararlanma arama aracı.

Web hizmetleri için etkili bir araç, N-Stalker'ın N-Stealth Güvenlik Tarayıcısıdır. Şirket, N-Stealth'in daha tam özellikli bir versiyonunu satıyor, ancak bu ücretsiz Deneme sürümü Basit değerlendirme için oldukça uygundur. Ücretli üründe 30 binden fazla web sunucusu güvenlik testi bulunuyor ancak aynı zamanda ücretsiz sürüm Microsoft IIS ve Apache gibi yaygın olarak kullanılan web sunucularındaki güvenlik açıkları da dahil olmak üzere 16 binden fazla spesifik açığı tespit eder. Örneğin, N-Stealth, savunmasız Ortak Ağ Geçidi Arayüzü (CGI) ve Köprü Metni Ön İşlemcisi (PHP) komut dosyalarını arar ve sızmak için saldırıları kullanır. SQL Server, tipik siteler arası senaryolar ve popüler web sunucularındaki diğer boşluklar.

N-Stealth, hem HTTP hem de HTTP Secure'u (HTTPS - SSL kullanarak) destekler, güvenlik açıklarını Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) sözlüğüne ve Bugtraq veritabanına göre eşleştirir ve uygun raporlar üretir. N-Stealth, web sunucularındaki en yaygın güvenlik açıklarını bulmak için kullanılır ve en olası saldırı vektörlerinin belirlenmesine yardımcı olur.

Elbette bir web sitesinin veya uygulamaların güvenliğinin daha güvenilir bir şekilde değerlendirilmesi için ücretli bir sürümün satın alınması tavsiye edilir.

N-Stealth tarayıcı hakkında daha fazla bilgi edinebilirsiniz.

sonuçlar

Güvenlik açıklarını belirlemek için web sitelerini test etmek iyi bir önleyici tedbirdir. Şu anda birçok ticari ve ücretsiz olarak temin edilebilen web sitesi güvenlik tarayıcısı bulunmaktadır. Aynı zamanda, tarayıcılar hem evrensel (kapsamlı çözümler) hem de uzmanlaşmış olabilir ve yalnızca belirli güvenlik açıklarını tanımlamak için tasarlanmıştır.

Bazı ücretsiz tarayıcılar oldukça güçlü araçlardır ve büyük derinlik ve iyi kalite web sitesi kontrolleri. Ancak web sitelerinin güvenliğini analiz etmek için ücretsiz yardımcı programları kullanmadan önce kalitelerinden emin olmanız gerekir. Günümüzde bunun için zaten pek çok yöntem mevcut (örneğin, Web Uygulaması Güvenlik Tarayıcısı Değerlendirme Kriterleri, OWASP Web Uygulaması Tarayıcı Belirtimi Projesi).

Yalnızca kapsamlı çözümler, belirli bir altyapının güvenliğinin en eksiksiz resmini sağlayabilir. Bazı durumlarda birden fazla güvenlik tarayıcısı kullanmak daha iyidir.

1. Amaç ve hedefler

Çalışmanın amacı harici erişim güvenliğinin artırılmasına yönelik algoritmalar geliştirmektir. bilgi kaynakları kurumsal eğitim ağlarından, karakteristik güvenlik tehditlerinin yanı sıra kullanıcı popülasyonunun özellikleri, güvenlik politikaları, mimari çözümler ve kaynak desteği de dikkate alınarak.

Hedefe dayanarak, çalışmada aşağıdaki görevler çözüldü:

1. Eğitim ağlarında bilgi güvenliğine yönelik ana tehditlerin analizini gerçekleştirin.

2. Eğitim ağlarında istenmeyen bilgi kaynaklarına erişimi sınırlamak için bir yöntem geliştirin.

3. Sitelerdeki potansiyel kötü amaçlı kodların daha ayrıntılı analizi için web sayfalarının taranmasına, doğrudan bağlantıların aranmasına ve dosyaların indirilmesine olanak tanıyan algoritmalar geliştirin.

