Существует также возможность просмотреть товары, уже находящиеся в корзине или очистить корзину.

Рис. 3.5 - Переход в выбранную категорию

Информация о товаре следующая:

- фото товара;

- наименование товара;

- фирма-производитель;

- характеристики товара;

- цена за одну единицу товара, руб.;

- уникальный код товара в интернет-магазине.

Именно по уникальному коду товара клиент может добавить его в корзину.

Также на данной странице можно произвести отбор по фирме-производителю, список всех товаров, цена которых меньше указанной или по обеим характеристикам, а также всех товаров определенной подгруппы, входящей в выбранную группу (в данном случае, существует три подгруппы - компьютеры, ноутбуки, планшеты). В качестве примера можно привести выбор ноутбуков Acer (рис 3.6).

Рис. 3.6 - Выбор ноутбуков по заданному критерию отбора

Другой пример выбора планшетов по заданной цене (ниже 2500 руб.) приведен на (рис 3.7).



Рис. 3.7 - Выбор планшетов по заданному критерию отбора

Пример добавления трех планшетов фирмы Bravis с кодом товара 105 приведен на (рис 3.8). На этом рисунке показана корзина пользователя с выбранным товаром.

Рис 3.8 - Выбор товара в корзину

Пример полностью заполненной корзины приведен на (рис 3.9).



Рис. 3.9 - Заполненная корзина

Как видно, клиент выбрал три планшета, один смартфон и два домашних кинотеатра на общую сумму заказа 26608 руб.

Далее, по нажатию кнопки "Оформить заказ" происходит переход на форму оформления заказа, где вводятся данные о клиенте (логин, адрес, телефон) (рис. 3.10)

Рис. 3.10 - Оформление заказа

После этого, по нажатию кнопки "Подтвердить заказ" происходит подтверждение заказа (рис. 3.11).



Рис. 3.11 - Подтверждение оформления заказа

Стоит также отметить, что по нажатию кнопки "Очистить корзину" происходит очистка корзины и окно выглядит следующим образом (рис. 3.12):

Рис. 3.12 - Очистка корзины

Листинг модуля выбора категории товаров приведен в приложении 1, листинг модуля оформления заказа - в приложении 1, приложении 2.

3.2 Методика проведения аудита безопасности сайта

Проведение аудита безопасности будет проводиться при помощи различных сканеров безопасности, основные данные по которым представлены ниже.

WAPITI.

Приложение Wapiti является консольной утилитой для проведения аудита web-сайтов. Принцип действия утилиты основан на идее черного ящика, смысл анализа не в проверке исходного кода приложения, а в тестировании ответов сервера на различные сформированные запросы. Запросы строятся на базе стандартных и нестандартных методик атак на сайты, которые включают SQL-инъекции и XPath-инъекции, инъекции межсайтового скриптинга XSS, LDAP (протокол, проводящий операции аутентификации, удаления и изменения записей с использованием стека протоколов TCP/IP), CRLF(внедрение в код символов посредством использования стандартных разделителей CR и LF), (HTTP Response Splitting).

Также рассматриваются ошибки в обработке файлов, включая локальные и удаленные include, fopen, readfile, реальность работы команд (eval(), system(), passtru()).

Главное достоинство системы - проведение поиска уязвимостей не конкретного характера, а всех возможных.

Netsparker Community Edition.

Представляет собой утилиту, построенную в виде удаленного сканера по выявлению незащищенных разделов. Среди основных уязвимостей, поиск которых проводится утилитой Netsparker Community Edition стандарные:

- ошибки по проведению настройки веб-сервера;

- возможности по реализации межсайтового скриптинга;

- реальность запуска SQL-инъекций;

Использование утилиты возможно на стадиях разработки сайта, так как утилита позволяет тестировать как сам каталог сайта, так и скриптовое наполнение.

Отдельно, утилита проводит поиск на раскрытие служебной информации на сайте, это доступ к резервным копиям базы данных, адреса и телефоны пользователей, электронные адреса.

