Забезпечення надійності веб-додатків

Размещено на http://www.allbest.ru/

Зміст

програмний конфігурація додаток захист

Вступ

1. Вразливість Web-додатків

1.1 Вразливості програмного забезпечення

1.2 Вразливості конфігурації

1.3 Вразливості власного програмного забезпечення

2. Проблема забезпечення надійності Web-додатків

3. Брандмауер WAF, як універсальний метод захисту Web-додатків

Висновки

Список використаної літератури

Вступ

Життя сучасного суспільства неможливе без постійного застосування інформаційних технологій. Технічний прогрес має одну неприємну особливість - у кожному його досягненні завжди криється щось, що обмежує його розвиток і на якомусь етапі обертає його досягнення не на користь, а на шкоду. Одним з відгалужень цієї особливості є проблема захисту інформації під час передачі у всесвітній мережі [1].

Кількість некваліфікованих веб-програмістів стрімко зростає. Разом з тим, високими темпами розвиваються загрози безпеки веб-сервісів. Актуальним завданням є знаходження нових форм та методів захисту веб-додатків від існуючих типів загроз.

Відомо чотири способи забезпечення надійності Web-додатків:

законодавчий спосіб (закони, нормативні акти, стандарти і т.п.);

адміністративний спосіб (дії загального характеру, що починаються керівництвом організації);

процедурний спосіб (конкретні заходи безпеки, що мають справу з людьми);

програмно-технічний спосіб (конкретні технічні заходи).

Аналіз останніх досліджень. За даними статистики WASC (Web Application Security Consortium), більше 13% сайтів можуть бути скомпроматовані повністю автоматично, 80 - 96% з яких мають високий ступінь вразливості, 86% - середній ступінь вразливості, 37% - низьку.

1. Вразливість Web-додатків

web -додатки постійно піддаються великій кількості різноманітних небезпек. Причому найбільшу загрозу становлять для web-додатків хакери і віруси. Хакери можуть отримати доступ до конфіденційної інформації, розміщеної на сервері, зламати сайти і підмінити їх вміст, а також вивести з ладу сервер за допомогою розподіленої атаки (DDoS-атака). Віруси ж, заражаючи web -додатки, перетворюють їх самих у розсадник вірусних інфекцій. Крім того, вони істотно сповільнюють його роботу, а також займають інтернет-канал.

До основних вразливостей web -додатків відносяться:

Повна відсутність перевірки вхідних даних (у web -формах будь-яких систем) або тільки часткова перевірка даних.

Некоректна обробка вхідних даних (нульовий байт, символи рівня директорій).

Переповнення буферу.

Необережна робота програми з файлами, у випадку коли ім'я файлу передається програмі ззовні (GET або POST).

Не врахування особливостей GET та POST запитів.

Некоректна робота з паролями (під час зберігання, передачі та обробки).

Неправильні права доступу.

Неправильні права програм на сервері.

Не врахування особливостей роботи програм завантаження файлів на сервер.

Некоректна логіка роботи web -програми, яка при деяких допустимих вхідних даних приводить до непередбачуваних наслідків.

Виведення інформації при помилках програми або доступу до Бази Даних, коли виводиться додаткова службова інформація, не призначена для сторонніх очей.

Некоректна робота за Базами Даних (паролі, виведення службової інформації, завищена кількість запитів до БД).

Вразливості недостатньої обробки вхідних даних при роботі з БД (SQL-injections).

Неоптимізований програмний код, котрий приводить до значних навантажень на web веб-сервер (при своїй звичайній роботі та особливо у випадку збою при передачі некоректних вхідних даних).

Вразливості web -додатків та систем до DoS та DDoS атак.

1.1 Вразливості програмного забезпечення

Безпека програмного забезпечення в широкому розумінні є властивістю даного програмного забезпечення функціонувати без різних негативних наслідків для конкретної комп'ютерної системи. Причини, що приводять до порушення безпеки, можуть бути різними: збої комп'ютерних систем, помилки програмістів і операторів, дефекти в програмах. При цьому дефекти прийнято розглядати двох типів: навмисні і ненавмисні. Перші є, як правило, результатом зловмисних дій, другі -- помилкових дій людини[2].

Вразливе місце -- це недолік програмного забезпечення, яким може скористатися зловмисник в своїх корисливих цілях. Вразливі місця в програмному забезпеченні, пов'язані з системною безпекою, варіюються від помилок в локальній реалізації і помилок міжпроцедурних взаємозв'язків до недоліків більш високого рівня, допущених на стадії проектування.

Помилка-- це похибка в програмному забезпеченні. Помилки програмного коду -- це недоліки на рівні реалізації. Для виявлення помилок використовуються програми сканування коду.

Прорахунок також є недоліком програмного забезпечення, але проблема тут визначається на глибшому рівні. Прорахунки за своєю природою є більш тонкими і непримітними недоліками, ніж прості очевидні помилки, наприклад, прорахунок може виявлятися у способі посилання на масив або у використанні потенційно небезпечного системного виклику. Прорахунок зазвичай пов'язують як з програмним кодом, так і з усім проектом.

