Сканування на безпеку веб-ресурсу. Як захистити веб-додаток: основні поради, інструменти, корисні посилання. Передбачувана наукова новизна

показано, що більш ніж 70% відсканованих веб-сайтів були заражені однією або декількома вразливістю.

Як власник веб-програми, як ви гарантуєте, що ваш сайт захищений від онлайн-загроз? Або від витоку конфіденційної інформації?

Якщо ви використовуєте хмарне рішення для безпеки, то, швидше за все, регулярне сканування вразливостей є частиною плану захисту.

Однак, якщо ні, вам потрібно виконати рутинне сканування та зробити необхідні діїдля пом'якшення ризиків.

Існує два типи сканера.

1.Комерційний - дає вам можливість автоматизувати сканування для забезпечення безперервної безпеки, звітності, оповіщень, докладних інструкційз пом'якшення ризиків і т. д. Деякі з відомих імен у цій галузі:

Acunetix
Detectify
Qualys

Open Source / Безкоштовні - ви можете завантажувати та виконувати перевірку безпеки на вимогу.

Не всі з них можуть охопити широкий спектр уразливостей, таких як комерційний.

Давайте подивимося на наступні сканери вразливостей з відкритим кодом.

1. Arachni

Arachni є високопродуктивним сканером безпеки, побудованим на основі Ruby для сучасних веб-додатків.

Він доступний у двійковому форматі для Mac, Windows та Linux.

Це не тільки рішення для базового статичного або веб-сайту з CMS, але Arachni здатний виконувати інтеграцію з наступними платформами.

Він виконує активні та пасивні перевірки.

Windows, Solaris, Linux, BSD, Unix
Nginx, Apache, Tomcat, IIS, Jetty
Java, Ruby, Python, ASP, PHP
Django, Rails, CherryPy, CakePHP, ASP.NET MVC, Symfony

Деякі з виявлених уразливостей:

NoSQL / Blind / SQL / Code / LDAP / Command / XPath injection
Підробка запитів міжсайтовий скриптинг
Обхід колії
Увімкнення локального/віддаленого файлу
Поділ відповіді
Міжсайтовий скриптинг
Невизначені перенаправлення DOM
Розкриття вихідного коду

2. XssPy

Сканер уразливостей XSS (міжсайтовий скриптинг) на основі python використовується багатьма організаціями, включаючи Microsoft, Stanford, Motorola, Informatica і т.д.

XssPy by Faizan Ahmad – розумний інструмент. Замість того, щоб просто перевіряти домашню сторінку або сторінку, вона перевіряє посилання на веб-сайтах.

XssPy також перевіряє субдомен.

3. w3af

w3af, проект з відкритим вихідним кодом, розпочатий ще наприкінці 2006 року, заснований на Python і доступний для Linux та Windows. w3af здатний виявляти понад 200 уразливостей, включаючи OWASP top 10.

Він підтримує різні методи журналу для звітності.Приклад:

CSV
HTML
Консоль
Текст
XML
Ел. адреса

Він побудований на архітектурі плагіну, і ви можете перевірити всі доступні плагіни.

4. Nikto

Проект з відкритим вихідним кодом, що спонсорується Netsparker, спрямований на пошук неправильної конфігурації веб-сервера, плагінів та вразливостей в Інтернеті.

5. Wfuzz

Wfuzz (Web Fuzzer) – це інструмент оцінки програм для тестування на проникнення.

Ви можете заглушити дані в запиті HTTP для будь-якого поля, щоб використовувати веб-додаток і перевіряти його.

Wfuzz вимагає Python на комп'ютері, на якому ви хочете запустити сканування.

6. OWASP ZAP

ZAP (Zet Attack Proxy) — один із відомих інструментів тестування на проникнення, що активно оновлюється сотнями добровольців у всьому світі.

Це крос-платформний Java інструмент, який може працювати навіть на Raspberry Pi.

ZIP знаходиться між браузером та веб-додатком для перехоплення та перевірки повідомлень.

Деякі з наведених нижче функцій ZAP, які слід згадати.

Fuzzer
Автоматичний та пасивний сканер
Підтримка кількох мов сценаріїв
Примусовий перегляд

7. Wapiti

Wapiti переглядає веб-сторінки заданої мети і шукає сценарії та форму для введення даних, щоб дізнатися, чи воно є вразливим.

Це не перевірка безпеки вихідного коду, а скоріше перевірка блек боксів.

Він підтримує методи GET та POST HTTP, проксі HTTP та HTTPS, кілька аутентифікацій тощо.

8. Vega

Vega розроблений Subgraph, багатоплатформне програмне забезпечення, написане на Java, для пошуку XSS, SQLi, RFI та багатьох інших уразливостей.

Vega отримав зручний графічний інтерфейсі здатний виконувати автоматичне сканування, увійшовши до програми із заданими обліковими даними.

Якщо ви розробник, ви можете використовувати API Vega для створення нових модулів атаки.

9. SQLmap

Як ви можете здогадатися на ім'я, за допомогою ви можете виконати тестування проникнення в базу даних, щоб знайти недоліки.

Він працює з Python 2.6 чи 2.7 на будь-якій ОС. Якщо ви хочете, то sqlmap буде корисним як ніколи.

10. Grabber

Це невеликий інструмент, заснований на Python, робить кілька речей досить добре.

Деякі функції Grabber:

Аналізатор вихідного коду JavaScript
Міжсайтовий скриптинг, SQL-ін'єкція, сліпе використання SQL
Тестування PHP-програм з використанням PHP-SAT

11. Golismero

Фреймворк для керування та запуску деяких популярних інструментів безпеки, таких як Wfuzz, DNS recon, sqlmap, OpenVas, аналізатор роботів тощо).

Golismero може консолідувати відгуки від інших інструментів та показати один результат.

12. OWASP Xenotix XSS

Xenotix XSS OWASP – це розширена інфраструктура для пошуку та використання міжсайтових скриптів.

Він має вбудовані три інтелектуальних ф'юзери для швидкого сканування та покращення результатів.

13. Metascan

Сканер з пошуку вразливостей веб-додатків від вітчизняних розробників

Рубрика: .

Автор: Максадхан Якубов, Богдан Шкляревський.

У цій статті розглядаються проблеми адміністрування веб-ресурсів, а також методи, способи та рекомендації щодо безпечного адміністрування та захисту від зломів та кібератак.

Перший етап проектування, створення або використання безпечного веб-сайту - забезпечення максимального рівня безпеки сервера, на якому він розміщується.

Основним компонентом будь-якого веб-сервера є операційна система. Забезпечити її безпеку порівняно просто: достатньо вчасно встановлювати останні оновленнясистеми безпеки.

Слід пам'ятати, що хакери також схильні автоматизувати свої атаки, використовуючи шкідливе програмне забезпечення, яке перебирає один сервер за іншим у пошуках сервера, де оновлення застаріло або не було встановлено. У зв'язку з цим рекомендується стежити, щоб оновлення встановлювалися своєчасно і правильно; будь-який сервер, на якому встановлені застарілі версії оновлень, може зазнати атаки.

