Skanowanie bezpieczeństwa zasobów internetowych. Bezpieczeństwo informacji, ochrona i bezpieczna administracja zasobami sieciowymi. Sprawdź dane przychodzące

Większość zweryfikowanych zasobów sieciowych ma obecnie szereg poważnych luk w zabezpieczeniach i nie spełnia współczesnych wymagań bezpieczeństwa. Około połowa wszystkich wykrytych podatności była powiązana z tak zwanymi wstrzyknięciami SQL, kolejne 42% podatności jest powiązanych z podatnościami typu cross-scripting (XSS, Cross Site Scripting), zwanymi również cross-site scriptingiem, 7% luk jest związanych z ujawnieniem kod źródłowy serwerowa aplikacja internetowa, która ma bezpośredni dostęp do danych.

Bezpieczeństwo aplikacji online staje się jednym z głównych problemów związanych z zabezpieczaniem nie tylko witryn internetowych, ale także wielu aplikacji korporacyjnych działających w Internecie.

Ocena ta ma na celu zdiagnozowanie sposobów hakowania systemów, ocenę bezpieczeństwa serwisów i aplikacji internetowych, a także analizę zagrożeń podczas audytów przy ocenie bezpieczeństwa organizacji. Opierając się na zasadach poufności, dostępności i integralności, ocena bezpieczeństwa zasobów sieciowych pomaga zapewnić bezpieczeństwo danych, kont, dostępów i połączeń użytkowników.

Główne prace jakie wykonuje się podczas audytu bezpieczeństwa zasobów sieciowych:
- wykrywanie luk umożliwiających nieautoryzowany dostęp do zastrzeżonych obszarów aplikacji internetowych;
- próby modyfikacji informacji serwisów internetowych;
- testowanie możliwości wprowadzenia i wykonania dowolnego złośliwego oprogramowania kod programu;
- sprawdzanie odporności na ataki typu SQL injection, Cross Site Scripting, XSS itp.;
- analiza kodu skryptu;
- wykrywanie i identyfikacja podatności systemów operacyjnych, na których działają serwery internetowe i usługi sieciowe;
- dostarczenie raportu o wykrytych podatnościach i zagrożeniach oraz zaleceń dotyczących ich eliminacji;
- sprawdzenie odporności na ataki Dos/DDos.

Metodologia
Podczas audytu specjaliści firmy analizują zarówno samą aplikację webową, jak i system operacyjny oraz bazy danych. Stosujemy przy tym zarówno skanowanie instrumentalne, jak i analizę ręczną, co znacznie poprawia jakość pracy.
Analiza instrumentalna - obejmuje skanowanie zasobu internetowego skanerem podatności, a także innymi specjalistycznymi aplikacjami.
Analiza ręczna - drugi rodzaj skanowania, gdy aplikacja jest wdrażana na dedykowanym serwerze i sprawdzana przez ekspertów ta aplikacja ręcznie, przy użyciu wszystkich możliwych metod i ataków na aplikacje. Następnie opracowywany jest szczegółowy raport na temat odporności aplikacji na określone ataki, w tym ataki typu „odmowa usługi”.

Proces testowania penetracji

Normy
Przy przeprowadzaniu analizy bezpieczeństwa wykorzystywane są opracowania personalne naszych specjalistów, a także powszechnie uznane standardy i wytyczne dotyczące zapewnienia bezpieczeństwa informacji, Klasyfikacja zagrożeń konsorcjum bezpieczeństwa aplikacji internetowych (WASC) I Open Web Application Security Project (OWASP) Przewodnik testowania.
W pracy wykorzystano zaawansowane narzędzia analizy bezpieczeństwa, zarówno rozpowszechniane bezpłatnie, jak i komercyjne.

Raport
Po zakończeniu prac klient otrzymuje raport zawierający ogólną ocenę bezpieczeństwa aplikacji oraz listę wykrytych podatności szczegółowy opis, prezentacje i wskazówki dotyczące rozwiązywania problemów.

Świadczone usługi dodatkowe
Analiza kodu źródłowego aplikacji – prace te wykonują wysoko wykwalifikowani programiści, którzy określają bezpieczeństwo pisanego kodu, brak redundancji i ustawiają zakładki. Tego typu prace są niezbędne przy wdrażaniu systemów związanych z transakcjami finansowymi czy rozliczeniami.

Rysunek 2. Wygląd Aplikacje internetowe Mutillidae

Metodologia testów

Teraz, gdy się przygotowaliśmy Stanowisko badawcze, możesz rozważyć proces testowania, który będzie następującą sekwencją działań:

  1. Przygotowanie aplikacji testowej do skanowania
  2. Konfigurowanie skanera bezpieczeństwa
  3. Rozpoczęcie procesu skanowania z wybranymi ustawieniami
  4. Analiza wyników i wpisanie ich do tabeli
Rodzaj podatności Znaleziony fałszywe znalezione Czas

Tabela 1. Wyniki skanowania

Po wykonaniu wszystkich serii testów dla wszystkich skanerów, wyniki wprowadzimy do tabeli podsumowującej.