Ще складніше ситуація з вразливими місцями, внесеними на рівні проекту. Для виявлення помилки на рівні проекту програми потрібен величезний досвід. Тому дуже складно знайти такі помилки і ще складніше автоматизувати процес цього пошуку. Помилки на рівні проектування найбільш поширені, проте їм приділяється найменша увага при оцінюванні безпеки програмного коду.

Не менш трагічно, коли на дефектний код "здійснюють напад". Справді, дефектний код -- це традиційне знаряддя, використовуване для злому комп'ютерів. Саме наслідки використання зловмисниками "дір" у програмному коді часто доводиться спостерігати, аналізуючи інциденти, пов'язані з порушенням комп'ютерної безпеки.

Важко виявити помилки в програмному забезпеченні, що впливають на правильне виконання завдання, але виявити помилки в системі безпеки ще важче[3].

Вразливості захисту можуть приводити до того, що одна програма може використовуватися для подолання обмежень захисту всієї системи в цілому.

1.2 Вразливості конфігурації

Вразливості можуть виникати із-за некоректного налаштування програмного забезпечення web-додатку. Фактично безпека будь-якої речі залежить від того, як її застосовувати. Те ж саме можна сказати і про web -додаток. Дуже багато залежить від того, як налаштоване його програмне забезпечення. Взагалі, переважна більшість web-додатків мають досить великий набір параметрів, що стосуються практично всіх аспектів його роботи. Таким чином, безпека багато в чому залежить від адміністраторів, що займаються їх обслуговуванням. Але не можна забувати, що адміністратори -- це люди. А це означає, що вони через свою неуважність, недостатню кваліфікацію чи ще з якихось причин можуть помилятися. І ці помилки можуть відкрити дорогу до web -сервера хакеру або вірусу.

Від некоректного налаштування не може допомогти установка патчів. І дійсно, при оновленні програмного забезпечення його конфігурація не змінюється. А це означає, що вразливість в системі захисту після інсталяції патча швидше за все залишиться. Таким чином, головною небезпекою розглянутого типу «дірок» є складність їх виявлення. Отже єдиний спосіб дійсно надійного захисту від таких вразливостей -- використання спеціальних сканерів безпеки. Ці програми за допомогою спеціальних методів досліджують захист web -додатків і знаходять потенційно небезпечні місця.

1.3 Вразливості власного програмного забезпечення

Сучасні web-додатки дуже часто служать своєрідною базою для виконання програм які написані власноруч користувачем. Тобто, це - скрипти, які працюють на більшості сучасних сайтів. Більшість мови web -програмування є серверними. А саме, скрипти, які написані на них, виконуються прямо на сервері, а на комп'ютер користувача відправляються тільки результати їх роботи. Це являється досить серйозною небезпекою[5].

Скрипти для сайтів досить часто виконуються не достатньо професіоналами в даній сфері. На багатьох web - додатках використовуються безкоштовно вживані програми або ж софт власного написання. Очевидно, у ньому теж можуть міститися уразливості. Причому деякі з них можуть бути дуже серйозними, що дозволяють зловмисникам дістати несанкціонований доступ до самого серверу. Причому потрібно враховувати, що деякі скрипти виконуються з підвищеними привілеями. Так що уразливості в них можуть виявитися гарною підмогою для хакерів.

Виявити «дірки» в скриптах можна за допомогою сканерів безпеки. Так що кожен власник web - додатку, дійсно піклується про безпеку свого сайту, повинен періодично перевіряти його. Причому слово «періодично» в попередньому реченні з'явилося зовсім не випадково. Справа в тому, що хакери постійно вигадують нові способи віддалених атак. Крім того, постійно виявляються нові «дірки» в оригінальному ПЗ, які можуть у поєднанні зі скриптами, які раніше вважалися безпечними, являти собою реальну загрозу.

2. Проблема забезпечення надійності Web-додатків

На надійність web-додатків істотно впливають відмови програмного забезпечення, що викликані випадковими і навмисними впливами на систему. Усунення причин таких відмов можливе тільки на етапі експлуатації системи при оновленні програмного забезпечення. Таким чином, актуальною задачею є пошук та розробка методів забезпечення заданих вимог до надійності web-додатків в умовах зовнішніх впливів і прояву несправностей апаратно-програмних засобів. Крім того, для об'єктивного визначення надійності необхідно визначити критерії по яких буде проводиться оцінювання надійності[6]. Для визначення показників надійності web - додатків необхідно провести аналіз таких властивостей системи:

призначення системи;

надійність функціонування;

ергономічність;

технологічність;

уніфікація.

Для забезпечення уніфікації процесу оцінювання надійності web-ресурсів пропонується скористатись рекомендаціями стандарту ISO 9126. При цьому необхідно визначити атрибути надійності web-додатку та показники конкретної сфери його використання. Визначивши показники надійності конкретного web-додатку пропонується відобразити їх на характеристику надійність моделі якості стандарту ISO 9126. Дана характеристика має ряд підхарактеристики, тому показники надійності відображаються на атрибути відповідних підхарактеристик і для кожного з них здійснюється вибір метрик[4]. Серед важливих критеріїв надійності web-додатку, можна відзначити наступні:

стійкість до відмов мережі;

стійкість до відмов сервера;

шифрування;

мережі та системи збереження даних.