Також потрібно вчасно оновлювати все програмне забезпечення, яке працює на веб-сервері. Будь-яке ПЗ, що не стосується необхідним компонентам(наприклад, DNS-сервер або засоби віддаленого адміністрування на зразок VNC або служб віддалених робочих столів), слід вимкнути або видалити. Якщо засоби віддаленого адміністрування все ж таки необхідні, слідкуйте за тим, щоб не використовувалися паролі за промовчанням або паролі, які можна легко вгадати. Це зауваження стосується не тільки засобів віддаленого адміністрування, але й облікових записів користувачів, маршрутизаторів і комутаторів.

Наступний важливий момент- Це антивірусне програмне забезпечення. Його використання є обов'язковою вимогою для будь-якого веб-ресурсу незалежно від того, використовується як платформа Windows або Unix. У поєднанні з гнучким міжмережевим екраном антивірусне програмне забезпечення стає одним із самих ефективних способівзахисту від кібератак. Коли веб-сервер стає метою атаки, зловмисник негайно намагається завантажити інструменти для злому або шкідливе програмне забезпечення, щоб встигнути використовувати вразливість систем безпеки. За відсутності якісного антивірусного забезпечення вразливість системи безпеки може тривалий час залишатися непоміченою та призвести до небажаних наслідків.

Самим оптимальним варіантомдля захисту інформаційних ресурсів є багаторівневий підхід. На передньому фланзі - міжмережевий екран та операційна система; антивірус, що стоїть за ними, готовий заповнити будь-які проломи.

Виходячи з параметрів операційної системита функціоналу веб-сервера, можна навести такі загальні прийоми захисту від кібератак:

• Не встановлюйте непотрібні компоненти. Будь-який компонент несе із собою окрему загрозу; чим їх більше, тим вищий сумарний ризик.
• Вчасно встановлюйте оновлення системи безпеки для операційної системи та програм.
• Використовуйте антивірус, увімкніть автоматичне встановленняоновлень та регулярно перевіряйте правильність їх встановлення.

Деякі з цих завдань можуть здаватися скрутними, але слід пам'ятати про те, що для атаки достатньо єдиного пролому в системі безпеки. Потенційні ризики при цьому - крадіжка даних та трафіку, занесення IP-адреси сервера до «чорних» списків, шкода репутації організації та нестабільність веб-сайту.

За ступенем критичності вразливості, як правило, виділяють 5 рівнів, які визначають, у якому стані Наразізнаходиться веб-ресурс (таблиця 1). Зазвичай зловмисники, виходячи зі своїх цілей та кваліфікації, намагаються закріпитися на зламаному ресурсі та замаскувати свою присутність.

Злом сайту не завжди можна розпізнати за зовнішніми ознаками (мобільний редирект, спам-посилання на сторінках, чужі банери, дефейс та ін.). Під час компрометації сайту цих зовнішніх ознак може і не бути. Ресурс може працювати у штатному режимі, без перебоїв, помилок та потрапляння до «чорних» списків антивірусів. Але це аж ніяк не означає, що сайт у безпеці. Проблема в тому, що помітити факт злому і завантаження скриптів хакерів без проведення аудиту безпеки - складно, а самі веб-шелли, бекдори та інші інструменти хакера можуть досить довго перебувати на хостингу і не використовуватися за призначенням. Але одного разу настає момент, і вони починають суворо експлуатуватись зловмисником, внаслідок чого у власника сайту виникають проблеми. За спам, розміщення фішингових сторінок сайт блокують на хостингу (або відключають частину функціоналу), а поява редиректів або вірусів на сторінках загрожує баном з боку антивірусів та санкціями з боку пошукових систем. У такому разі необхідно терміново «лікувати» сайт, а потім ставити захист від злому, щоб сюжет не повторювався. Найчастіше штатні антивіруси не впізнають деякі види троянів та веб-шеллів, причиною цього може бути невчасне оновлення або застаріле програмне забезпечення. Під час перевірки веб-ресурсу на віруси та скрипти слід користуватися антивірусними програмамирізної спеціалізації, у разі не знайдений однієї антивірусної програмою троян може бути виявлений інший. На малюнку 1 наведено приклад звіту перевірки антивірусного програмного забезпечення, тут важливо наголосити на тому, що інші антивірусні програми не змогли виявити шкідливе програмне забезпечення.

Такі троянські програми, як PHP/Phishing.Agent.B, Linux/Roopre.E.Gen, PHP/Kryptik.AE, використовуються зловмисниками для віддаленого керуваннякомп'ютер. Такі програми часто проникають на веб-сайт через електронну пошту, безкоштовне програмне забезпечення, інші веб-сайти або чат кімнату. Більшу частину часу така програма виступає як корисний файл. Проте це шкідлива троянська програма, яка збирає особисту інформацію користувачів і передає її зловмисникам. Крім того, вона може автоматично підключатися до певних веб-сайтів та завантажувати інші види шкідливого програмного забезпечення в систему. Щоб уникнути виявлення та видалення, "Linux/Roopre.E.Gen" може відключати засоби безпеки. Ця троянська програма розроблена із застосуванням технології руткіт, яка дозволяє їй ховатися всередині системи.

• "PHP/WebShell.NCL" є троянською програмою, яка може виконувати різні функції, наприклад, видалення системних файлів, завантаження шкідливих програмприховувати існуючі компоненти або завантажену особисту інформацію та інші дані. Ця програма може обійти загальну антивірусну перевірку та проникнути у систему без відома користувача. Ця програмаздатна встановити бекдор для віддалених користувачів, щоб узяти контроль над зараженим веб-сайтом. За допомогою цієї програми зловмисник може шпигувати за користувачем, керувати файлами, встановлювати додаткове програмне забезпечення та контролювати всю систему.
• «JS/TrojanDownloader.FakejQuery. A» - троянська програма, основною метою атак якої є сайти, розроблені з використанням CMS WordPress і Joomla. Коли зловмисник зламує веб-сайт, він запускає скрипт, який імітує інсталяцію плагінів WordPress або Joomla, а потім впроваджує шкідливий JavaScript-код у файл header.php.
• "PHP/small.NBK" - є шкідливим додатком, який дозволяє хакерам отримати віддалений доступ до комп'ютерної системи, дозволяючи їм змінювати файли, красти особисту інформацію та встановлювати більш шкідливе програмне забезпечення. Ці види загроз, які називаються Троянський кінь, зазвичай завантажуються зловмисником або завантаження здійснюється іншою програмою. Вони можуть також з'являтися через встановлення заражених програм або онлайн-ігор, а також при переході на заражені сайти.