4. Web sitelerindeki istenmeyen bilgi kaynaklarını tespit etmek için bir algoritma geliştirin.

2. Konunun alaka düzeyi

Modern akıllı eğitim sistemleri Web tabanlıdır ve kullanıcılarına çeşitli türler yerel ve uzaktan eğitim kaynakları. Sorun güvenli kullanımİnternette yayınlanan bilgi kaynakları (IR) giderek daha alakalı hale geliyor. Bu sorunu çözmek için kullanılan yöntemlerden biri istenmeyen bilgi kaynaklarına erişimi sınırlamaktır.

Eğitim kurumlarına internet erişimi sağlayan işletmecilerin, istenmeyen bilgilere erişimin sınırlandırılmasını sağlamaları gerekmektedir. Kısıtlama, belirlenen prosedüre uygun olarak düzenli olarak güncellenen listeler kullanılarak operatörler tarafından filtreleme yapılarak gerçekleştirilir. Ancak eğitim ağlarının amacı ve kullanıcı kitlesi göz önüne alındığında, istenmeyen kaynakları dinamik olarak tanıyacak ve kullanıcıları onlardan koruyacak daha esnek, kendi kendine öğrenen bir sistemin kullanılması tavsiye edilir.

Genel olarak istenmeyen kaynaklara erişim şu tehditleri taşır: Siyasi aşırılık, terörizm, uyuşturucu bağımlılığı, pornografi ve diğer materyallerin dağıtımı gibi yasa dışı ve asosyal eylemlerin propagandası; öğrencilerin bilgisayar ağlarını eğitim amaçlı kullanmalarını engellemek; Sınırlı bant genişliğine sahip harici kanalların aşırı yüklenmesi nedeniyle İnternet'e erişimde zorluk. Yukarıda listelenen kaynaklar genellikle kötü amaçlı yazılımları ve bunlarla ilişkili tehditleri enjekte etmek için kullanılır.

Ağ kaynaklarına erişimi kısıtlamaya yönelik mevcut sistemler, yalnızca bireysel paketleri belirtilen kısıtlamalara uygunluk açısından değil, aynı zamanda ağ üzerinden iletilen içerik içeriklerini de kontrol etme yeteneğine sahiptir. Şu anda içerik filtreleme sistemleri, web içeriğini filtrelemek için aşağıdaki yöntemleri kullanmaktadır: DNS adına veya belirli IP adresine göre, web içeriğindeki anahtar kelimelere göre ve dosya türüne göre. Belirli bir Web sitesine veya site grubuna erişimi engellemek için uygunsuz içerik barındıran birden çok URL belirtmeniz gerekir. URL filtreleme, ağ güvenliği üzerinde kapsamlı kontrol sağlar. Ancak olası tüm uygunsuz URL'leri önceden tahmin etmek imkansızdır. Ayrıca şüpheli içeriğe sahip bazı web siteleri URL'lerle değil, yalnızca IP adresleriyle çalışır.

Sorunu çözmenin bir yolu, HTTP protokolü aracılığıyla alınan içeriği filtrelemektir. Mevcut içerik filtreleme sistemlerinin dezavantajı, statik olarak oluşturulan erişim kontrol listelerinin kullanılmasıdır. Bunları doldurmak için, ticari içerik filtreleme sistemlerinin geliştiricileri, içeriği kategorilere ayıran ve veritabanındaki kayıtları sıralayan çalışanları işe alır.

Eğitim ağlarına yönelik mevcut içerik filtreleme sistemlerinin eksikliklerini ortadan kaldırmak için, sayfalarının içeriğine dayalı olarak bir web kaynağının kategorisinin dinamik olarak belirlendiği web trafiği filtreleme sistemlerinin geliştirilmesi uygundur.

3. Algılanan bilimsel yenilik

Gecikmeli sınıflandırma yoluyla bilgi kaynaklarına erişim listelerinin dinamik olarak oluşturulmasına dayanan, akıllı öğrenme sistemi kullanıcılarının İnternet sitelerindeki istenmeyen kaynaklara erişimini kısıtlamaya yönelik bir algoritma.

4. Planlanan pratik sonuçlar

Geliştirilen algoritmalar akıllı bilgisayar öğrenme sistemlerinde istenmeyen kaynaklara erişimin kısıtlanmasına yönelik sistemlerde kullanılabilir.