N-Stalker Web Application Security Scanner 2012.

Проверки данной утилиты строго ограничены базой N-Stealth Web Attack Signature Database, однако постоянное обновление этой базы в платных релизах утилиты дает широкий спектр возможностей по проверке сайта на уязвимость.

Skipfish.

Утилита позволяет проверять активные веб-приложения на возможность атаки и оценивает уровень безопасности приложения. Приложение работает как сканер сетевых утилит, разработано компанией Google. Реализует проверки на нестандартные атаки, среди которых SQL-инъекции, XPath -инъекции (язык манипуляций с данными документов XML). Принцип работы утилиты - рекурсивная проверка, построенная на базе словаря.

Проводя рекурсивное сканирование, утилита создает интерактивную карту сайта. В эту карту в процессе проверки постепенно, при необходимости, добавляются результаты проведения проверок.

Результатом работы становится создание отчета, содержащего рекомендации по построению безопасного сайта.

IBM Rational Appscan.

Данное приложение является одним из признанных лидеров на рынке программ, тестирующих WEB-сайты на предмет безопасности. Изначально, данный программный продукт разрабатывался фирмой WatchFire, затем он был куплен корпорацией IBM. Основным назначением приложения Appscan считается аудит WEB-приложений, хотя он обладает более чем десятком эвристических методов, которые способны помочь в корректном изучении каждого узла. При правильной настройке и конфигурировании это приложение дает возможность повысить уровень безопасности WEB-сайта предприятия. Работа приложения основывается на автоматическом поиске уязвимостей (от пользователя требуется только правильное задание интересующих его параметров, в чем поможет встроенный мастер настройки). Результат приложения выглядит как древовидная структура, показывающая как устроен сайт и его компоненты, подверженные разного рода уязвимостям.

Результат работы Appscan позволит увидеть уязвимые сценарии, которые будут распределены в соответствии с категорией уязвимостей. Список проверок на возможные категории уязвимостей, пожалуй, самый большой из программ такого уровня, а именно: Cross-Site Cripting, HTTP response splitting, Files Retrieval, backdoors/debug options, buffer overflows, SQL Injection, hidden field manipulation, Poison Null Byte, parameter tampering.

Программа позволяет увидеть отчет по возможным слепым инъекциям, кукисным инъекциям, инъекциям на странице авторизации. Следует отметить, что приложение сделает свои рекомендации по поводу параметра, который потенциально может быть подвержен эксплуатации.

Еще одним преимуществом Appscan является то, что приложение способно сканировать сложные программные продукты, содержащие большое количество Java Script / Ajax - кода, Adobe Flash вставок. Полезность программы заключается еще и в том, что в нее встроено порядка сорока готовых отчетов, позволяющих оценить разработанный сайт на соответствие требованиям стандартам безопасности данных ISO 17779, ISO 27001, PABP (Payment Application BestvPractices), BaseI II, SB 1386

Acunetix Web Security Scanner.

Данное приложение является тоже коммерческим сканнером, входящим в тройку лучших программ в этой области. Секрет его популярности состоит в наличии полностью автоматизированного сканнера уязвимостей. Работа программы делится на два этапа: вначале происходит исследование и формирование структуры сайта (при этом выполняется обработка всех найденных ссылок и сбор информации обо всех обнаруженных уязвимостях), затем осуществляется тестирование всех WEB-приложений с моделированием ввода данных в различных режимах: применение фаззера, подстановка разных параметров и сниппетов, помогающих в обнаружении брешей в защите. Приложение способно обнаруживать следующие типы уязвимостей: Cross site scripting, DQL Injection, CRLF Injection.