Przechodzenie po ścieżce / dołączanie plików lokalnych

Narażenie na wrażliwe dane

upłynął czas

Fałszywie wykryte

 Fałszywe wykrywanie

Fałszywie wykryte

Fałszywie wykryte

Fałszywie wykryte

Tabela 2. Tabela podsumowująca wyniki

W trakcie przeprowadzania testów napotkamy kilka problemów:

  1. Skanery bezpieczeństwa różnią się ustawieniami i funkcjonalnością. Aby odzwierciedlić specyficzne cechy skanerów w naszych testach, przeprowadzimy kilka serii skanów z różnymi konfiguracjami ustawień, aby uzyskać lepsze wyniki (jeśli to możliwe).
  2. Skanery bezpieczeństwa albo są wyspecjalizowane w konkretnym typie luki, albo potrafią wykryć szeroki zakres luk. Jeśli skaner specjalizuje się w określonym typie podatności, powinien określać je bardziej jakościowo, w przeciwnym razie skupimy się na niezidentyfikowanej lub fałszywie zidentyfikowanej podatności przez wyspecjalizowany skaner.
  3. Rodzaje podatności. Ponieważ istnieje wiele rodzajów luk w zabezpieczeniach, musimy zdecydować, które rodzaje uwzględnimy w raporcie końcowym. W tym pytaniu będziemy kierować się klasyfikacją OWASP Top 10 2013 i wybrać z tej listy pięć typów luk.
  4. Liczba luk w aplikacji internetowej. Dowiedz się z góry, ile luk zawiera test Aplikacja internetowa, nie możemy, więc jako całkowitą liczbę weźmiemy sumę luk znalezionych przez wszystkie skanery.

Konfigurowanie skanerów i rozpoczynanie testów

Pomiń rybę

Ten skaner jest w pełni zautomatyzowanym narzędziem z interfejsem konsoli i ma niewielką liczbę ustawień, których pełną listę można znaleźć za pomocą polecenia skipfish -h. Aby rozpocząć proces skanowania, autor oferuje trzy podstawowe opcje:

  1. skipfish -W /dev/null -LV [...inne opcje...] - in ten tryb Po uruchomieniu skaner wykonuje uporządkowany spacer wokół celu i działa w zasadzie tak samo jak inne skanery. Niezalecane ze względu na ograniczone pokrycie zasobów celu, ale proces skanowania zajmuje znacznie mniej czasu w porównaniu do innych trybów;
  2. skipfish -W słownik.wl -Y […inne opcje…] – w tym trybie skaner fuzzuje tylko nazwy plików lub rozszerzenia. Ten tryb jest preferowany, jeśli istnieje limit czasu i wymagany jest akceptowalny wynik;
  3. skipfish -W słownik.wl […inne opcje…] – w tym trybie skaner przechodzi przez wszystkie możliwe pary nazw i rozszerzeń. Ten tryb jest znacznie wolniejszy od poprzednich, ale jednocześnie dokonuje bardziej szczegółowej analizy aplikacji webowej. Deweloper skanera zaleca domyślne używanie tej opcji.

Skipfish -W słownik.wl -o ~/report/ http://target/

W - określ ścieżkę do słownika, z którego będziemy korzystać;

O - określ katalog, w którym zapiszemy raport.

Rodzaj podatności Znaleziony fałszywe znalezione Czas
Wstrzyknięcie SQL 6 5 3h18m
XSS 11 2
CSRF 1 1
3 2
Narażenie na wrażliwe dane 128 0

Tabela 3. Wyniki skanowania SkipFish

Rysunek 3. Kończenie procesu skanowania SkipFish

Mimo to firma SkipFish dobrze poradziła sobie z zadaniem duża liczba fałszywe alarmy. Warto zauważyć, że chociaż skaner nie posiada GUI, jest bardzo łatwy w konfiguracji. Ponadto, oprócz wyników przedstawionych w tabeli, firma SkipFish znalazła wiele interesująca informacja o aplikacji webowej, analizując, która może poprawić bezpieczeństwo aplikacji

Mapa SQL

Głównym celem tego skanera jest automatyczne wyszukiwanie i wykorzystywanie luk w zabezpieczeniach SQL. Posiada ogromną liczbę ustawień, które pozwalają zoptymalizować proces wyszukiwania i wykorzystywania luk w zabezpieczeniach. Aby rozpocząć skanowanie, możesz użyć kreatora: sqlmap -wizard lub najprostszego polecenia: sqlmap -u "http://www.target.com/vuln.php?id=1". Postaramy się w pełni zautomatyzować proces wyszukiwania i zmaksymalizować wynik. Proces skanowania rozpoczniemy na dwa sposoby:

sqlmap –u „http://target/” -o –v 4 --crawl=4 --level=3 --risk=2 --forms --batch --dbms=mysql sqlmap –l ~/burplog.log -o –v 4 --batch --level=3 --risk=2 --dbms=mysql

W pierwszej metodzie korzystamy z wbudowanego crawlera SQLMap, a w drugiej korzystamy z pliku dziennika Burp Suite. Skomentujmy teraz parametry, których użyliśmy:

U - po tym parametrze określ adres celu skanowania;

L - po tym parametrze określ ścieżkę do pliku z logami Burp Suite (lub WebScarab);

O - włącz optymalizację;

V - ustaw poziom szczegółowości wyświetlanych informacji;

-dbms - zainstaluj DBMS, którego używa nasz cel;

-formularze - umożliwiają parsowanie i analizę formularzy zawartych w aplikacji testowej;

--crawl – włącza wbudowany crawler, który będzie skanował nasz cel;

--batch - skoro zdecydowaliśmy się w pełni zautomatyzować proces wyszukiwania i eksploatacji, użyjemy tego parametru, co wymusza na SQLMap domyślnie wykonywanie wszystkich akcji i nie proszenie użytkownika o decyzję;

-level, -risk - zwiększa liczbę wykorzystywanych testów, jednocześnie znacznie wydłużając czas skanowania.

Rodzaj podatności Znaleziony fałszywe znalezione Czas
Wstrzyknięcie SQL 14 0 4h27m
XSS - -
CSRF - -
Przechodzenie po ścieżce / dołączanie plików lokalnych - -
Narażenie na wrażliwe dane - -

Tabela 4. Wyniki skanowania SQLMap

Rysunek 4. Wykorzystanie wykrytej podatności SQL

Jak pisaliśmy powyżej, SQLMap jest wyspecjalizowanym narzędziem do wyszukiwania i wykorzystywania luk w SQL, doskonale poradził sobie z tym zadaniem, chociaż pełna automatyzacja nie dała takiego rezultatu. Taki wynik udało nam się osiągnąć dzięki ręcznej analizie. Warto zauważyć, że czas testowania jest dość długi, biorąc pod uwagę, że szukaliśmy tylko jednego rodzaju luki. Konfiguracja tego skanera bez szczegółowej znajomości z bogatą listą opcji jest najtrudniejszym ze wszystkich skanerów przedstawionych w tym artykule.

Skaner luk w zabezpieczeniach sieci Acunetix (Acunetix WVS)

To narzędzie jest jedynym płatnym przedstawicielem systemu Windows w naszych testach. Skaner posiada zarówno interfejs graficzny, jak i konsolowy. Aby rozpocząć proces skanowania, musisz użyć kreatora, który poprosi Cię o użycie obu ustawienia standardowe i specjalnie skonfigurowane.

Zacznijmy więc konfigurowanie skanera:

  1. W pierwszym kroku proponujemy wpisać adres docelowy, lub wybrać plik ze strukturą strony, którą uzyskaliśmy za pomocą narzędzia Site Crawler, wybierzemy pierwszą opcję
  2. W drugim kroku musimy wybrać profil skanowania, jest ich całkiem sporo, wybierzemy profil „Domyślny”, ponieważ zawiera on testy wyszukiwania wszystkich dostępnych typów luk i ustawień skanowania, które zostawimy jako domyślna
  3. W trzecim kroku skaner próbuje określić technologie, z których korzysta cel i wyświetla otrzymane wartości, podczas gdy Ty możesz wybrać je samodzielnie lub ustawić wartość na „Nieznane”. W naszym przypadku wszystkie wartości zostały zdefiniowane poprawnie i pozostawimy je bez zmian.
  4. Następnym krokiem jest wybór metody uwierzytelniania, ponieważ nie jest nam ona potrzebna, pominiemy ten krok
  5. W ostatnim kroku proponuje się zapisanie ustawień i po kliknięciu „Zakończ” rozpocznie się proces skanowania
Rodzaj podatności Znaleziony fałszywe znalezione Czas
Wstrzyknięcie SQL 1 0 2h 13m
XSS 31 0
CSRF 19 0
Przechodzenie po ścieżce / dołączanie plików lokalnych 4 3
Narażenie na wrażliwe dane 231 0

Tabela 5. Wyniki skanowania Acunetix WVS

Rysunek 5. Kończenie procesu skanowania Acunetix WVS

Łatwość konfiguracji i minimalna liczba fałszywych alarmów, oto, co można powiedzieć o tym narzędziu. Oprócz wyników wymienionych w tabeli, Acunetix WVS zebrał wiele informacji dotyczących struktury aplikacji internetowej oraz wrażliwych danych użytkownika. Jedną z przydatnych funkcji skanera jest dostarczanie szczegółowych informacji o podatności i metodach jej eliminacji, a także odnośników do zasobów zawierających wyczerpujące informacje.

Struktura ataków i audytu aplikacji internetowych (w3af)

Framework z interfejsem graficznym i konsolowym, który umożliwia wyszukiwanie i wykorzystywanie luk w aplikacjach internetowych. Dzięki szerokiej gamie wtyczek możesz dość precyzyjnie dostroić proces skanowania. Ponadto w3af posiada gotowe szablony do skanowania, użytkownik musi jedynie wpisać adres docelowy.