5. Araştırma ve geliştirmenin gözden geçirilmesi

5.1 Konuyla ilgili küresel düzeydeki araştırma ve geliştirmeye genel bakış

H.H. gibi ünlü bilim adamlarının çalışmaları bilgi güvenliğini sağlama sorunlarına adanmıştır. Bezrukov, P.D. Zegzda, A.M. Ivashko, A.I. Kostogryzov, V.I. Kurbatov K. Lendver, D. McLean, A.A. Moldovyan, H.A. Moldovyan, A.A. Malyuk, E.A. Derbin, R. Sandhu, J.M. Carroll ve diğerleri. Aynı zamanda, kurumsal ve açık ağlardaki metin kaynaklarının çok büyük hacmine rağmen, bilgi güvenliği için yöntem ve sistemler geliştirme alanında, güvenlik tehditlerini analiz etmeyi amaçlayan araştırmalar ve Web'e erişim ile bilgisayar eğitiminde istenmeyen kaynaklara erişimin sınırlandırılmasının incelenmesi. .

Ukrayna'da bu alandaki önde gelen araştırmacı V.V. Domarev'dir. . Tez araştırması karmaşık bilgi güvenliği sistemleri oluşturma sorunlarına ayrılmıştır. Kitapların yazarı: “Güvenlik Bilişim Teknolojileri. Koruma sistemleri oluşturma metodolojisi”, “Bilgi teknolojilerinin güvenliği. Sistematik yaklaşım” vb. 40'tan fazla bilimsel makale ve yayının yazarı.

5.2 Konuyla ilgili ulusal düzeydeki araştırma ve geliştirmelerin gözden geçirilmesi

Donetsk Ulusal Teknik Üniversitesi'nde bilgi güvenliği sistemi oluşturmaya yönelik model ve yöntemlerin geliştirilmesi Şirket ağı Khimka S.S. çeşitli kriterleri dikkate alarak girişime dahil oldu. . Eğitim sistemlerindeki bilgilerin korunması Yu.S. .

6. Eğitim sistemlerinde web kaynaklarına erişimin kısıtlanması sorunları

Bilgi teknolojisinin gelişimi şu anda kaynakları tanımlamanın iki yönünden bahsetmemize olanak sağlıyor: İnternet içeriği ve erişim altyapısı. Erişim altyapısı genellikle bir dizi donanım ve yazılım IP paket formatında veri iletimi sağlayan ve içerik, sunum biçimi (örneğin, belirli bir kodlamadaki karakter dizisi olarak) ve bilgi içeriğinin (anlambilim) bir kombinasyonu olarak tanımlanır. Böyle bir açıklamanın karakteristik özellikleri arasında aşağıdakiler vurgulanmalıdır:

1. içeriğin erişim altyapısından bağımsızlığı;

2. İçerikte sürekli niteliksel ve niceliksel değişiklikler;

3. yeni etkileşimli bilgi kaynaklarının ortaya çıkışı (“canlı dergiler”, sosyal medya Kullanıcıların çevrimiçi içeriğin oluşturulmasına doğrudan katıldığı ücretsiz ansiklopediler vb.

Bilgi kaynaklarına erişim kontrolü sorunlarını çözerken, altyapı ve ağ içeriğinin özelliklerine göre çözülen güvenlik politikalarının geliştirilmesi konuları büyük önem taşımaktadır. Bilgi güvenliği modelinin açıklama düzeyi ne kadar yüksek olursa, erişim kontrolü ağ kaynaklarının semantiğine o kadar fazla odaklanır. Açıkçası, MAC ve IP adresleri (bağlantı ve ağ katmanı Aynı adres farklı hizmetleri temsil edebileceğinden, ağ cihazı arayüzlerinin etkileşimi) herhangi bir veri kategorisine bağlanamaz. Bağlantı noktası numaraları (taşıma katmanı), kural olarak, hizmet türü hakkında bir fikir verir, ancak bu hizmet tarafından sağlanan bilgileri niteliksel olarak karakterize etmez. Örneğin, belirli bir Web sitesini yalnızca aktarım katmanı bilgilerine dayalı olarak semantik kategorilerden (medya, iş, eğlence vb.) birinde sınıflandırmak mümkün değildir. Güvenlik bilgi Güvenliği uygulama düzeyinde içerik filtreleme kavramına yaklaşmaktadır; ağ kaynaklarının anlamını dikkate alarak erişim kontrolü. Sonuç olarak, erişim kontrol sistemi ne kadar içerik odaklı olursa, farklı kullanıcı kategorilerine ve bilgi kaynaklarına ilişkin yaklaşım da o kadar farklılaştırılarak onun yardımıyla uygulanabilir. Özellikle anlamsal yönelimli bir kontrol sistemi, eğitim kurumlarındaki öğrencilerin öğrenme süreciyle bağdaşmayan kaynaklara erişimini etkili bir şekilde sınırlayabilir.