На жаль, хакерські скрипти за зовнішніми ознаками чи зовнішніми сканерами не виявляються. Тому ні антивіруси пошукових систем, ні антивірусне програмне забезпечення, встановлене у веб-майстра на комп'ютері, не повідомляє про проблеми безпеки сайту. Якщо скрипти розміщені десь у системних каталогах сайту (не в кореневому та не в images) або інжектовані в існуючі скрипти, випадково помітити їх також не вдасться.

Рисунок 1. Приклад звіту перевірки антивірусного програмного забезпечення

Тому необхідними заходами для захисту веб-ресурсів можуть бути такі рекомендації:

1. Регулярне резервне копіюваннявсього вмісту файлової системи, баз даних та журналів подій (лог-файлів).
2. Регулярне оновлення системи керування контентом до останньої стабільної версії CMS (системи керування контентом).
3. Використання складних паролів. Вимоги до пароля: пароль повинен містити не менше восьми символів, при створенні пароля повинні бути використані символи верхнього та нижнього регістру, а також спеціальні символи.
4. Обов'язкове використання додатків або плагінів безпеки для запобігання атакам типу XSS-атака або SQL-ін'єкції.
5. Використання та встановлення додатків (плагінів, шаблонів або розширень) повинні здійснюватися лише з перевірених джерел або офіційних веб-сайтів розробників.
6. Сканування файлової системи не менше 1 разу на тиждень антивірусними програмами та з використанням актуальних сигнатур баз даних.
7. Передбачити використання механізму «CAPTCHA» для захисту веб-сайту від злому методом перебору паролів під час авторизації та введення даних у будь-яку форму запитів (форма зворотнього зв'язку, Пошук та ін).
8. Обмежити можливість входу в адміністративну панелькерування веб-сайту після певної кількості невдалих спроб.
9. Коректно налаштувати політику безпеки веб-сайту через конфігураційний файл веб-сервера з урахуванням таких параметрів, як:

• обмежити кількість IP-адрес, що використовуються адміністратором для доступу до адміністративної панелі керування веб-сайтом з метою запобігання доступу до неї з сторонніх IP-адрес;
• заборонити передачу будь-яких тегів у будь-який спосіб, крім оформлення тексту (наприклад, p b i u) для запобігання XSS-атак.

1. Переміщення файлів, що містять інформацію про доступ до бази даних, FTP-доступу і т.д., з директорій за промовчанням на інші з наступним перейменуванням даних файлів.

Навіть не зовсім досвідченому хакеру зламати сайт на Joomla досить просто, якщо ви не передбачили захисту. Але, на жаль, часто веб-майстри відкладають захист від злому сайту на потім, вважаючи це не першою потребою. На відновлення доступу до свого сайту піде значно більше часу та зусиль, ніж на вжиття заходів щодо його захисту. Безпека веб-ресурсу – завдання не тільки розробника та хостера, який зобов'язаний забезпечити максимальну захищеність серверів, а й адміністратора сайту.

Вступ

У сучасному бізнесівеб-технології набули величезної популярності. Більшість сайтів великих компанійявляють собою набір додатків, що мають інтерактивність, засоби персоналізації, засоби взаємодії з клієнтами (інтернет-магазини, дистанційне банківське обслуговування), а нерідко - та засобами інтеграції з внутрішніми корпоративними додатками компанії.

Однак як тільки веб-сайт стає доступним в інтернеті, він перетворюється на мету для кібератак. Найбільш простим способоматак на сайт сьогодні є використання вразливостей його компонентів. І основна проблема полягає в тому, що вразливості стали звичайним явищем для сучасних сайтів.

Вразливості є неминучою і зростаючою загрозою. Вони, здебільшого, є результатами дефектів безпеки в коді веб-застосунку та неправильної конфігурації компонентів веб-сайту.

Наведемо трохи статистики. За даними зі звіту про кіберзагрози за перше півріччя 2016 року High-Tech Bridge запроваджено web security trends of the first half of 2016, підготовленого компанією High-Tech Bridge:

• понад 60% веб-сервісів або API для мобільних додатківмістять принаймні одну небезпечну вразливість, що дозволяє компрометувати базу даних;
• 35% вразливих до XSS-атак сайтів також вразливі до SQL-ін'єкцій та XXE-атак;
• 23% сайтів містять вразливість POODLE, і лише 0,43% – Heartbleed;
• у 5 разів почастішали випадки експлуатації небезпечних уразливостей (наприклад, що дозволяють здійснити SQL-ін'єкцію) під час атак RansomWeb;
• 79,9% веб-серверів мають неправильно налаштовані або небезпечні заголовки http;
• актуальні на сьогоднішній день необхідні оновлення та виправлення встановлені лише на 27,8% веб-серверів.

Для захисту веб-ресурсів фахівці з інформаційної безпекивикористовують різноманітний набір коштів. Наприклад, для шифрування трафіку застосовують SSL-сертифікати, а на периметрі веб-серверів встановлюють Web Application Firewall (WAF), які потребують серйозного налаштування та тривалого самонавчання. Не менш ефективним засобом безпеки веб-сайтів є і періодична перевірка стану захищеності (пошук вразливостей), а інструментами для проведення таких перевірок служать сканери захищеності веб-сайтів, про які і піде мовау цьому огляді.

На нашому сайті вже був огляд, присвячений сканерам захищеності веб-застосунків - « », в якому розглядалися продукти лідерів ринку. У цьому огляді ми вже не торкатимемося цих тем, а сфокусуємо увагу на огляді безкоштовних сканерів захищеності веб-сайтів.

Тема безкоштовного програмного забезпечення сьогодні є особливо актуальною. Через нестабільну економічну ситуацію в Росії зараз у багатьох організаціях (як і в комерційних, так і в держсекторі) йде оптимізація ІТ-бюджету, і коштів на купівлю дорогих комерційних продуктів для аналізу захищеності систем не вистачає. При цьому існує безліч безкоштовних (free, open source) утиліт для пошуку вразливостей, про які люди просто не знають. Причому деякі з них не поступаються функціональним можливостямсвоїм платним конкурентам. Тому в цій статті розповімо про найцікавіші безкоштовні сканери захищеності веб-сайтів.

Що таке сканери захищеності веб-сайтів

Сканери захищеності веб-сайтів - це програмні (програмно-апаратні) засоби, які здійснюють пошук дефектів веб-додатків (уразливостей), які призводять до порушення цілісності системних або даних користувача, їх крадіжки або отримання контролю над системою в цілому.

За допомогою сканерів захищеності веб-сайтів можна виявити вразливості таких категорій:

• уразливості етапу кодування;
• уразливості етапу впровадження та конфігурування веб-додатку;
• вразливість етапу експлуатації веб-сайту.

До уразливостей етапу кодування відносяться вразливості, пов'язані з некоректною обробкою вхідних та вихідних даних (SQL-ін'єкції, XSS).

