На кафедрі “Управління інформаційною та кібернетичною безпекою” (УІКБ) приділяється постійна увага вивченню результатів наукових досліджень по підвищенню захищенності інформаційної та кібернетичної безпеки комп'ютерних систем і упровадженню їх в навчальний процес.
Мистецтво розробки додатків повинне супроводжуватись умінням організувати щоденні операції для підтримки роботи цих додатків. Через відкритий доступ до керування web-додатком, кількість хакерських атак на такі програми дуже велика.
У багатьох організація Web-додатки використовуються як критично важливі системи, які повинні щодня обслуговувати багатомільйонні транзакції. Однак справжня цінність Web-сайтів повинна оцінюватися на основі потреб кожної організації.
Створення класифікації загроз безпеки Web-додатків є важливою подією для розробників додатків, фахівців у галузі безпеки, виробників програмних продуктів та інших сторін, які займаються безпекою Web. На основі класифікації надалі можуть бути створені методики обстеження додатків, рекомендації з розробки додатків з урахуванням безпеки, вимоги до продуктів і служб.
Визначення версій додатків використовується зловмисником для отримання інформації про використовувані сервером і клієнтом операційних систем, Web-серверів і браузерів. Зазвичай подібні атаки здійснюються шляхом аналізу різної інформації, що надається Web-сервером, наприклад:
Сьогодні на сайтах, присвячених інформаційній безпеці, постійно з'являються повідомлення про виявлення нових вразливостей в програмному забезпеченні веб-серверів. Варто відзначити, що чим популярніше те чи інше програмне забезпечення, тим частіше для нього знаходять нові уразливості. Веб-сервери постійно піддаються безлічі самих різноманітних небезпек. Причому найсерйознішу загрозу становлять для них хакери і віруси.
Для визначення версій клієнтських додатків зазвичай використовується аналіз HTTP-запитів (порядок слідування заголовків, значення User-agent і т.д.).
Уразливості веб-додатків є одним з найбільш важливих моментів при аналізі та оцінці ступеня безпеки при тестуваннях на проникнення у комп'ютерні системи. Деякі області такого тестування вимагають наявності домашньої мережі або комп'ютера для проведення тестування, але створення тестового веб-сайту для вивчення безпеки веб-додатків і вимагає трохи іншого підходу. Для вивчення проблем злому веб-додатків і для створення безпечного тестового оточення дуже добре підходить інструмент, який називається OWASP Juice Shop.
Глибина і різноманітність веб-технологій надають хакерам безліч цілей для атак. Існує велика кількість мов розмітки, за допомогою якої створюють графічну складову веб-сайтів, скриптові мови, що обробляють взаємодію з «фронтендом» (призначеним для користувача інтерфейсом), мови, що керують даними на «бекенді» (з боку сервера), системи управління базами даних, серверні технології, які роблять так, щоб сайти в Інтернеті були завжди онлайн. У кожної з цих складових є свої уразливості і кожну з них можна використовувати.
Одним з найпростіших способів початку аналізу веб-додатка є перегляд HTML-коду конкретної сторінки.
Для цього потрібно скористатися функцією «Переглянути вихідний код сторінки» вашого веб-браузера. Зазвичай вона доступна в розділі «Інструменти розробника» або в аналогічному меню. Нижче наведено один приклад такого роду. Тут сам HTML-код не надає нам ніяких можливостей для атаки, але ось список JavaScript-файлів, на які посилається сторінка в тегах «script», говорить нам про те, що «під капотом» сайту використовується деяка функціональність, що дає можливість для атаки.
Далі в коді можна помітити посилання на інші сторінки. Деякі з них показані в головному меню сторінки, але інші, такі як сторінка «score-board» - ні.
Виявлення такого посилання може допомогти подальшому розумінню структури веб-сайту, а також допоможе виявити вразливості, які повинні були бути закритими.
Розглянуті питання використовуються в навчальних дисциплінах кафедри: “Аудит систем захисту інформації”, “Організаційне забезпечення захисту інформації”, “Управління безпекою інформаційних мереж”.
Наступного разу у новинах планується ознайомлення із рекомендаціями по використанню Score Board, аналізу JavaScript коду та провокуванні помилок у роботі веб-додатку для виявлення нових вразливостей.
Важливе попередження: використовуйте отримані знання лише з добрими намірами!
Веб-додаток (часом називають - оглядач Інтернету) — додаток, в якому клієнтом виступає браузер, а сервером — вебсервер.
IIS (Internet Information Services, до версии 5.1 — Internet Information Server) — набір серверів для декількох служб Інтернету від компанії Microsoft. IIS поширюється з Windows NT. Основним компонентом IIS є веб-сервер, який дозволяє розміщувати сайти в Інтернеті. IIS підтримує протоколи HTTP, HTTPS, FTP, POP3, SMTP, NNTP. За даними компанії Netcraft на червень 2015 року, майже 22 млн сайтів обслуговувалися веб-сервером IIS, що становить 12,32% від загального числа веб-сайтів.
Веб-сервер – називають як програмне забезпечення, яке виконує функції веб-сервера, так і безпосередньо комп'ютер, на якому це програмне забезпечення працює. Це сервер, який приймає HTTP-запити від клієнтів, зазвичай веб-браузерів, і видає їм HTTP-відповіді і, як правило, разом з HTML-сторінкою, зображенням, файлом, медіа-потоком або іншими даними.
Клієнт - зазвичай веб-браузер, який передає веб-серверу запити на отримання ресурсів, позначених URL-адресами.
Ресурси - це HTML-сторінки, зображення, файли, медіа-потоки або інші дані, які необхідні клієнту. У відповідь веб-сервер передає клієнту запитані дані. Цей обмін відбувається по протоколу HTTP.
*******