4. Инструментален анализ
Ръченанализ
Анализ на кода
Комплексна оценка
Организация на процеса на анализа
5. Защитна стена на web –
приложения
Защитната стена за уеб приложения или защитна стена на приложен
слой е устройство или софтуер, разработени, за да защитят уеб
приложенията срещу атаки и „изтичане„ на информация. Стената е
разположена между уеб клиента и уеб сървъра и анализира
съобщенията на приложното ниво за наличие на нарушения в
програмираната политика за сигурност
7. SQL Инжекция
Sql инжекциите са уязвимости с начина на обработка на
заявките към sql сървъра. Бива подаван параметър, който
освен информацията с ключа за конкретен запис, съдържа и
допълнител код. По този начин хакерите могат да извлекат
информация от базата данни.
8. SQL Инжекция
Как работят атаките с SQL инжекции?
Нападателите получават достъп до уеб приложенията чрез SQL инжекция,
като добавят Structured Query Language (SQL) код към кутийка на уеб
форма за въвеждане под формата на SQL заявка, което е искане към
базата данни да изпълни специфично действие. Обикновено по време на
потребителското удостоверяване се въвеждат потребителско име и парола
и се включват в запитване. След това на потребителя или му се
предоставя, или му се отказва достъп в зависимост дали е дал правилни
данни. Уеб форумите обикновено нямат никакви инструменти за блокиране
на въвеждане освен потребителското име и паролата, което означава, че
хакерите могат да изпълнят атака с SQL инжекция, като използват
входните полета, за да изпратят заявка към базата данни, която е много
вероятно да им предостави достъп.
Предотвратяване и избягване на хакерски атаки с SQL инжекция
Да ограничи привилегиите за достъп на потребителите
Осигурете бдителност на потребителите по отношение на
сигурността
Намалете информацията за отстраняване на бъговете
Тествайте уеб приложението
9. Dіѕtrіbuted denial of Services
(DdoS)
Атаката с рапределен отказ от обслужване (DDOS) може да
бъде пагубна за една организация, струвайки й време и пари,
като по същество изключи корпоративните системи.
Хакерите извършват DDoS атака, като експлоатират пролуки
и уязвимости в компютърната система (често уеб сайт или уеб
сървър), за да се позиционират като главна система. След
като веднъж са се поставили в положение на главна система,
хакерите могат да идентифицират и комуникират с другите
системи за по нататъшно компрометиране.
10. Buffer Overflow (Препълване на
буфер)
Буферът е временна област за съхранение на данни. Когато там
се поставят повече данни, отколкото е предвидено първоначално
от даден програмен и системен процес, допълнителните данни ще
го препълнят, откъдето произлиза и името, причинявайки част от
данните да изтекат към други буфери, което може да разруши
данните, които те съдържат или да запише върху тях.
Хакерите биха използвали буферното препълване, за да се
възползват от програма, която очаква въвеждане от
потребителя.
Има два типа буферно препълване – стек базирани и хип
базирани.
11. Buffer Overflow (Препълване на
буфер)
Как да спрем препълването на буфера от атакуващи приложения
Избягвайте да използвате библиотечни файлове.
Филтрирайте въвежданията от потребителите.
Тествайте приложенията.
12. Croѕѕ-Ѕіte Scripting ( XSS )
Крос-сайт скриптингът (XSS) позволява на нападателите да изпращат
злонамерен код към друг потрбител, като се възползват от пробойна
или слабост в интернет сървър. Нападателите се възползват от XSS
средства, за да инжектират злонамерен код в линк, който изглежда,
че заслужава доверие. Когато потребителят щракне върху линка,
вграденото програмиране се включва и се изпълнява на компютъра на
потребителя, което предоставя на хакера достъп, за да открадне
чувствителна информация. Нападателите използват XSS, за да се
възползват от уязвимостите на машината на жертвата и от зловредния
код в трафика вмсто да атакуват самата система.
Нападателите имат възможност да променят HTML кода, който
контролира страницата, като използват уеб форми, които връщат
съобщение за грешка при въвеждане на данни от потребителя.
Хакерът може да вмъкне код в линка на спам съобщение или да
използва имейл измама с цел да подмами потребителя да смята, че
източникът е легитимен.
13. Croѕѕ-Ѕіte Scripting ( XSS )
XSS атаките са най-общо три вида:
1. Директни: Атакуващият предоставя връзка или друг вид
“маскиран” код към клиента. Когато клиента последва такава
връзка той попада на оригиналният уебсайт на дадената услуга,
но вече с модифициран от атакуващия код. Възможно е
и възползването от уязвимост на софтуера, с който жертвата
преглежда подаденото му съобщение, с цел атакуващия да добие
достъп до неговата административна част. Директните атаки се
реализират най-често чрез изпращане на писма по електронната
поща към жертвата или чрез съобщения в различни чат
приложения.
2.Статични: Атакуващият успява да вмъкне нежелания код в
база данни и само изчаква жертвата сама да отвори уязвимата
страница. Това са най-честите атаки при т.нар. социални мрежи –
форуми, блогове, дискусионни групи, и т.н.
3. DOM: Това са XSS атаки от т.нар. локално ниво. Обикновено
се използва уязвимост в скрипт на продукта, чрез който
самият софтуер да предизвика директна XSS атака към жертвата.
14. Cross-Site Requesf Forgery (CSRF)
CSRF е широко използвана уязвимост в уеб приложенията. Тази атака,
атакуващия може да наруши цялостта на потребителската сесия с уеб
страница, като инжектира заявка по мрежата посредством браузъра на
потребителя. Политиката на сигурност на browser-ите позволява уеб
адресите да изпращат HTTP заявка до който и да е мрежовиа адрес.
Накратко: CSRF е мястото, където злонамерен уеб сайт ще се опита да
издаде действия по отношение на друг сайт, без знанието на потребителя
от него, настъпили.
Как да се защитим om CSRF?
Има разнообразни начини за защита от CSRF, но най-общото е повторно
изпращане на удостоверяващата автентичност заглавна част на заявката
(в повечето случаи това са .,бисквитки") най-малко за всички заявки,
които водят до промяна на състояние на потребителската сесия. Това се
постига чрез скрити полета в HTML формите или се впага в URL адреса на
дейстеието. B CSRF атакуващият няма достъп до оторизационните данни
(под формата на уникален ключ за сесията. съдържаща се най-често в
бисквитките", който на сървъра отговаря на потребителя и така на
неговите данни и права), а само използва поведението на браузера при
заявка до даден адрес да прикача към заявката .,бисквитките",
принадлежащи кьм домейна на страницата.
15. Source Code Disclosure (SCD)
SCD атаките позволяват на злонамерени потребители да получат
изходния код на server-side приложение. Това позволява на хакерите
по-дълбоко познаване на логиката на приложението.
Нападателите използват SCD атаките, за да се опитат да получат
изходния код на server-side приложенията. Основното правило на web
сървърите е да служат на файловете, както се изисква от клиентите.
Файловете могат да бъдат статични, каквито са HTML файловете, или
динамични, каквито са ASP, JSP u РНР файповете.
16. Заключение
Съществуват много методи за атака на web-
приложенията и непрекъснато излизат нови и нови.
Атаките срещу уеб приложенията може да струват много
време и пари на организациите, както и да доведат до
скъпи и неприятни пробиви на сигурността на данните,
което прави изчерпателните стратегии и механизми за
защита задължителни.