До вразливостей етапу впровадження веб-сайту належать уразливості, пов'язані з некоректними налаштуваннями оточення веб-додатку (веб-сервера, сервера додатків, SSL/TLS, фреймворк, сторонні компоненти, наявність DEBUG-режиму тощо).

До вразливостей етапу експлуатації веб-сайту належать уразливості, пов'язані з використанням застарілого ПЗ, простих паролів, зберігання архівних копій на веб-сервері в загальному доступі, наявністю у загальному доступі службових модулів (phpinfo) тощо.

Принцип роботи сканерів захищеності веб-сайтів

Загалом принцип роботи сканера захищеності веб-сайтів полягає в наступному:

• Збір інформації про об'єкт, що досліджується.
• Аудит програмного забезпечення веб-сайту щодо уразливостей за базами уразливостей.
• Виявлення слабких місць системи.
• Формування рекомендацій щодо їх усунення.

Категорії сканерів захищеності веб-сайтів

Сканери захищеності веб-сайтів, залежно від їхнього призначення, можна розділити на такі категорії (типи):

• Мережеві сканери - даний типсканерів розкриває доступні мережеві послуги, встановлює їх версії, визначає ОС тощо.
• Сканери пошуку вразливостей у веб-скриптах- даний тип сканерів здійснює пошук уразливостей, таких як SQL inj, XSS, LFI/RFI тощо, або помилок (не видалені часові файли, індексація директорій тощо).
• Засоби пошуку експлойтів- даний тип сканерів призначений для автоматизованого пошуку експлойтів у програмне забезпеченнята скриптах.
• Засоби автоматизації ін'єкцій- утиліти, які безпосередньо займаються пошуком та експлуатацією ін'єкцій.
• Дебаггери- засоби для виправлення помилок та оптимізації коду у веб-додатку.

Існують також і універсальні утиліти, які включають можливості відразу декількох категорій сканерів.

Далі буде наведено короткий огляд безкоштовних сканерів захищеності веб-сайтів. Оскільки безкоштовних утиліт дуже багато, до огляду включені лише найпопулярніші безкоштовні інструменти для аналізу захищеності веб-технологій. При включенні до огляду тієї чи іншої утиліти аналізувалися спеціалізовані ресурси з тематики безпеки веб-технологій:

Короткий огляд безкоштовних сканерів захищеності веб-сайтів

Мережеві сканери

Nmap

Тип сканера: мережевий сканер.

Nmap (Network Mapper) – це безкоштовна утиліта з відкритим вихідним кодом. Вона призначена для сканування мереж з будь-якою кількістю об'єктів, визначення стану об'єктів мережі, що сканується, а також портів і відповідних їм служб. Для цього Nmap використовує багато різних методів сканування, таких як UDP, TCP connect, TCP SYN (напіввідкрите), FTP proxy (прорив через ftp), Reverse-ident, ICMP (ping), FIN, ACK, Xmas tree, SYN та NULL- сканування.

Nmap також підтримує великий набір додаткових можливостей, а саме: визначення операційної системи віддаленого хоста з використанням відбитків стека TCP/IP, «невидиме» сканування, динамічне обчислення часу затримки та повтор передачі пакетів, паралельне сканування, визначення неактивних хостів методом паралельного ping-опитування сканування з використанням хибних хостів, визначення наявності пакетних фільтрів, пряме (без використання portmapper) RPC-сканування, сканування з використанням IP-фрагментації, а також довільна вказівка ​​IP-адрес та номерів портів сканованих мереж.

Nmap отримав статус Security Product of the Year від таких журналів та спільнот, як Linux Journal, Info World, LinuxQuestions.Org та Codetalker Digest.

Платформа: утиліта крос-платформна.

Детальніше з сканером Nmapможна ознайомитись.

IP Tools

Тип сканера: мережевий сканер.

IP Tools - це аналізатор протоколів, що підтримує правила фільтрації, адаптер відбору, декодування пакетів, опис протоколу та багато іншого. Детальна інформаціяпро кожен пакет міститься в дереві стилю, меню по клацанню правою кнопкою миші дозволяє сканувати вибрану IP-адресу.

На додаток до пакетного сніфера, IP Tools пропонує повний набір мережевих інструментів, включаючи адаптер статистики, моніторинг IP-трафіку та багато іншого.

Докладніше зі сканером IP-Tools можна ознайомитись.

Skipfish

Крос-платформний сканер веб-уразливостей Skipfish від програміста Michal Zalewski виконує рекурсивний аналіз веб-додатку та його перевірку на базі словника, після чого складає карту сайту, забезпечену коментарями про виявлені вразливості.

Розробка інструменту ведеться усередині компанії Google.

Сканер здійснює детальний аналіз веб-додатку. Також існує можливість створення словника для подальшого тестування цієї програми. Докладний звіт Skipfish містить інформацію про виявлені вразливості, URL ресурсу, що містить вразливість, а також надісланий запит. У звіті отримані дані відсортовані за рівнем небезпеки та за типом уразливості. Звіт формується у html-форматі.

Сканер веб-уразливостей Skipfish генерує дуже великий обсяг трафіку, а сканування відбувається дуже довго.

Платформи: MacOS, Linux, Windows.

Докладніше зі сканером Skipfish можна ознайомитись.

Wapiti

Тип сканера: сканер пошуку вразливостей у веб-скриптах.

Wapiti – це консольна утиліта для аудиту веб-додатків. Працює за принципом «чорної скриньки» (blackbox).

Wapiti функціонує так: спочатку WASS-сканер аналізує структуру сайту, шукає доступні сценарії, аналізує параметри. Після Wapiti включає фазер і продовжує сканування доти, доки всі вразливі скрипти не будуть знайдені.

WASS-сканер Wapiti працює з такими типами вразливостей:

• File disclosure (Local and remote include/require, fopen, readfile).
• Database Injection (PHP/JSP/ASP SQL Injections and XPath Injections).
• XSS (Cross Site Scripting) injection (reflected and permanent).
• Command Execution detection (eval(), system(), passtru()…).
• CRLF Injection (HTTP Response Splitting, session fixation…).
• XXE (XmleXternal Entity) injection.
• Use of know potentially dangerous files.
• Weak .htaccess configurations that can be bypassed.
• Presence of backup files giving sensitive information (source code disclosure).

Wapiti входить до складу утиліт дистрибутива Kali Linux. Можна завантажити вихідні джерела з SourceForge і використовувати на будь-якому дистрибутиві, заснованому на ядрі Linux. Wapiti підтримує GET та POST HTTP методи запитів.

Платформи: Windows, Unix, MacOS.

Докладніше зі сканером Wapiti можна ознайомитись.

Nessus

Сканер Nessus є потужним і надійним засобом, що відноситься до сімейства мережевих сканерів, що дозволяють здійснювати пошук уразливостей у мережевих сервісах, пропонованих операційними системами, міжмережевими екранами, маршрутизаторами, що фільтрують, та іншими мережевими компонентами. Для пошуку вразливостей використовуються як стандартні засобитестування та збору інформації про конфігурацію та функціонування мережі, так і спеціальні засоби, що емулюють дії зловмисника щодо проникнення в системи, підключені до мережі.