Bir web kaynağı elde etme süreci için olası seçenekler Şekil 1'de sunulmaktadır.

Şekil 1 - HTTP protokolü aracılığıyla bir web kaynağı edinme süreci

İnternet kaynaklarının kullanımı üzerinde esnek kontrol sağlamak için, operatör şirketteki bir eğitim kurumu tarafından kaynakların kullanımına uygun bir politikanın getirilmesi gerekmektedir. Bu politika manuel veya otomatik olarak uygulanabilir. “Manuel” uygulama, şirketin eğitim kurumu kullanıcılarının faaliyetlerini gerçek zamanlı olarak izleyen veya yönlendiricilerden, proxy sunuculardan veya güvenlik duvarlarından gelen günlükleri kullanan özel bir personele sahip olduğu anlamına gelir. Bu tür bir izleme sorunludur çünkü çok fazla emek gerektirir. İnternet kaynaklarının kullanımı üzerinde esnek kontrol sağlamak için şirket, yöneticiye kuruluşun kaynak kullanım politikasını uygulayacak bir araç sağlamalıdır. İçerik filtreleme bu amaca hizmet eder. Özü, bilgi alışverişi nesnelerinin bileşenlere ayrılması, bu bileşenlerin içeriklerinin analizi, parametrelerinin İnternet kaynaklarının kullanımına ilişkin kabul edilen politikaya uygunluğunun belirlenmesi ve bu analizin sonuçlarına göre belirli eylemlerin gerçekleştirilmesinde yatmaktadır. Web trafiğinin filtrelenmesi durumunda, bilgi alışverişinin nesneleri web istekleri, web sayfalarının içerikleri ve kullanıcının isteği üzerine aktarılan dosyalar olarak anlaşılmaktadır.

Eğitim kuruluşunun kullanıcıları İnternet'e yalnızca bir proxy sunucusu aracılığıyla erişim sağlar. Belirli bir kaynağa erişmeye çalıştığınızda, proxy sunucusu kaynağın özel bir veritabanına dahil olup olmadığını kontrol eder. Böyle bir kaynağın yasaklanmış kaynaklar veritabanına yerleştirilmesi durumunda, ona erişim engellenir ve kullanıcıya ekranda ilgili bir mesaj verilir.

İstenen kaynak yasaklanmış kaynaklar veritabanında değilse, ona erişim izni verilir, ancak bu kaynağın ziyaretinin kaydı özel bir hizmet günlüğüne kaydedilir. Günde bir kez (veya diğer aralıklarla), proxy sunucusu en çok ziyaret edilen kaynakların bir listesini (URL listesi biçiminde) oluşturur ve bunu uzmanlara gönderir. Uzmanlar (sistem yöneticileri), uygun metodolojiyi kullanarak ortaya çıkan kaynak listesini kontrol eder ve bunların doğasını belirler. Kaynağın hedef dışı nitelikte olması durumunda uzman onu sınıflandırır (porno kaynağı, oyun kaynağı) ve veritabanında değişiklik yapar. Gerekli tüm değişiklikler yapıldıktan sonra veritabanının güncellenmiş versiyonu sisteme bağlı tüm proxy sunuculara otomatik olarak gönderilir. Proxy sunucularındaki hedef dışı kaynaklara yönelik filtreleme şeması Şekil 1'de gösterilmektedir. 2.