Konfigurując crawlera będziemy bazować na szablonach „full_audit” i „full_audit_spider_man”, różnią się one tym, że pierwszy szablon wykorzystuje web_spider, klasycznego pająka, jako plugin do crawlera, a drugi spider_man używa lokalny serwer proxy. Do naszych celów nie będziemy potrzebować wtyczek „bruteforce” włączonych domyślnie w wybranych szablonach, więc je wyłączymy. Pozostaje skonfigurować wtyczki z grupy „wyjście”. Domyślnie zebrane informacje są wyprowadzane tylko do konsoli, co nie jest zbyt wygodne do analizy wyników, dlatego włączymy wtyczkę „html_file”, która umożliwia zapisanie wszystkich otrzymanych informacji w pliku HTML.

Teraz możesz wpisać adres docelowy i rozpocząć skanowanie.

Rodzaj podatności Znaleziony fałszywe znalezione Czas
Wstrzyknięcie SQL 4 2 2h57m
XSS 3 1
CSRF 25 0
Przechodzenie po ścieżce / dołączanie plików lokalnych 4 3
Narażenie na wrażliwe dane 17 0

Tabela 6. Wyniki skanowania w3af

Rysunek 6. Szczegóły zapytania zawierającego lukę SQL

Nie bez powodu to narzędzie jest frameworkiem, przy pewnych umiejętnościach tuningowych jest w stanie zebrać wyczerpujące informacje o celu w rozsądnym czasie. Nie jest to jednak bez wad, w trakcie testowania napotkaliśmy problem ze stabilnością skanera, który nie mógł nie zdenerwować.

Wyniki testów

Co pokazały nasze testy? Jeśli masz zadania związane z przeprowadzeniem audytu bezpieczeństwa aplikacji internetowych, powinieneś zaopatrzyć się w cierpliwość i czas. W poniższej tabeli możesz zwrócić uwagę na czas, jaki zajmował proces skanowania dla każdego z narzędzi. Nie jest on bardzo duży, powód jest następujący: po pierwsze aplikacja testowa i skanery bezpieczeństwa znajdowały się na tym samym fizycznym komputerze, a po drugie czas ten nie obejmuje procesu analizy uzyskanych wyników, w warunkach rzeczywistych, czasu testowania zajmie znacznie więcej czasu. Jak już zauważyłeś, wyniki dostarczane przez skanery są różne: niektóre skanery lepiej radzą sobie z odnalezieniem określonej luki w zabezpieczeniach, inne dostarczają więcej dokładna informacja o aplikacji jako całości. W związku z tym podczas audytu bezpieczeństwa nie należy polegać tylko na jednym narzędziu, należy korzystać z zestawu różnych narzędzi, w tym ręcznej analizy aplikacji internetowej. Warto też powiedzieć, że technologie webowe rozwijają się w szybkim tempie, a skanery bezpieczeństwa nie nadążają za ich rozwojem, dlatego przed przeprowadzeniem audytu należy dokładnie zapoznać się z technologiami zastosowanymi w testowanej aplikacji webowej, aby dokładniej dobrać zestaw narzędzi i technik.

Wstrzyknięcie SQL

Kwestia bezpieczeństwa stron internetowych nigdy nie była bardziej dotkliwa niż w XXI wieku. Oczywiście wynika to z szerokiego rozpowszechnienia Internetu w niemal wszystkich branżach i dziedzinach. Każdego dnia hakerzy i eksperci ds. bezpieczeństwa znajdują kilka nowych luk w zabezpieczeniach witryn. Wiele z nich jest natychmiast zamykanych przez właścicieli i deweloperów, a niektóre pozostają takie, jakie są. Tego używają napastnicy. Ale z pomocą zhakowanej witryny możesz wyrządzić wielką szkodę zarówno jej użytkownikom, jak i serwerom, na których jest hostowana.

Rodzaje luk w witrynach

Będziesz zainteresowany:

Przy tworzeniu stron internetowych wykorzystuje się wiele powiązanych technologii elektronicznych. Niektóre są doskonałe i sprawdzone w czasie, a inne są nowe i jeszcze nie dotarte. W każdym razie istnieje wiele rodzajów luk w witrynie:

  • XSS. Każda strona ma małe formy. Za ich pomocą użytkownicy wprowadzają dane i uzyskują wynik, rejestrują się lub wysyłają wiadomości. Podstawiając specjalne wartości do tych formularzy, możesz sprowokować wykonanie określonego skryptu, co może spowodować naruszenie integralności witryny i skompromitować dane.
  • Wstrzyknięcie SQL. Bardzo powszechny i ​​skuteczny sposób na dostęp do danych wrażliwych. Może się to zdarzyć przez pasek adresu lub za pośrednictwem formularzy. Proces odbywa się poprzez podstawianie wartości, które nie mogą być filtrowane przez skrypty oraz odpytywanie bazy danych. A przy odpowiedniej wiedzy może to spowodować naruszenie bezpieczeństwa.
Kategoria: .
Autor: Maksadkhan Yakubov, Bogdan Shklyarevsky.

W artykule omówiono problemy administrowania zasobami sieciowymi, a także metody, metody i zalecenia dotyczące bezpiecznej administracji oraz ochrony przed włamaniami i cyberatakami.