Докладніше зі сканером Nessus можна ознайомитись.

bsqlbf-v2

Тип сканера: засіб для автоматизації ін'єкцій.

bsqlbf-v2 – скрипт, написаний мовою Perl. Брутфорсер "сліпих" SQL-ін'єкцій. Сканер працює як із integer-значеннями в url, так і з рядковими (string).

Платформи: MS-SQL, MySQL, PostgreSQL, Oracle.

Докладніше зі сканером bsqlbf-v2 можна ознайомитись.

Дебаггери

Burp Suite

Тип сканера: дебаггер.

Burp Suite – це набір щодо незалежних крос-платформних програм, написаних на Java.

Ядром комплексу є модуль Burp Proxy, який виконує функції локального проксі-сервера; Інші компоненти набору - це Spider, Intruder, Repeater, Sequencer, Decoder і Comparer. Всі складові пов'язані між собою в єдине ціле таким чином, що дані можуть бути відправлені в будь-яку частину програми, наприклад, з Proxy Intruder для проведення різних перевірок над веб-додатком, Intruder в Repeater - для більш ретельного ручного аналізу HTTP-заголовків.

Платформи: кросс-платформне програмне забезпечення.

Докладніше зі сканером Burp Suite можна ознайомитись.

Fiddler

Тип сканера: дебаггер.

Fiddler - це налагоджувальний проксі, що логірує весь HTTP(S)-трафік. Інструмент дозволяє досліджувати цей трафік, встановлювати breakpoint і "грати" з вхідними або вихідними даними.

Функціональні особливості Fiddler:

• Можливість контролю всіх запитів, файлів cookie, що передаються параметрами інтернет-браузерами.
• Функція зміни відповіді сервера «на льоту».
• Можливість маніпулювати заголовками та запитами.
• Зміна ширини каналу.

Платформи: кросс-платформне програмне забезпечення.

Докладніше зі сканером Fiddler можна ознайомитись.

N-Stalker Web Application Security Scanner X Free Edition

Тип сканера: сканер пошуку вразливостей у веб-скриптах, засіб пошуку експлойтів.

Ефективний інструмент для веб-служб – N-Stealth Security Scanner компанії N-Stalker. Компанія продає повнофункціональну версію N-Stealth, але безкоштовна пробна версіяЦілком придатна для простої оцінки. Платний продукт має в своєму розпорядженні більш ніж 30 тис. тестів системи безпеки веб-серверів, але і безкоштовна версіявиявляє більше 16 тис. конкретних прогалин, у тому числі вразливі місця в таких широко поширених веб-серверах, як Microsoft IIS та Apache. Наприклад, N-Stealth відшукує вразливі сценарії Common Gateway Interface (CGI) та Hypertext Preprocessor (PHP), використовує атаки з проникненням у SQL Server, типові крос-сайтові сценарії та інші прогалини у популярних веб-серверах.

N-Stealth підтримує як HTTP, так і HTTP Secure (HTTPS - з використанням SSL), зіставляє вразливі місця зі словником Common Vulnerabilities and Exposures (CVE) та базою даних Bugtraq, а також генерує непогані звіти. N-Stealth використовується для пошуку найпоширеніших вразливих місць у веб-серверах і допомагає визначати найімовірніші напрямки атак.

Звичайно, для більш достовірної оцінки безпеки веб-сайту або програм рекомендується придбати платну версію.

Докладніше зі сканером N-Stealth можна ознайомитись.

Висновки

Тестування веб-сайтів щодо виявлення вразливих місць - це хороша превентивна міра. В даний час існує безліч як комерційних, так і сканерів захищеності веб-сайтів, що вільно розповсюджуються. При цьому сканери можуть бути як універсальні (комплексні рішення), так і спеціалізовані, призначені лише для виявлення певних типів уразливостей.

Деякі безкоштовні сканери є досить потужними інструментами та показують велику глибину та гарна якістьперевірки веб-сайтів. Але перед тим як використовувати безкоштовні утиліти для аналізу захищеності веб-сайтів, необхідно впевнитись у їх якості. Сьогодні для цього вже є безліч методик (наприклад, Web Application Security Scanner Evaluation Criteria, OWASP Web Application Scanner Specification Project).

Найбільш повну картину про захищеність тієї чи іншої інфраструктури дають змогу отримати лише комплексні рішення. У деяких випадках краще застосовувати кілька сканерів безпеки.

1. Мета та завдання

Метою роботи є розробка алгоритмів підвищення безпеки доступу до зовнішніх інформаційним ресурсамз корпоративних освітніх мереж з урахуванням характерних для них загроз безпеці, а також особливостей контингенту користувачів, безпекових політик, архітектурних рішень, ресурсного забезпечення.

З поставленої мети, у роботі вирішуються такі:

1. Виконати аналіз основних загроз інформаційній безпеці в освітніх мережах.

2. Розробити метод обмеження доступу до небажаних інформаційних ресурсів у освітніх мережах.

3. Розробити алгоритми, що дозволяють здійснювати сканування веб-сторінок, пошук прямих з'єднань та завантаження файлів для подальшого аналізу потенційно шкідливого коду на сайтах.

4. Розробити алгоритм ідентифікації небажаних інформаційних ресурсів сайтах.

2. Актуальність теми

Сучасні інтелектуальні навчальні системи є Web-орієнтованими та передбачають для своїх користувачів можливість роботи з різними видамилокальних та віддалених освітніх ресурсів. Проблема безпечного використанняінформаційних ресурсів (ІР), розміщених у мережі Інтернет, постійно набуває все більшої актуальності. Одним із методів, що використовуються при вирішенні цієї проблеми, є обмеження доступу до небажаних інформаційних ресурсів.

Оператори, які надають доступ до Інтернету освітнім установам, зобов'язані забезпечити обмеження доступу до небажаних ІР. Обмеження здійснюється шляхом фільтрації операторами за списками, які регулярно оновлюються в установленому порядку. Однак, враховуючи призначення та користувальницьку аудиторію освітніх мереж, доцільно використовувати більш гнучку, самонавчену систему, яка дозволить динамічно розпізнавати небажані ресурси та захищати від них користувачів.

Загалом доступ до небажаних ресурсів несе такі загрози: пропагування протиправних та асоціальних дій, таких як: політичний екстремізм, тероризм, наркоманія, поширення порнографії та інших матеріалів; відволікання учнів від використання комп'ютерних мереж у освітніх цілях; утруднення доступу до Інтернету через перевантаження зовнішніх каналів, що мають обмежену пропускну спроможність. Перелічені вище ресурси часто використовуються для впровадження шкідливих програм із супутніми загрозами .