Şekil 2 - Proxy sunucularda hedef dışı kaynakları filtrelemenin temel ilkeleri

Proxy sunucularda hedef dışı kaynakların filtrelenmesinde karşılaşılan sorunlar aşağıdaki gibidir. Merkezi filtreleme ile merkezi ünitenin yüksek performanslı ekipmanı gereklidir, büyük verim Merkezi düğümdeki iletişim kanalları, merkezi düğümün arızalanması, tüm filtreleme sisteminin tamamen arızalanmasına yol açar.

Doğrudan kuruluşun iş istasyonlarında veya sunucularında "sahada" merkezi olmayan filtreleme sayesinde dağıtım ve destek maliyeti yüksektir.

Talep gönderme aşamasında adrese göre filtreleme yapıldığında istenmeyen içeriklerin varlığına ve “maskeli” web sitelerinin filtrelenmesinde zorluklara karşı önleyici bir tepki verilmemektedir.

İçeriğe göre filtreleme yaparken, her kaynağı alırken büyük miktarda bilginin işlenmesi ve Java, Flash gibi araçlar kullanılarak hazırlanan kaynakların işlenmesinin karmaşıklığı gerekir.

7. Akıllı eğitim sistemleri kullanıcıları için web kaynaklarının bilgi güvenliği

Erişim kontrol araçlarını İnternet kaynaklarına entegre etmenin hiyerarşik ilkesine dayanan ortak bir çözüm kullanarak bilgi kaynaklarına erişimi kontrol etme olasılığını düşünelim (Şekil 3). İstenmeyen IR'ye IOS'tan erişimin kısıtlanması, güvenlik duvarı, proxy sunucuların kullanımı, izinsiz girişleri tespit etmek için anormal etkinliklerin analizi, bant genişliği sınırlaması, içerik analizine dayalı filtreleme, erişim listelerine dayalı filtreleme gibi teknolojilerin bir kombinasyonu yoluyla gerçekleştirilebilir. Bu durumda en önemli görevlerden biri güncel erişim kısıtlama listelerinin oluşturulması ve kullanılmasıdır.

İstenmeyen kaynakların filtrelenmesi mevcut mevzuata uygun olarak gerçekleştirilir. düzenleyici belgeler belirlenen prosedüre uygun olarak yayınlanan listelere dayanmaktadır. Diğer bilgi kaynaklarına erişimin kısıtlanması, eğitim ağı operatörü tarafından geliştirilen özel kriterlere göre gerçekleştirilir.

Potansiyel olarak istenmeyen bir kaynağa bile, belirtilen sıklığın altındaki kullanıcı erişimi kabul edilebilir. Yalnızca isteğe bağlı kaynaklar, yani kullanıcı isteklerinin sayısı belirli bir eşiği aşmış olanlar analize ve sınıflandırmaya tabidir. Tarama ve analiz, istek sayısının eşik değerini aşmasından bir süre sonra (harici kanallarda minimum yük döneminde) gerçekleştirilir.

Taranan yalnızca tek bir web sayfası değil, bunlarla ilişkili tüm kaynaklardır (sayfadaki bağlantılar analiz edilerek). Sonuç olarak bu yaklaşım, kaynak taraması sırasında kötü amaçlı yazılımlara yönelik bağlantıların varlığını belirlemenize olanak tanır.

Şekil 3 - İnternet kaynaklarına erişim kontrol araçlarının hiyerarşisi

(animasyon, 24 kare, 25 KB)