Pierwszym krokiem w projektowaniu, tworzeniu lub korzystaniu z bezpiecznej witryny internetowej jest zapewnienie, że serwer, na którym jest ona hostowana, jest tak bezpieczny, jak to tylko możliwe.

Głównym składnikiem każdego serwera WWW jest system operacyjny. Zapewnienie jej bezpieczeństwa jest stosunkowo proste: wystarczy zainstalować Najnowsze aktualizacje systemy bezpieczeństwa.

Należy pamiętać, że hakerzy mają również tendencję do automatyzacji swoich ataków za pomocą złośliwego oprogramowania, które przeszukuje jeden serwer po drugim w poszukiwaniu serwera, na którym aktualizacja jest nieaktualna lub nie została zainstalowana. W związku z tym zaleca się, aby aktualizacje były instalowane terminowo i prawidłowo; dowolny serwer, który ma nieaktualne wersje aktualizacje mogą być atakowane.

Należy również na czas zaktualizować całe oprogramowanie uruchomione na serwerze WWW. Wszelkie oprogramowanie, które nie jest wymaganym składnikiem (na przykład serwer lub narzędzia DNS) administracja zdalna jak VNC lub Remote Desktop Services) powinny być wyłączone lub usunięte. Jeśli nadal potrzebujesz narzędzi do zdalnej administracji, upewnij się, że nie używasz domyślnych haseł lub haseł, które można łatwo odgadnąć. Ta uwaga dotyczy nie tylko narzędzi do zdalnej administracji, ale także kont użytkowników, routerów i przełączników.

Następny ważny punkt to oprogramowanie antywirusowe. Jego użycie jest obowiązkowym wymogiem dla każdego zasobu internetowego, niezależnie od tego, czy jest używany jako Platformy Windows lub Uniksa. W połączeniu z elastyczną zaporą ogniową oprogramowanie antywirusowe staje się jednym z najbardziej skuteczne sposoby ochrona przed cyberatakami. Gdy serwer sieciowy staje się celem ataku, osoba atakująca szybko pobierze narzędzia hakerskie lub złośliwe oprogramowanie, aby wykorzystać lukę w zabezpieczeniach. W przypadku braku wysokiej jakości oprogramowania antywirusowego luka w zabezpieczeniach może pozostać niezauważona przez długi czas i prowadzić do niepożądanych konsekwencji.

przez większość najlepsza opcja gdy ochrona zasobów informacyjnych jest podejściem wielopoziomowym. Na przedniej flance - zapora ogniowa i system operacyjny; stojący za nimi program antywirusowy jest gotowy do wypełnienia wszelkich powstałych luk.

Na podstawie parametrów systemu operacyjnego i funkcjonalności serwera WWW można podać następujące ogólne metody ochrony przed cyberatakami:

  • Nie instaluj niepotrzebnych komponentów. Każdy składnik niesie ze sobą osobne zagrożenie; im więcej z nich, tym wyższe całkowite ryzyko.
  • Instaluj aktualizacje zabezpieczeń systemu operacyjnego i aplikacji w odpowiednim czasie.
  • Korzystaj z programu antywirusowego, włącz automatyczną instalację aktualizacji i regularnie sprawdzaj, czy są zainstalowane poprawnie.

Niektóre z tych zadań mogą wydawać się zniechęcające, ale pamiętaj, że do ataku wystarczy pojedyncza luka w zabezpieczeniach. Potencjalne zagrożenia w tym przypadku to kradzież danych i ruchu, umieszczenie na czarnej liście adresu IP serwera, uszkodzenie reputacji organizacji i niestabilność strony internetowej.

W zależności od stopnia krytyczności podatności z reguły wyróżnia się 5 poziomów, które określają stan, w jakim ten moment istnieje zasób sieciowy (tabela 1). Zazwyczaj atakujący, w oparciu o swoje cele i kwalifikacje, próbują zdobyć przyczółek na zhakowanym zasobie i zamaskować swoją obecność.

Zhakowanie witryny nie zawsze może zostać rozpoznane przez zewnętrzne znaki (przekierowania mobilne, odsyłacze spamowe na stronach, banery innych osób, zniekształcenie itp.). Gdy witryna zostanie naruszona, te zewnętrzne znaki mogą nie być obecne. Zasób może działać normalnie, bez przerw, błędów i umieszczania na czarnej liście przez programy antywirusowe. Ale to nie znaczy, że strona jest bezpieczna. Problem w tym, że bez przeprowadzenia audytu bezpieczeństwa trudno zauważyć fakt hakowania i pobierania skryptów hakerskich, a same powłoki webowe, backdoory i inne narzędzia hakerskie mogą być hostowane przez dość długi czas i nie być wykorzystywane zgodnie z ich przeznaczeniem . Ale pewnego dnia nadchodzi ten moment i zaczynają być poważnie wykorzystywane przez atakującego, w wyniku czego właściciel witryny ma problemy. W przypadku spamu, umieszczania stron phishingowych, witryna jest blokowana na hostingu (lub niektóre funkcje są wyłączone), a pojawianie się przekierowań lub wirusów na stronach jest obarczone zakazem programów antywirusowych i sankcjami od Wyszukiwarki. W takim przypadku konieczne jest pilne „wyleczenie” strony, a następnie zabezpieczenie przed włamaniami, aby fabuła się nie powtórzyła. Często zwykłe programy antywirusowe nie rozpoznają niektórych rodzajów trojanów i powłok internetowych, przyczyną tego mogą być przedwczesne aktualizacje lub nieaktualne oprogramowanie. Sprawdzając zasób sieciowy pod kątem wirusów i skryptów, należy użyć programy antywirusowe różne specjalizacje, w tym przypadku trojan nie znaleziony przez jeden program antywirusowy może zostać wykryty przez inny. Rysunek 1 przedstawia przykład raportu ze skanowania oprogramowania antywirusowego, należy tutaj zauważyć, że inne programy antywirusowe nie były w stanie wykryć złośliwego oprogramowania.