Існуючі системи обмеження доступу до мережевих ресурсів мають можливість перевіряти на відповідність заданим обмеженням як окремі пакети, а й їх вміст - контент, переданий через мережу. В даний час в системах контентної фільтрації застосовуються такі методи фільтрації web-контенту: на ім'я DNS або конкретної IP-адреси, за ключовими словами всередині web-контенту і за типом файлу. Щоб блокувати доступ до певного веб-сайту або групи вузлів, необхідно встановити безліч URL, контент яких є небажаним. URL-фільтрація забезпечує ретельний контроль за безпекою мережі. Однак не можна передбачити всі можливі неприйнятні URL-адреси. Крім того, деякі web-вузли із сумнівним інформаційним наповненням працюють не з URL, а виключно з IP-адресами.

Один із шляхів вирішення завдання полягає у фільтрації контенту, що отримується за протоколом HTTP. Недоліком існуючих систем контентної фільтрації є використання списків розмежування доступу, що формуються статично. Для їх наповнення розробники комерційних систем контентної фільтрації наймають співробітників, які ділять контент на категорії та становлять рейтинг записів у базі даних.

Для усунення недоліків існуючих систем фільтрації контенту для освітніх мереж актуальна розробка систем фільтрації web-трафіку з динамічним визначенням категорії web-ресурсу за вмістом його сторінок.

3. Передбачувана наукова новизна

Алгоритм обмеження доступу користувачів інтелектуальних навчальних систем до небажаних ресурсів Інтернет-сайтів, що базується на динамічному формуванні списків доступу до інформаційних ресурсів шляхом їх відкладеної класифікації.

4. Заплановані практичні результати

Розроблені алгоритми можуть використовуватись у системах обмеження доступу до небажаних ресурсів в інтелектуальних системах комп'ютерного навчання.

5. Огляд досліджень та розробок

5.1 Огляд досліджень та розробок на глобальному рівні

Проблемам забезпечення інформаційної безпеки присвячені роботи таких відомих вчених, як: H.H. Безруков, П.Д. Зегжда, AM. Івашко, А.І. Костогризов, В.І. Курбат К. Лендвер, Д. Маклін, A.A. Молдов'ян, H.A. Молдовян, А.А.Малюк, Е.А.Дербін, Р. Сандху, Дж. М. Керрол та інших. Разом з тим, незважаючи на переважний обсяг текстових джерел у корпоративних та відкритих мережах, у галузі розробки методів та систем захисту інформації в даний час недостатньо представлені дослідження, спрямовані на аналіз загроз безпеці та дослідження обмеження доступу до небажаних ресурсів при комп'ютерному навчанні з можливостями доступу до Web.

В Україні провідним дослідником у цій сфері є Домарьов В.В. . Його дисертаційні дослідження присвячені проблемам створення комплексних систем захисту інформації. Автор книг: «Безпека інформаційних технологій. Методологія створення систем захисту», «Безпека інформаційних технологій. Системний підхід» та ін., автор понад 40 наукових статей та публікацій.

5.2 Огляд досліджень та розробок за темою на національному рівні

У Донецькому національному технічному університеті розробкою моделей та методів для створення системи інформаційної безпеки корпоративної мережіпідприємства з урахуванням різних критеріїв займалася Хімко С.С. . Захистом інформації у навчальних системах Зайняла Ю.С. .

6. Проблеми обмеження доступу до веб-ресурсів в освітніх системах

Розвиток інформаційних технологій в даний час дозволяє говорити про два аспекти опису ресурсів Інтернет-контент та інфраструктуру доступу. Під інфраструктурою доступу прийнято розуміти безліч апаратних та програмних засобів, що забезпечують передачу даних у форматі IP-пакетів, а контент визначається як сукупність форми подання (наприклад, у вигляді послідовності символів у певному кодуванні) та контенту (семантики) інформації. Серед характерних властивостей такого опису слід виділити такі:

1. незалежність контенту від інфраструктури доступу;

2. безперервна якісна та кількісна зміна контенту;

3. поява нових інтерактивних інформаційних ресурсів («живі журнали», соціальні мережі, вільні енциклопедії та ін), в яких користувачі безпосередньо беруть участь у створенні мережного контенту.

При вирішенні завдань управління доступом до інформаційних ресурсів велике значення мають питання вироблення політики безпеки, які вирішуються стосовно характеристик інфраструктури та мережного контенту. Чим вище рівень опису моделі інформаційної безпеки, тим більше управління доступом орієнтоване на семантику мережевих ресурсів. Очевидно, що MAC та IP-адреси (канальний та мережевий рівеньвзаємодії) інтерфейсів мережевих пристроїв неможливо прив'язати до будь-якої категорії даних, оскільки одна і та ж адреса може представляти різні послуги. Номери портів (транспортний рівень), як правило, дають уявлення про тип сервісу, але якісно не характеризують інформацію, що надається цим сервісом. Наприклад, неможливо віднести певний Web-сайт до однієї із семантичних категорій (ЗМІ, бізнес, розваги тощо) лише на основі інформації транспортного рівня. Забезпечення інформаційного захистуна прикладному рівні впритул наближається до поняття контентної фільтрації, тобто. керування доступом з урахуванням семантики мережевих ресурсів. Отже, що більш орієнтована на контент система управління доступом, то більше диференційований підхід по відношенню до різних категорій користувачів та інформаційних ресурсів можна реалізувати за її допомогою. Зокрема, семантично орієнтована система управління здатна ефективно обмежити доступ учнів навчальних закладів до ресурсів, несумісних із процесом навчання.

Можливі варіанти процесу отримання веб-ресурсу представлені на рис.

Малюнок 1 - Процес отримання веб-ресурсу за протоколом HTTP

Щоб забезпечити гнучкий контроль використання Інтернет-ресурсів, необхідно запровадити у компанії-операторі відповідну політику використання ресурсів освітньою організацією. Ця політика може реалізовуватись як «вручну», так і автоматично. "Ручна" реалізація означає, що в компанії є спеціальний штат співробітників, які в режимі реального часу або за журналами маршрутизаторів, проксі-серверів або міжмережевих екранів ведуть моніторинг активності користувачів освітнього закладу. Такий моніторинг є проблематичним, оскільки потребує великих трудовитрат. Щоб забезпечити гнучкий контроль використання Інтернет ресурсів, компанія має дати адміністратору інструмент реалізації політики використання ресурсів організацією. Цій меті служить контентна фільтрація. Її суть полягає у декомпозиції об'єктів інформаційного обміну на компоненти, аналізі вмісту цих компонентів, визначенні відповідності їх параметрів прийнятій політиці використання Інтернет-ресурсів та здійсненні певних дій за результатами такого аналізу. У разі фільтрації веб-трафіку під об'єктами інформаційного обміну маються на увазі веб-запити, вміст веб-сторінок, що передаються на запит користувача файли.