Kaynakların otomatik sınıflandırması, sistemin sahibi olan müşterinin kurumsal sunucusunda gerçekleştirilir. Sınıflandırma süresi, gecikmiş kaynak sınıflandırması kavramına dayanan, kullanılan yönteme göre belirlenir. Bu, potansiyel olarak istenmeyen bir kaynağa bile belirli bir frekansın altındaki kullanıcı erişiminin kabul edilebilir olduğunu varsayar. Bu, maliyetli, anında sınıflandırmayı önler. Yalnızca isteğe bağlı kaynaklar, yani kullanıcı isteklerinin sıklığının belirli bir eşiği aştığı kaynaklar analize ve otomatik sınıflandırmaya tabidir. Tarama ve analiz, istek sayısının eşik değerini aşmasından bir süre sonra (harici kanallarda minimum yük döneminde) gerçekleştirilir. Yöntem dinamik olarak üç liste oluşturmak için bir şema uygular: "siyah" (ChSP), "beyaz" (BSP) ve "gri" (GSP). Kara listede yer alan kaynaklara erişim yasaktır. Beyaz liste, doğrulanmış izin verilen kaynakları içerir. “Gri” liste, kullanıcılar tarafından en az bir kez talep edilen ancak sınıflandırılmamış kaynakları içerir. "Kara" listenin ilk oluşumu ve daha fazla "manuel" ayarlanması, yetkili hükümet organı tarafından sağlanan yasaklı kaynakların adresleri hakkındaki resmi bilgilere dayanarak gerçekleştirilir. “Beyaz” listenin ilk içeriği kullanılması önerilen kaynaklardan oluşur. Kara listede olmayan bir kaynağa yönelik herhangi bir istek kabul edilir. Bu kaynak “beyaz” listede değilse, bu kaynağa yapılan istek sayısının kaydedildiği “gri” listeye yerleştirilir. İsteklerin sıklığı belirli bir eşik değerini aşarsa, kaynağın "kara" veya "beyaz" listeye dahil edilmesine göre otomatik bir sınıflandırma gerçekleştirilir.

8. Akıllı eğitim sistemleri kullanıcıları için web kaynaklarının bilgi güvenliğini belirlemeye yönelik algoritmalar

Erişim kısıtlama algoritması. İnternet sitelerindeki istenmeyen kaynaklara erişime ilişkin kısıtlamalar, IOS'ta istenmeyen IR'ye erişim riski kavramının aşağıdaki tanımına dayanmaktadır. K-th IR sınıfı olarak sınıflandırılan istenmeyen i-th IR'ye erişim riski, belirli bir IOS tipinin istenmeyen IR'sinin veya kullanıcının kimliğinin neden olduğu hasarın uzman değerlendirmesiyle orantılı bir değer olacaktır. belirli bir süre için bu kaynağa erişim sayısı:

Bir tehdidin gerçekleşme olasılığı ile neden olunan zararın maliyetinin ürünü olan klasik risk tanımına benzer şekilde, bu tanım, riski, istenmeyen bir IR'ye erişimden kaynaklanabilecek olası zarar miktarının matematiksel beklentisi olarak yorumlamaktadır. Bu durumda beklenen hasarın miktarı, IR'nin kullanıcıların kişilikleri üzerindeki etkisinin derecesine göre belirlenir ve bu da, bu etkiyi yaşayan kullanıcı sayısıyla doğru orantılıdır.

Herhangi bir web kaynağını, ona erişimin istenip istenmediği açısından analiz etme sürecinde, sayfalarının her birinin aşağıdaki ana bileşenlerini dikkate almak gerekir: içerik, yani metin ve diğer (grafik, bu sayfada yayınlanan fotoğraf, video) bilgileri; aynı web sitesinin diğer sayfalarında yayınlanan içerik (yüklenen sayfaların içeriğinden dahili bağlantılar alabilirsiniz. düzenli ifadeler); diğer sitelere bağlantılar (her ikisi de açısından) mümkün indirme virüsler ve Truva atları) ve istenmeyen içeriğin varlığı açısından. Listeleri kullanarak istenmeyen kaynaklara erişimi kısıtlamaya yönelik bir algoritma, Şekil 1'de gösterilmektedir. 4.

Şekil 4 - İstenmeyen kaynaklara erişimi kısıtlama algoritması

İstenmeyen Web sayfalarını tanımlamak için algoritma. İçeriği - web sayfası metinlerini - sınıflandırmak için aşağıdaki sorunları çözmek gerekir: sınıflandırma kategorilerini belirlemek; kaynak metinlerden otomatik olarak analiz edilebilecek bilgilerin çıkarılması; sınıflandırılmış metin koleksiyonlarının oluşturulması; Elde edilen veri setleriyle çalışan bir sınıflandırıcının oluşturulması ve eğitimi.