Специфика данного приложения заключается в наличии технологии AcuSensor. Для стандартных методов сканирования характерно использование анализа ответов, возвращаемых WEB-приложением на различные запросы. Благодаря этой технологии становится возможным проведение более глубокого тестирования (с учетом наличия исходных кодов программы). Здесь возможна комбинация стандартных механизмов сканирования с глубоким анализом кода, при этом информация о ходе выполнения программы подается в четкой и понятной форме. Результатом выполнения является не просто сведения о возможной уязвимости, а конкретная часть кода, в которой данная уязвимость найдена, с указанием номера строки, трейса стека и содержанием SQL-запроса, отправляемого серверу базы данных. На данный момент, технология AcuSensor доступна для приложений, основывающихся на PHP и NET.

3.3 Тестирование системы на устойчивость к атакам

Учитывая разноплановость представленных утилит, тестирования будет проводиться несколькими самыми популярными утилитами.

Утилита Netsparker Community Edition

Применение утилиты Netsparker Community Edition работает по следующей схеме: построение структуры сайта, проведение общей оценки сайта, указание выявленных проблем при тестировании.

Создание схемы сайта, на базе которой и указываются уязвимые места сайта (рис. 3.13).



Рис. 3.13 - Структура сайта в Netsparker Community Edition

Выделение описания основных параметров сайта на основе заголовков страниц (рис. 3.14).

Рис. 3.14 - Структура заголовка сайта с указанием систем

Глобальная оценка безопасности сайта, представленная на (рис. 3.15).



Рис. 3.15 - Общий вид отчета по тестирования пробного сайта в Netsparker Community Edition

Результаты проверки указывают на наличие:

- критических ошибок - 33;

- среднего уровня важности, но не приводящих к изменениям структуры сайта - 2;

- низкого уровня - 5.

Каждая из ошибок отмечена соответствующим цветом. Все найденные прорехи для проведения атак отмечены в отчете (рис. 3.16), который указывает на наличие критической ошибки в уязвимости к SQL-инъекциям, даже к слепым, проведенным без настройки (рис. 3.17).

Кроме этого, отмечено, что пользователем получающим доступ к базе данных является администратор, что упрощает вход на сервер. Однако, само тестирование проводится на сервере (используется адрес http://localhost/Inet_Shop/), поэтому в этом смысле тестирование не совсем объективное.

Далее в пункте 3.3 будут указаны пути решения этой проблемы.



Рис. 3.16 - Список найденных проблем Netsparker Community Edition

Рис. 3.17 - Список, подтвержденных и прошедших SQL-инъекций

В качестве основных прорех в структуре построения связи с базой данных указаны незакрытые запросы, использование таких запросов должно проводится с использованием фильтров.

Рис. 3.18 - Указание на проведение инъекции через запрос



Рис. 3.19 - Параметры, для которых были проведены слепые SQL-инъекции

Распределение каждой найденной уязвимости можно просмотреть с ее описанием в развернутом отчете по тестированию сайта (рис. 3.20).

Рис. 3.20 - Список найденных проблем Netsparker Community Edition, распределенных по страницам сайта

N-Stalker Web Application Security Scanner 2012

Работа утилиты по проверке сайта на наличие проблемных мест для проведения атак привела к следующим результатам.

Выделена, общая структура сайта (рис. 3.21)



Рис. 3.21 - Структура сайта, выделенная N-Stalker

Базовой проблемой N-Stalker считает уязвимость php сервера в противоположность предыдущей утилите, которая считает, что наиболее опасны SQL-инъекции.

Рис. 3.22 - Информация о технологии разработки сайта N-Stalker

И в результате, предлагается обновить версию php 5.5.24 (рис. 3.22), до обновленной версии 5.6.10. (рис. 3.23)



Рис. 3.23 - Наиболее критичная проблема с точки зрения N-Stalker

Кроме этого, следующий по критичности - веб-сервер.

Рис. 3.24 - Информация об установленном веб-сервере N-Stalker

Рис. 3.25 - Критичная проблема на веб-сервере по мнению N-Stalker

Функция lua_websocket_read в lua_request.c в модуле mod_lua в HTTP-сервера Apache 2.4.12 позволяет удаленным злоумышленникам вызвать отказ в обслуживании, отправив созданный WebSocket Ping кадр как сценарий Lua wsupgrade.