Trojany, takie jak „PHP/Phishing.Agent.B”, „Linux/Roopre.E.Gen”, „PHP/Kryptik.AE” są wykorzystywane przez atakujących do pilot komputer. Takie programy często infiltrują witrynę poprzez e-mail, darmowe oprogramowanie, inne strony internetowe lub pokój rozmów. Przez większość czasu taki program działa jak: przydatny plik. Jest to jednak złośliwy trojan, który zbiera dane osobowe użytkowników i przekazuje je atakującym. Ponadto może automatycznie łączyć się z niektórymi witrynami i pobierać do systemu inne rodzaje złośliwego oprogramowania. Aby uniknąć wykrycia i usunięcia, „Linux/Roopre.E.Gen” może wyłączyć funkcje bezpieczeństwa. Ten trojan został opracowany przy użyciu technologii rootkit, która pozwala mu ukrywać się w systemie.

  • PHP/WebShell.NCL to trojan, który może wykonywać różne funkcje, takie jak usuwanie pliki systemowe, pobieranie złośliwego oprogramowania, ukrywanie istniejących komponentów lub pobranych danych osobowych i innych danych. Ten program może ominąć ogólną kontrolę antywirusową i przeniknąć do systemu bez wiedzy użytkownika. Ten program zdolny do zainstalowania backdoora dla zdalnych użytkowników w celu przejęcia kontroli nad zainfekowaną witryną. Za pomocą tego programu atakujący może szpiegować użytkownika, zarządzać plikami, instalować dodatkowe oprogramowanie i kontrolować cały system.
  • „JS/TrojanDownloader.FakejQuery. A" - trojan, którego głównym celem ataków są strony stworzone przy użyciu CMS „WordPress” i „Joomla”. Gdy atakujący włamuje się na stronę internetową, uruchamia skrypt, który naśladuje instalację wtyczek WordPress lub Joomla, a następnie wstrzykuje złośliwy kod JavaScript do pliku header.php.
  • PHP/mały.NBK - jest złośliwa aplikacja co pozwala hakerom uzyskać zdalny dostęp do system komputerowy, umożliwiając im modyfikowanie plików, kradzież danych osobowych i instalowanie złośliwego oprogramowania. Tego typu zagrożenia, zwane końmi trojańskimi, są zwykle pobierane przez atakującego lub pobierane przez inny program. Mogą również pojawić się w związku z instalacją zainfekowanych aplikacji lub gier online, a także podczas odwiedzania zainfekowanych witryn.

Niestety, skrypty hakerskie nie są wykrywane przez zewnętrzne znaki ani przez zewnętrzne skanery. Dlatego ani programy antywirusowe wyszukiwarek, ani oprogramowanie antywirusowe zainstalowane na komputerze webmastera nie zgłaszają problemów z bezpieczeństwem witryny. Jeśli skrypty zostaną umieszczone gdzieś w katalogach systemowych witryny (nie w katalogu głównym i nie w obrazach) lub wstrzyknięte do istniejących skryptów, również nie zostaną przypadkowo zauważone.

Rysunek 1. Przykład raportu skanowania antywirusowego

Dlatego poniższe zalecenia mogą być niezbędnymi środkami ochrony zasobów sieciowych:

  1. Regularny utworzyć kopię zapasową cała zawartość system plików, bazy danych i dzienniki zdarzeń (pliki dziennika).
  2. Regularna aktualizacja systemu zarządzania treścią do najnowszej stabilnej wersji CMS (system zarządzania treścią).
  3. Używanie skomplikowanych haseł. Wymagania dotyczące hasła: hasło musi mieć co najmniej osiem znaków, a podczas tworzenia hasła należy używać wielkich i małych liter oraz znaków specjalnych.
  4. Obowiązkowe korzystanie z dodatków lub wtyczek zabezpieczających w celu zapobiegania atakom, takim jak atak XSS lub wstrzyknięcie SQL.
  5. Korzystanie i instalacja dodatków (wtyczek, szablonów lub rozszerzeń) musi odbywać się wyłącznie z zaufanych źródeł lub oficjalnych witryn programistów.
  6. Skanowanie systemu plików przynajmniej raz w tygodniu za pomocą programów antywirusowych i korzystanie z aktualnych sygnatur baz danych.
  7. Zapewnić wykorzystanie mechanizmu CAPTCHA w celu ochrony serwisu przed włamaniami typu brute force podczas autoryzacji i wprowadzania danych w dowolnej formie żądań (formularz opinia, wyszukiwanie itp.).
  8. Ogranicz możliwość logowania do administracyjnego panelu sterowania witryny po określonej liczbie nieudanych prób.
  9. Poprawnie skonfiguruj politykę bezpieczeństwa serwisu poprzez plik konfiguracyjny serwera WWW z uwzględnieniem takich parametrów jak:
  • ograniczyć liczbę adresów IP używanych przez administratora w celu uzyskania dostępu do administracyjnego panelu sterowania witryny, aby uniemożliwić dostęp do niej z nieautoryzowanych adresów IP;
  • uniemożliwić transmisję jakichkolwiek tagów w jakikolwiek inny sposób niż dekorowanie tekstu (na przykład p b i u), aby zapobiec atakom XSS.
  1. Przenoszenie plików zawierających informacje o dostępie do bazy danych, dostępie do FTP itp. z katalogów domyślnych do innych, a następnie zmiana nazw tych plików.

Nawet niedoświadczony haker może łatwo zhakować witrynę w Joomla, jeśli nie zapewniłeś ochrony. Niestety, często webmasterzy odkładają ochronę przed włamaniami na strony na później, uważając, że nie jest to kwestia pierwszej konieczności. Przywrócenie dostępu do Twojej witryny zajmie znacznie więcej czasu i wysiłku niż podjęcie kroków w celu jej ochrony. Bezpieczeństwo zasobu sieciowego to zadanie nie tylko dla dewelopera i hostera, który zobowiązany jest zapewnić maksymalne bezpieczeństwo serwerów, ale także dla administratora strony.

Istnieje wiele opcji ataków na zasób sieciowy, a także konsekwencji tych ataków. I jak zawsze cele są tylko dwa – sława z banalną radością z pokazywania własnych możliwości oraz wszechobecna korzyść, przejawiająca się w postaci bezpośrednich lub pośrednich korzyści materialnych, czyli pieniędzy. Więc jakie jest zagrożenie? Oto przykład najczęstszych ataków na strony internetowe:

  • podstawienie strona główna strona internetowa jest jedną z najczęstszych form hakowania. Zamiast zwykłej treści na okładce strony będzie się pokazywać wszystko – od nazwiska złośliwego hakera po banalne obelgi.
  • Usunięcie systemu plików - wszystkie informacje po prostu znikają, co staje się awarią, jeśli nie ma zapisanej kopii zasobu. Warto zauważyć, że baza haseł klientów, a także inne dane o krytycznej wartości również mogą zostać utracone.
  • Podmiana informacji – atakujący mogą podmienić telefon lub inne dane organizacji. W takim przypadku Twoi klienci automatycznie stają się klientami atakujących.
  • Umieszczenie trojanów - w tym przypadku najprawdopodobniej nie zauważysz wizyty hakera, przynajmniej wszystko będzie w tym celu skierowane. Złośliwe oprogramowanie może wykonywać różne funkcje - przekierowywać na stronę intruzów, wykradać dane osobowe klientów, infekować odwiedzających wirusami i tak dalej.
  • Wysyłanie spamu — Twoja witryna może być wykorzystywana do wysyłania spamu, w którym to przypadku Twoja „prawdziwa” korespondencja nie dotrze do adresata, ponieważ domena Twojej organizacji zostanie niemal natychmiast wpisana do scentralizowanej bazy danych spamerów.
  • Tworzenie dużego obciążenia - wysyłanie celowo niepoprawnych żądań na adres serwera WWW lub inne działania z zewnątrz, które spowodują utrudniony dostęp do strony lub awarię systemu operacyjnego serwera. Ten rodzaj ataku jest bardzo rozpowszechniony w Internecie.

Skutkiem wszystkich tego typu ataków jest nie tylko chwilowe zaprzestanie działania zasobu, ale także utrata zaufania do serwisu w oczach klientów. Użytkownik zainfekowany złośliwym kodem w Twoim zasobie lub przekierowany z Twojej witryny na witrynę o podejrzanej zawartości prawdopodobnie nigdy nie odważy się ponownie wpisać Twojego adresu w przeglądarce.

Co robić?