Sınıflandırılmış metinlerden oluşan eğitim seti, genel olarak en sık kullanılan kelime biçimleri ve her sınıflandırma kategorisi için ayrı ayrı terimler tanımlanarak analiz edilir. Her kaynak metin, bileşenleri metinde belirli bir terimin oluşumunun özellikleri olan bir vektör olarak temsil edilir. Vektör seyrekliğini önlemek ve boyutlarının küçültülmesi için morfolojik analiz yöntemleri kullanılarak kelime biçimlerinin ilk hallerine indirilmesi tavsiye edilir. Bundan sonra vektörün normalleştirilmesi gerekir, bu da daha doğru bir sınıflandırma sonucu elde etmemizi sağlar. Bir web sayfası için iki vektör oluşturulabilir: kullanıcıya görüntülenen bilgi için ve arama motorlarına sağlanan metin için.

Web sayfası sınıflandırıcılarının oluşturulmasına yönelik çeşitli yaklaşımlar vardır. En yaygın kullanılanlar şunlardır: Bayesian sınıflandırıcı; nöral ağlar; doğrusal sınıflandırıcılar; destek vektör makinesi (SVM). Yukarıdaki yöntemlerin tümü, bir eğitim koleksiyonu üzerinde eğitim ve bir test koleksiyonu üzerinde test yapılmasını gerektirir. İkili sınıflandırma için, vektör uzayındaki özelliklerin birbirinden bağımsız olduğunu varsayan saf bir Bayes çözümü seçebilirsiniz. Tüm kaynakların arzu edilen ve istenmeyen olarak sınıflandırılması gerektiğini varsayacağız. Daha sonra tüm web sayfası metin örnekleri koleksiyonu iki sınıfa ayrılır: C=(C1, C2) ve her sınıfın öncelikli olasılığı P(Ci), i=1,2'dir. Yeterince geniş bir numune koleksiyonuyla, P(Ci)'nin Ci sınıfı numune sayısının toplam numune sayısına oranına eşit olduğunu varsayabiliriz. Sınıflandırılacak bazı D örnekleri için Bayes teoremine göre P(D/Ci) koşullu olasılığından P(Ci /D) değeri elde edilebilir:

P(D)'nin sabitliğini dikkate alarak şunu elde ederiz:

Vektör uzayındaki terimlerin birbirinden bağımsız olduğunu varsayarak aşağıdaki ilişkiyi elde edebiliriz:

Özellikleri benzer olan metinleri daha doğru bir şekilde sınıflandırmak için (örneğin, pornografi ile erotik sahneleri anlatan kurguyu birbirinden ayırmak için), ağırlıklandırma katsayıları eklenmelidir:

Eğer kn=k ise; kn, k'den küçükse, kn.=1/|k|. Burada M örnek veri tabanındaki tüm terimlerin frekansı, L ise tüm örneklerin sayısıdır.

9. Algoritmaların iyileştirilmesine yönelik talimatlar

Gelecekte, bir web sayfasının koduna kötü amaçlı kod girişini tespit etmek ve Bayes sınıflandırıcısını destek vektör makinesiyle karşılaştırmak amacıyla bağlantıları analiz etmek için bir algoritma geliştirilmesi planlanmaktadır.

10. Sonuçlar

Eğitim sistemlerinde web kaynaklarına erişimin kısıtlanması sorununun analizi yapılmıştır. Proxy sunucularda hedef dışı kaynakların filtrelenmesinin temel prensipleri, mevcut erişim kısıtlama listelerinin oluşumu ve kullanımına göre seçilmiştir. Ziyaret sıklığını ve kullanıcı nüfusunu dikkate alarak, içeriklerinin analizine dayalı olarak IR'ye erişim listelerinin dinamik olarak oluşturulmasını ve güncellenmesini mümkün kılan listeler kullanarak istenmeyen kaynaklara erişimi kısıtlamak için bir algoritma geliştirilmiştir. İstenmeyen içeriği tanımlamak için saf Bayes sınıflandırıcısını temel alan bir algoritma geliştirilmiştir.