Как особенно важным пробелом защиты N-Stalker определяет то, что сайт сразу выдает версию установленного программного обеспечения, что приведет к информированию злоумышленников и даст дополнительные возможности по разработке атак (рис. 3.25). Как уже говорилось, тестирование проводится на основе локального сервера, поэтому доступ к элементам программного обеспечения смоделированные атаки имеют более открытый, чем доступ через развертывание в браузере. Тем более, что сам тестовый сайт как раз и расположен в разделе Apache 2.4.

Рис. 3.26 - Информирование злоумышленника о версиях программного обеспечения N-Stalker

Полностью результаты тестирования утилитой N-Stalker выглядят следующим образом (рис. 3.27)

Рис. 3.27 - Общий вид результатов тестирования в N-Stalker

IBM Rational AppScan

IBM Rational AppScan является лидером среди утилит по тестированию веб-сайтов на уязвимость, проверка этой утилитой и устранение проблем найденных в процессе проверки сильно повышает уровень защищенности сайта.

Структура сайта, просмотренная утилитой IBM Rational AppScan представлена на (рис. 3.28)

Рис. 3.28 - Структура сайта в IBM Rational AppScan

Утилита провела сканирование на скрытые директорий и в результате выявлены следующий директории (рис. 3.29)



Рис. 3.29 - Структура сайта в IBM Rational AppScan

Попытка получить доступ к скрытым директориям определяет еще общий вариант пробной атаки на сайт (рис. 3.30, рис. 3.31).

Рис. 3.30 - Попытка получить доступ к скрытым директориям в IBM Rational AppScan



Рис. 3.31 - Результат выполнения попытки получения доступа к скрытым директориям в IBM Rational AppScan

Acunetix Web Security Scanner

Проверка, как и в предыдущих утилитах, начинается с построения структуры сайта (рис. 3.32).

Рис. 3.32 - Структура сайта, построенная в Acunetix Web Security Scanner

Основные выявленные проблемы, на которые следует обратить внимание, это SQL---инъекции, в этом смысле результаты тестирования очень похожи на тестирование в Netsparker Community Edition, однако найдено различное количество пробелов (рис. 3.33).

Рис. 3.33 - Основные проблемы, выделенные в Acunetix Web Security Scanner

Примеры проблем, которые просмотрены разработчиком сайта представлены на (рис. 3.34).

Рис. 3.34 - Проблемы, выделенные как слепые SQL-инъекции в Acunetix Web Security Scanner

Возможной получилась атака, через внедрение в SQL инструкцию:

URL encoded POST input S_Address was set to (select(0)from(select(sleep(0)))v)/*'+(select(0)from(select(sleep(0)))v)+'"+(select(0)from(select(sleep(0)))v)+"*/

Другие найденные проблемы связаны с разглашением служебной информации (рис. 3.35), однако в данном случае эта информация таковой не является и от пользователя сайта не требуется предоставления полных персональных данных, включающих номер платежной карты и т.п. (рис. 3.35).

Рис. 3.35 - Проблемы разглашения служебной информации, выделенные в Acunetix Web Security Scanner

Найденные межсайтовые атаки или межсайтовые подделки запросов, которые используют пробелы в протоколе типа http, решение этих проблем достаточно сложное, основным решением является передача ключа с каждым запросом пользователя к базе данных через сайт.

Рис. 3.36 - Проблемы использования незащищенного протокола, выделенные Acunetix Web Security Scanner

Глобальная оценка сайта представлена на рис. 3.37, и отражает необходимость проведения коррекции в отношении защиты от SQL-инъекций (рис. 3.36).



Рис. 3.37 - Глобальная оценка сайта в Acunetix Web Security Scanner

Проведенный аудит включал использование четырех разноплановых тестовых систем. Результаты проверки выявили различия в заявленных брешах безопасности сайта.