Користувачі навчальної організації отримують доступ до Інтернету виключно через проксі-сервер. При кожній спробі отримання доступу до того чи іншого ресурсу proxy-сервер перевіряє, чи не внесений ресурс до спеціальної бази. Якщо такий ресурс розміщений у базі заборонених - доступ до нього блокується, а користувачеві видається на екран відповідне повідомлення.

У випадку, якщо запитаний ресурс відсутній у базі заборонених ресурсів, то доступ до нього надається, проте запис про відвідування цього ресурсу фіксується у спеціальному службовому журналі. Один раз на день (або з іншим періодом) проксі-сервер формує перелік найбільш відвідуваних ресурсів (у вигляді списку URL) і надсилає його експертам. Експерти (адміністратори системи) з використанням відповідної методики перевіряють отриманий перелік ресурсів та визначає їх характер. У разі, якщо ресурс має нецільовий характер, експерт здійснює його класифікацію (порноресурс, ігровий ресурс) та вносить зміну до бази даних. Після внесення всіх необхідних змін, оновлена ​​редакція бази даних автоматично пересилається всім proxy-серверам, підключеним до системи. Схема фільтрації нецільових ресурсів на proxy-серверах наведена на рис. 2.

Рисунок 2 – Базові принципи фільтрації нецільових ресурсів на proxy-серверах

Проблеми фільтрації нецільових ресурсів на proxy серверах такі. При централізованій фільтрації потрібна висока продуктивність обладнання центрального вузла, велика пропускна здатністьканалів зв'язку на центральному вузлі, вихід із ладу центрального вузла веде до виходу з ладу всієї системи фільтрації.

При децентралізованій фільтрації «на місцях» безпосередньо на робочих станціях чи серверах організації велика вартість розгортання та підтримки.

При фільтрації за адресою на етапі відправки запиту відсутня превентивна реакція на наявність небажаного контенту, складності при фільтрації веб-сайтів, що «маскуються».

При фільтрації за контентом необхідна обробка великих обсягів інформації при отриманні кожного ресурсу, складність обробки ресурсів, підготовлених з використанням засобів як Java, Flash.

7. Інформаційна безпека веб-ресурсів для користувачів інтелектуальних навчальних систем

Розглянемо можливість управління доступом до ІР з допомогою поширеного рішення, заснованого на ієрархічному принципі комплексування засобів управління доступом до ресурсів Інтернету (рис.3). Обмеження доступу до небажаних ІР з ІОС може бути забезпечене шляхом поєднання таких технологій як міжмережеве екранування, використання проксі-серверів, аналіз аномальної діяльності з метою виявлення вторгнень, обмеження смуги пропускання, фільтрація на основі аналізу змісту (контенту), фільтрація на підставі списків доступу. При цьому одним із ключових завдань є формування та використання актуальних списків обмеження доступу.

Фільтрування небажаних ресурсів проводиться відповідно до чинних нормативними документамина підставі списків, що публікуються в установленому порядку. Обмеження доступу до інших інформаційних ресурсів здійснюється на підставі спеціальних критеріїв, які розробляє оператор освітньої мережі.

Доступ користувачів з частотою, нижчою за задану навіть до потенційно небажаного ресурсу, є допустимим. Аналізу та класифікації підлягають лише затребувані ресурси, тобто ті, котрим кількість запитів користувачів перевищила задане граничне значення. Сканування та аналіз здійснюються через деякий час після перевищення числа запитів граничного значення (у період мінімального завантаження зовнішніх каналів).

Скануються не поодинокі веб-сторінки, а пов'язані з ними ресурси (шляхом аналізу наявних сторінок посилань). В результаті цей підхід дозволяє в процесі сканування ресурсу визначати наявність посилань на шкідливі програми.

Рисунок 3 - Ієрархія засобів управління доступом до ресурсів Інтернет

(анімація, 24 кадри, 25 Кб)

Автоматизована класифікація ресурсів провадиться на корпоративному сервері клієнта - власника системи. Час класифікації визначається методом, в основі якого лежить поняття відкладеної класифікації ресурсу. При цьому передбачається, що доступ користувачів із частотою нижче заданої навіть до потенційно небажаного ресурсу є допустимим. Це дозволяє уникнути дорогої класифікації "на льоту". Аналізу та автоматизованої класифікації підлягають лише затребувані ресурси, тобто ресурси, частота запитів користувачів яких перевищила задане граничне значення. Сканування та аналіз здійснюються через деякий час після перевищення числа запитів граничного значення (у період мінімального завантаження зовнішніх каналів). Метод реалізує схему динамічної побудови трьох списків: чорного (ЧСП), білого (БСП) і сірого (ССП). Ресурси, що знаходяться у «чорному» списку, заборонені для доступу. "Білий" список містить перевірені дозволені ресурси. "Сірий" список містить ресурси, які хоча б один раз були затребувані користувачами, але не пройшли класифікацію. Початкове формування та подальше «ручне» коригування «чорного» списку здійснюється на підставі офіційної інформації про адреси заборонених ресурсів, що надаються уповноваженим державним органом. Початковий зміст «білого» списку становлять рекомендовані для використання ресурси. Будь-який запит ресурсу, що не належить до «чорного списку», задовольняється. У тому випадку, якщо цей ресурс не знаходиться в білому списку, він міститься в сірий список, де фіксується кількість запитів до цього ресурсу. Якщо частота запитів перевищує деяке граничне значення, проводиться автоматизована класифікація ресурсу, на підставі чого він потрапляє до «чорного» або «білого» списку.

8. Алгоритми визначення інформаційної безпеки веб-ресурсів для користувачів інтелектуальних навчальних систем

Алгоритм обмеження доступу. Обмеження доступу до небажаних ресурсів Інтернет-сайтів ґрунтується на наступному визначенні поняття ризику доступу до небажаного ІР в ІОС. Ризиком доступу до небажаного i-го ІР, віднесеного до до-го класу ІР, називатимемо величину, пропорційну експертній оцінці шкоди, що завдається небажаним ІР даного виду ІОС або особи користувача та кількості звернень до даного ресурсу за заданий відрізок часу:

За аналогією з класичним визначенням ризику як добутку ймовірності реалізації загрози на вартість шкоди, що наноситься, дане визначення трактує ризик як математичне очікування величини можливої ​​шкоди від доступу до небажаного ІР. При цьому величина очікуваної шкоди визначається ступенем впливу ІР на особистості користувачів, яка у свою чергу прямо пропорційна числу користувачів, які зазнали цієї дії.

У процесі аналізу будь-якого веб-ресурсу, з погляду бажаності чи небажаності доступу до нього, необхідно розглядати такі основні компоненти кожної його сторінки: контент, тобто текстову та іншу (графічну, фото, відео) інформацію, розміщену на цій сторінці; контент, розміщений на інших сторінках цього ж веб-сайту (отримати внутрішні посилання із вмісту завантажених сторінок можна по регулярним виразам); з'єднання з іншими сайтами (як з погляду можливого завантаженнявірусів і троянських програм), і з погляду наявності небажаного контенту. Алгоритм обмеження доступу до небажаних ресурсів з використанням списків наведено на рис. 4.