Kaynakların listesi

1. Kış V. M. Küresel güvenlik ağ teknolojileri/ V. Zima, A. Moldovyan, N. Moldovyan. - 2. baskı. - St. Petersburg: BHV-Petersburg, 2003. - 362 s.
2. Vorotnitsky Yu.I.Bilimsel ve eğitimsel alanlarda istenmeyen dış bilgi kaynaklarına erişimden korunma bilgisayar ağları/ Yu.I. Vorotnitsky, Xie Jinbao // Mat. XIV Uluslararası konf. "Kapsamlı bilgi koruması." - Mogilev, 2009. - s. 70-71.

Siteleri güvenlik açıklarına karşı inceleyebileceğiniz en iyi web hizmetleri. HP, tüm güvenlik açıklarının %80'inin yanlış web sunucusu ayarlarından, güncel olmayan yazılım kullanımından veya kolaylıkla önlenebilecek diğer sorunlardan kaynaklandığını tahmin etmektedir.

İncelemedeki hizmetler bu tür durumların belirlenmesine yardımcı olur. Tarayıcılar genellikle bilinen güvenlik açıklarından oluşan bir veritabanını kontrol eder. Bazıları oldukça basit ve yalnızca kontrol edin açık bağlantı noktaları bazıları ise daha dikkatli çalışır ve hatta SQL enjeksiyonu gerçekleştirmeye çalışır.

WebSAINT

SAINT, WebSAINT ve WebSAINT Pro web hizmetlerinin temelini oluşturan, iyi bilinen bir güvenlik açığı tarayıcısıdır. Onaylı Tarama Satıcısı olarak hizmet, PCI DSS sertifikasyonu koşulları kapsamında gerekli olan kuruluşların web sitelerinin ASV taramasını gerçekleştirir. Bir programa göre çalışıp periyodik kontroller gerçekleştirebilir ve tarama sonuçlarına göre çeşitli raporlar üretebilir. WebSAINT, kullanıcının ağındaki belirtilen adreslerdeki TCP ve UDP bağlantı noktalarını tarar. “Profesyonel” sürüm, sızma testleri ve web uygulaması taraması ve özel raporlar ekler.

BağışıklıkWeb

High-Tech Bridge'in ImmuniWeb hizmeti taramaya biraz farklı bir yaklaşım kullanıyor: otomatik taramaya ek olarak manuel sızma testleri de sunuyor. İşlem müşterinin belirttiği saatte başlar ve 12 saate kadar sürer. Rapor müşteriye gönderilmeden önce şirket çalışanları tarafından incelenir. Web uygulamasının kaynak kodunu değiştirme, güvenlik duvarı kurallarını değiştirme ve yama yükleme seçenekleri de dahil olmak üzere, tanımlanan her bir güvenlik açığını ortadan kaldırmanın en az üç yolunu belirtir.

İnsan emeğine, olduğundan daha fazla para ödemeniz gerekir. otomatik kontrol. ImmuniWeb pentestleriyle tam taramanın maliyeti 639 dolardır.

SaaS'ın Ötesinde

BeyondTrust'un BeyondSaaS'ı daha da pahalıya mal olacak. Müşterilere 3.500 dolarlık bir abonelik teklif ediliyor ve bunun ardından yıl boyunca sınırsız sayıda denetim gerçekleştirebiliyorlar. Tek seferlik taramanın maliyeti 700$'dır. Web siteleri SQL enjeksiyonları, XSS, CSRF ve işletim sistemi açıklarına karşı kontrol edilir. Geliştiriciler, hatalı pozitif sonuç olasılığının %1'den fazla olmadığını belirtiyor ve raporlarda sorunların düzeltilmesine yönelik seçenekleri de belirtiyorlar.

BeyondTrust, 256 IP adresiyle sınırlı olan ücretsiz Retina Ağ Topluluğu da dahil olmak üzere başka güvenlik açığı tarama araçları da sunar.

Dell Güvenli Çalışmalar

Dell Secure Works, incelenen web tarayıcıları arasında belki de en gelişmiş olanıdır. QualysGuard Güvenlik Açığı Yönetimi teknolojisi üzerinde çalışır ve web sunucularını kontrol eder, ağ cihazları, hem kurumsal ağ içinde hem de bulut barındırmada uygulama sunucuları ve DBMS. Web hizmeti PCI, HIPAA, GLBA ve NERC CIP gereksinimleriyle uyumludur.