Утилита Netsparker Community Edition провела наиболее полную проверку сайта на наличие проблем в области SQL-инъекций. Утилита N-Stalker использовалась для оценки уязвимости php сервера и также выявила определенные проблемы. IBM Rational AppScan провела пробный запрос для получения доступа к скрытым директориям и получила отказ, следовательно, эта проблема на уровне проверки утилиты отсутствует на сайте. Межсайтовые атаки или межсайтовые подделки запросов проведены с помощью утилиты Acunetix Web Security Scanner, которая используют пробелы в протоколе типа http.

Проведенный анализ показал не только разнонаправленность систем проверки сайта, но и различный уровень этих систем относительно выявленных проблем. Поэтому, методика проведения аудита безопасности сайта должна включать проверку базовых направлений, тестирование каждого из которых проводиться разными утилитами, предлагается использование как минимум четырех утилит, которые выявляют:

- SQL-инъекции;

- проблемы с php сервером;

- уровень защиты скрытых директорий;

- реализацию межсайтовых атак или межсайтовых подделок запросов, использующих пробелы в протоколе типа http.

- 3.4 Рекомендации по повышению уровня безопасности

На базе проведенного тестирования различными утилитами можно выделить основные направления, которые необходимо скорректировать для разработанного тестового сайта.

1. Исключение проблем связанных с php сервером, выявленных утилитой N-Stalker. Предлагается использование более новых версий программного обеспечения, в которых реализованы те 6хнологии защиты php сервера. В данном случае, необходимо обновить версию php 5.5.24 (рис. 3.22), до обновленной версии 5.6.10, согласно рекомендации утилиты N-Stalker. Проведение обновления версии php 5.5.24 на версию 5.6.10. в данном случае не является простой задачей, так как структуры языка php разных версий бывает очень разняться. Однако проведение такой замены в случае необходимости обязательно.

2. Обеспечение закрытости информации об установленном программном обеспечении, для снижения возможностей использования пробелом определенных версий программ. Проблема доступа злоумышленника к основной информации по программному обеспечению решается закрытостью соответствующих каталогов для доступа пользователей. В данном случае это не реализовано, так как сервер расположен локально.

3. Снижение уровня атак через структуры SQL и сервер MySQL Server 5.5. посредством разделения на группы пользователей и определения для каждой группы строго обозначенных разрешений по доступу к объектам и методам манипулирования объектами. Как базовую Netsparker Community Edition определяет проблему использования администратора сервера базы данных в качестве пользователя.

Решение этой проблемы возможно и на локальном сайте, тестирование которого производится в работе. Необходимо создать нового пользователя в базе данных Internetshop и предоставить ему доступ к необходимым таблицам и разрешить выполнение строго обозначенных запросов. В этом случае, проблема доступа через администратора отпадет.

4. Снижение числа реализованных SQL-инъекций посредством использования фильтров. В качестве основных прорех в структуре построения связи с базой данных указаны незакрытые запросы, использование таких запросов должно проводиться с использованием фильтров.

Для решения этого вопроса все параметры, используемые в построенные в SQL -запросах к базе данных необходимо снабдить функциями фильтрации, например:

mysql_real_escape_string

Кроме этого необходимо исключить передачу глобальных переменных или производить эту передачу с добавочными ключами, которые будут передаваться вместе с данными.

5. Закрытие персональной информации по пользователям системы и сотрудникам в случае оснащения сайта технологиями для работы с платежными системами для электронной оплаты товаров.

Выявленные элементы служебной информации утилитой Acunetix Web Security Scanner представляют информацию о пользователях и их телефонах. Доступ к этой информации в базе данных нужно закрыть для внешнего использования и разрешить пользователю просматривать только положенные ему таблицы, или собственную запись в таблице. Таким образом, проблема также решается введением нового пользователя с правами разграничения на просмотр и редактирование информации в базе данных.

Заключение

Основные результаты работы следующие:

1. Исследованы основные виды внутренних и внешних угроз, проведена классификация угроз по уровням.

2. Изучены основные методы обеспечения безопасности сайта.