Рисунок 4 - Алгоритм обмеження доступу до небажаних ресурсів

Алгоритм визначення небажаних Web-сторінок. Для класифікації контенту – текстів веб-сторінок – необхідно вирішити такі завдання: завдання категорій класифікації; вилучення з вихідних текстів інформації, що піддається автоматичному аналізу; створення колекцій прокласифікованих текстів; побудова та навчання класифікатора, що працює з отриманими наборами даних.

Навчальне безліч прокласифікованих текстів аналізують, виділяючи терми - найчастіше вживані словоформи загалом і з кожної категорії класифікації окремо. Кожен вихідний текст представляють у вигляді вектора, компонентами якого є характеристики даного терму в тексті. Щоб уникнути розрідженості векторів і зменшити їх розмірність, словоформи доцільно призвести до початковій формі методами морфологічного аналізу. Після цього вектор слід нормалізувати, що дозволяє досягти коректнішого результату класифікації. Для однієї веб-сторінки можна сформувати два вектори: для інформації, що відображається для користувача, та для тексту, який надається пошуковим машинам.

Відомі різні підходи до побудови класифікаторів веб-сторінок. Найчастіше використовуваними є: байєсівський класифікатор; нейронні мережі; лінійні класифікатори; метод опорних векторів (SVM) Всі вищеназвані методи вимагають навчання на навчальній колекції та перевірки на колекції, що тестує. Для бінарної класифікації можна вибрати наївне байєсовське рішення, яке передбачає незалежність один від одного характеристик у векторному просторі. Вважатимемо, що всі ресурси необхідно класифікувати як бажані та небажані. Тоді вся колекція зразків текстів веб-сторінок поділяється на два класи: C=(C1, C2) причому апріорна ймовірність кожного класу P(Ci), i=1,2. При досить великий колекції зразків вважатимуться, що P(Ci) дорівнює відношенню кількості зразків класу Ci до кількості зразків. Для деякого класифікації зразка D, що підлягає, з умовної ймовірності P(D/Ci), згідно з теоремою Байєса, може бути отримана величина P(Ci /D):

з урахуванням сталості P(D) отримуємо:

Припускаючи незалежність один від одного термів у векторному просторі, можна отримати таке співвідношення:

Для того, щоб більш точно класифікувати тексти, характеристики яких близькі (наприклад, розрізняти порнографію та художню літературу, в якій описуються еротичні сцени), слід запровадити вагові коефіцієнти:

Якщо kn = k; якщо kn менший k, kn.=1/|k|. Тут M – частота всіх термів у базі даних зразків, L – кількість всіх зразків.

9. Напрями вдосконалення алгоритмів

Надалі передбачається розробити алгоритм аналізу посилань з метою виявлення впровадження шкідливого коду в код web-сторінки та порівняти класифікатор байесовського з методом опорних векторів.

10. Висновки

Здійснено аналіз проблеми обмеження доступу до веб-ресурсів в освітніх системах. Вибрано базові принципи фільтрації нецільових ресурсів на proxy-серверах на основі формування та використання актуальних списків обмеження доступу. Розроблено алгоритм обмеження доступу до небажаних ресурсів з використанням списків, що дозволяє динамічно формувати та оновлювати списки доступу до ІР на основі аналізу їхнього контенту з урахуванням частоти відвідувань та контингенту користувачів. Для виявлення небажаного контенту розроблено алгоритм на основі наївного байєсівського класифікатора.

Список джерел

1. Зима В. М. Безпека глобальних мережевих технологій/ В. Зима, А. Молдов'ян, Н. Молдов'ян. - 2-ге вид. – СПб.: БХВ-Петербург, 2003. – 362 c.
2. Воротницький Ю. І. Захист від доступу до небажаних зовнішніх інформаційних ресурсів у науково-освітніх комп'ютерних мережах/ Ю. І. Воротницький, Се Цзіньбао // Мат. XIV Між. конф. "Комплексний захист інформації". – Могильов, 2009. – С. 70-71.

Найкращих веб-сервісів, за допомогою яких можна досліджувати сайти на вразливості. За оцінкою HP, 80% всіх уразливостей викликано неправильними налаштуваннями веб-сервера, використанням застарілого програмного забезпечення або іншими проблемами, яких можна було легко уникнути.

Сервіси із огляду допомагають визначити такі ситуації. Зазвичай сканери здійснюють перевірку за базою відомих уразливостей. Деякі з них досить прості і лише перевіряють відкриті порти, А інші працюють ретельніше і навіть намагаються здійснити SQL-ін'єкцію.

WebSAINT

SAINT – відомий сканер уразливостей, на основі якого зроблені веб-сервіси WebSAINT та WebSAINT Pro. Як Approved Scanning Vendor, сервіс здійснює ASV-сканування сайтів організацій, для яких це необхідно за умовами сертифікації PCI DSS. Може працювати за розкладом та проводити періодичні перевірки, складає різні звіти за результатами сканування. WebSAINT сканує порти TCP та UDP на вказаних адресах у мережі користувача. У «професійній» версії додані пентести та сканування веб-додатків та звіти, що настроюються.

ImmuniWeb

Сервіс ImmuniWeb від компанії High-Tech Bridge використовує трохи інший підхід до сканування: окрім автоматичного сканування, тут пропонують пентести вручну. Процедура починається у вказаний клієнтом час і займає до 12 години. Звіт переглядають співробітники компанії перед тим, як надіслати клієнту. У ньому вказують щонайменше три способи усунення кожної виявленої вразливості, у тому числі варіанти зміни вихідного коду веб-програми, зміна правил файрвола, встановлення патча.

За людську працю доводиться платити більше, ніж за автоматичну перевірку. Повне сканування з пентестами ImmuniWeb коштує $639.

BeyondSaaS

BeyondSaaS від BeyondTrust обійдеться ще дорожче. Клієнтам пропонують оформити передплату за $3500, після чого вони можуть проводити необмежену кількість перевірок протягом року. Одноразовий скан коштує $700. Сайти перевіряються на SQL-ін'єкції, XSS, CSRF та вразливості операційної системи. Розробники заявляють ймовірність помилкових спрацьовувань трохи більше 1%, а звітах теж вказують варіанти виправлення проблем.

Компанія BeyondTrust пропонує інші інструменти для сканування на вразливості, у тому числі безкоштовний Retina Network Community, який обмежений 256 IP-адресами.

Dell Secure Works

Dell Secure Works , можливо, найпросунутіший із веб-сканерів, представлених в огляді. Він працює на технології QualysGuard Vulnerability Management та перевіряє веб-сервери, мережеві пристрої, сервери додатків та СУБД як усередині корпоративної мережі, так і на хмарному хостингу. Веб-сервіс відповідає вимогам PCI, HIPAA, GLBA та NERC CIP.