Таким чином, при використанні запропонованого підходу можна здійснити оцінювання надійності web-додатку та одночасно забезпечити уніфікацію цього процесу та самих показників. Структуроване представлення моделі надійності дозволяє досить гнучко проводити реорганізацію та вносити зміни до атрибутів надійності.

3. Брандмауер WAF, як універсальний метод захисту Web-додатків

Web- додатки вимагають підвищеного захисту від хакинга і шахрайства. Актуальність проблеми забезпечення надійності web-додатків значо зростає, а більшість вразливостей, що існують на даний момент в даній сфері, пов'язані з помилками і недоліками, допущеними на етапі розробки сайту.

Таким чином, є необхідність забезпечення надійності web-додатків. Є декілька можливих варіантів забезпечення безпеки. Перший - навчити всіх web-програмістів основам безпеки при створенні сайтів, але даний спосіб не масштабується і важко реалізується з урахуванням темпів зростання кількості програмістів. Найбільш оптимальним варіантом є технологія WAF (Web Application Firewall)[7].

WAF - це міжмережевий екран, який накладає певний набір правил на те, як відбувається взаємодія сервера і клієнта, обробляючи HTTP-пакети. В основі лежить той же принцип, що й у звичайних фаєрволів - контроль і аналіз всіх пакетів, що надходять від клієнта. WAF спирається на набір правил, за допомогою якого виявляється факт атаки по сигнатурам - ознаками активності користувача, які можуть означати напад. Брандмауер інтернет-додатків ще називають третьою лінією оборони. У такій парадигмі першою лінією оборони є міжмережеві екрани, другий - системи IPS, і, нарешті третій - WAF.

Web Application Firewall поділяють на 2 типи: апаратний і програмний. Найбільшого поширення отримав другий зважаючи на більш просту реалізацію.

За принципом дії WAF можна розділити на три типи:

1. Реалізовані у вигляді зворотного проксі-сервера.

2. Працюючі в режимі маршрутизації / моста.

3. Вбудовані в web-додатки.

Висновки

Життя сучасного суспільства неможливе без постійного застосування інформаційних технологій. Технічний прогрес має одну неприємну особливість - у кожному його досягненні завжди криється щось, що обмежує його розвиток і на якомусь етапі обертає його досягнення не на користь, а на шкоду.

У web-середовищі проблема безпеки формулюється в такий спосіб: маємо вибирати між захищеністю інформації та її відкритістю. Хоча доцільніше говорити не про вибір, а про баланс, тому що закрита інформація не може бути використана

Web-додаток - це комп'ютерна програма, яка для роботи використовує браузер.

Web-додатки мають явні переваги перед своїми програмними аналогами це їх мобільність (можливість роботи з ними з будь-якого місця), простота в створенні та використанні (для роботи потрібен лише браузер, незалежно від встановленої операційної системи), тому ця технологія стрімко набуває популярності, як серед користувачів, так і серед розробників.

На сучасному етапі розвитку мережі Інтернет значно зросли вимоги до якості функціонування web-додатків, що обумовлює їх роботу в режимі постійної готовності. Забезпечення вимог високої надійності можливо за рахунок програмних та апаратних рішень із застосовуванням сучасних методів резервування апаратної і диверсифікації програмної компонент. Для програмних засобів таких систем характерна спіральна модель життєвого циклу, що передбачає їх модифікацію шляхом оновлення програмного коду для усунення дефектів, що не були виявлені на етапі тестування.

Список використаної літератури

1. Гринберг, А. С. Информационные технологии управления / А. С. Гринберг, Н. Н. Горбачев, А.С. Бондаренко. - М. : ЮНИТИ-ДАНА, 2004. 2. Юдін О.К., Корченко О.Г., Конахович Г.Ф. Захист інформації в мережах передачі даних. - К.: МК - Інтерсервіс., 2009,- 716 с.

3. Ярочкин В.И. Информационная безопасность: Учебник. - М.: Академический проект: Трикста, 2005.- 544 с

4. Захист веб-додатків [Електронний ресурс]. - 2010. - Режим доступу до ресурсу: http://www.ereading.club/bookreader.php/1012355/DJ-Andrey-sXe_- _Zaschita_veb-prilozheniy.html.

5. Основні методи тестування безпеки веб-додатків [Електронний ресурс]. - 2013. - Режим доступу до ресурсу: http://uastudent.com/osnovni-metody-testuvannja-bezpekyveb-dodatkiv/.

6. Седерхольм Д. Пуленепробиваемый Web-дизайн. Повышение гибкости сайта и защита от потенциальных неприятностей с помощью XHTML и CSS / Ден Седер- хольм, 2006. - 256 с. - (Школа Web-мастерства).

7. Жуков Ю.В. Основы веб-хакинга. Нападение и защита / Юрий Викторович Жуков, 2012. - 206 с

Размещено на Allbest.ru