3. Разработана методика проведения аудита безопасности сайта, включающая использование нескольких утилит по тестированию безопасности сайта. Выявлено, что методика проверки безопасности сайта принципиально зависит от построения его структуры и используемого программного обеспечения.

4. Доказано, что выбор одной утилиты, даже высокого качества не обеспечивает проверку по всем направлениям внешних и внутренних угроз. Проведенный анализ показал не только разнонаправленность систем проверки сайта, но и различный уровень этих систем относительно выявленных проблем. Поэтому, методика проведения аудита безопасности сайта должна включать проверку базовых направлений, тестирование каждого из которых проводиться разными утилитами, предлагается использование как минимум четырех утилит, которые выявляют:

- SQL-инъекции;

- проблемы с php сервером;

- уровень защиты скрытых директорий;

- реализацию межсайтовых атак или межсайтовых подделок запросов, использующих пробелы в протоколе типа http.

5. Предложены решения для всех выявленных проблем для модельного сайта, построенного c использованием трехзвенной архитектуры, включающей СУБД My SQL Server 5.5, веб-сервер Apache 2.4 и использующего язык php 5.5.24.

Список использованных источников

1. Ларионцева, Е.А. Проблемы и средства защиты информации. [Текст] / Е.А. Ларионцева // Наука и образование. - 2011. - № 4.- С. 83-87.

2. Атре, Ш. Структурный подход к организации баз данных. [Текст] / Ш. Атре Э. - М.: Финансы и статистика. - 2013. - 320 с.

3. Маглинец, Ю.А. Анализ требований к автоматизированным информационным системам. [Текст] : Учебное пособие / Ю.А. Маглинец. - СПб.: Бином. - 2012. - 200 с.

4. Щеглов А.Ю. Компьютерная безопасность. Вопросы комплексирования. Системный подход к построению системы защиты информации от несанкционированного доступа. [Электронный ресурс] - Режим доступа. - http://www.itsec.ru/articles2/Inf_security/voprosy-kompleksirovaniya. - Загл. с экрана.

5. Потапов, А.Е. Безопасность локальных баз данных на примере SQL SERVER COMPACT. [Текст] / А.Е. Потапов // Вестник Тамбовского университета. Серия: Естественные и технические науки. - 2014. - № 3.

6. Утебов, Д.Р. Классификация угроз в системах управления базами данных. [Текст] / Д.Р. Утебов // Вестник АГТУ. - 2014. - № 1.- с. 87-92.

7. Никсон, Р. Создаем динамические веб-сайты с помощью PHP, MySQL и JavaScript [Текст] / Р. Никсон - СПб.: ПИТЕР. 2012. - 342 с.

8. ГОСТ Р ИСО / МЭК 15408. [Электронный ресурс] : Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Режим доступа: http:www.fstec.ru, свободный. - Загл. с экрана.

9. Дейт, К. Дж. SQL и реляционная теория. Как грамотно писать код на SQL. [Текст] / Дж. К. Дейт. - М.: Символ-плюс. - 2010. - 474 с.

10. Кириллов, В.В. Введение в реляционные базы данных. [Текст] / В.В. Кириллов, Г.Ю. Громов. - Спб.: БХВ-Петербург, - 2009. - 464 с.

11. Кузин, А.В. Базы данных. [Текст] : Учебное пособие / А.В. Кузин, С.В. Левонисова. - М: Издательский центр "Академия", - 2012. - 320 с.

12. Комплексное решение для ВУЗов от Microsoft [Электронный ресурс] - Режим доступа: download.microsoft.com/documents/rus/education/.../. - Загл. с экрана.

13. Фомина, Т.Г. Интернет-магазин: понятие и виды [Электронный ресурс] / Т.Г. Фомина, А.С. Соколова. - 2014. - Режим доступа: http://cyberleninka.ru/article/n/internet-magazin-ponyatie-i-vidy. - Загл. с экрана.

Размещено на Allbest.ru