Kwestię bezpieczeństwa serwisu można zadać już na etapie tworzenia. Jest wiele Systemy CMS(Content Management System – system zarządzania treścią), który jest szablonem ułatwiającym zarządzanie i rozwój serwisu. Całą gamę systemów CSM można podzielić na otwarte (darmowe) i zastrzeżone. Wśród otwartych możemy wyróżnić Drupala, Mambo, Joomla i Typo3, wśród płatnych - 1C-Bitrix, NetCat, Amiro.CMS. Wszystkie są mniej lub bardziej bezpieczne, mają szereg zalet i wad. Więc jaki CMS wybrać? Oczywiście kwestia ta jest rozważana w każdym konkretnym przypadku, jednak statystyki pokazują, że w Rosji zdecydowana większość studiów internetowych, które wykorzystują programowanie stron trzecich do tworzenia witryn, korzysta z produktu 1C-Bitrix. Za tym stoi kilka czynników:

  • Łącząc się z 1C, Bitrix stał się nieoficjalnie krajowym standardem tworzenia stron internetowych w oparciu o CMS.
  • 1C-Bitrix posiada certyfikat bezpieczeństwa firmy Positive Technologies (o którym będzie mowa później), potwierdzający odporność systemu na wszystkie rodzaje znanych ataków na aplikacje internetowe.
  • 1C-Bitrix to obecnie najbardziej obiecujący system CMS na rynku rosyjskim, wykazujący najlepsze tempo wzrostu.
  • Funkcjonalność produktu wystarcza do tworzenia rozbudowanych witryn korporacyjnych, portali informacyjnych i referencyjnych, sklepów internetowych, serwisów medialnych, a także do tworzenia niemal każdego innego rodzaju zasobów internetowych.

Tworzenie witryn opartych na 1C-Bitrix, a także przenoszenie istniejących zasobów do silnika produktu, to jedna z opcji rozwiązania szeregu problemów bezpieczeństwa, przede wszystkim luk w zabezpieczeniach, które zostaną omówione później.

Witryna została już stworzona - czy jest podatna na ataki?

Sprawdzanie istniejącego zasobu internetowego pod kątem luki jest bardzo pracochłonnym zadaniem. Proces nie ogranicza się do bezpośredniego skanowania – strona wciąż wymaga przeróbek, dziury zatkane, a szereg problemów będzie trzeba rozwiązać po stronie dostawcy. A więc skanery luk w zabezpieczeniach.

Skanery podatności- ten programy specjalne zaprojektowany do analizy bezpieczeństwa sieci poprzez skanowanie i sondowanie zasoby sieciowe i zidentyfikować ich słabe punkty. Mówiąc najprościej, skaner wyszukuje typowe luki i dziury w zabezpieczeniach, ułatwiając tym samym życie nie tylko właścicielom stron internetowych, ale także hakerom. Wszystkie skanery podatności można podzielić w zależności od metody pracy na 3 grupy:

  • Lokalny - instalowany bezpośrednio na sprawdzanym węźle i zapewniający wysoką niezawodność. Praca w imieniu rachunek z maksymalnymi uprawnieniami i korzystaj tylko z jednej metody wyszukiwania podatności - porównywania atrybutów plików.
  • Pasywne - wykorzystują ruch sieciowy jako źródło danych, jednak w przeciwieństwie do ruchu sieciowego pozwalają zminimalizować wpływ skanera na podatności. Obecnie nie są rozpowszechnione, ale wyglądają bardzo obiecująco.
  • Sieć - najpopularniejsza dzisiaj. Przeprowadzaj kontrole zdalnie, łącząc się za pośrednictwem usług sieciowych.

Istnieje wielu producentów skanerów podatności, jest wiele recenzji i testów podkreślających produkt konkretnej firmy. Oto niektóre z najpopularniejszych skanerów: Nessus, XSpider, IBM Internet Scanner, Retina, Shadow Security Scanner, Acunetix, N-Stealth.

XSpider (zastąpiony przez MaxPatrol) to skaner rosyjskiego producenta Positive Technologies. Ma naprawdę obszerną listę funkcji - analiza heurystyczna i określenie typu serwerów, pełne skanowanie portów i mapowanie usług, sprawdzanie standardowe hasła, analizy iniekcji SQL, ataki XSS i prawie codzienne aktualizacje luk w zabezpieczeniach. W porównaniu z konkurencją skaner wykazuje lepszą identyfikację usług i aplikacji, dzięki czemu zapewnia coraz dokładniejsze wykrywanie luk przy minimalnym odsetku fałszywych alertów. Produkt jest jednym z najlepsze rozwiązania nie tylko na rosyjskiej, ale i światowej scenie, więc postanowiliśmy go wyróżnić.

Co należy zmienić?

Zabezpieczanie zasobu internetowego to proces, który łączy pewien zestaw działań. Istniejący system jest najpierw sprawdzany pod kątem bezpieczeństwa, a następnie określa się szereg środków i prac, które należy wykonać w celu osiągnięcia tego bezpieczeństwa. Mogą to być usługi programistów, którzy rozwijają lub optymalizują witrynę, oraz usługi inżynierów, którzy rozwiązują problemy techniczne i oczywiście pewien zestaw środków organizacyjnych. Wszystko zależy od chęci i możliwości klienta.

Powiązana zawartość:

  1. Jak przywrócić stronę w Odnoklassnikach po usunięciu?
  2. Co i jak mam zrobić, gdy muzyka nie jest odtwarzana na komputerze?
  3. Jak oznaczyć osobę na zdjęciu VKontakte Jak oznaczyć autora na zdjęciu VKontakte
  4. Informacje biograficzne w mapach Briana