XS
SM
MD
LG
Державний університет інформаційно-комунікаційних технологій

(Державний університет телекомунікацій)


Адреса:
03110, Україна
м. Київ, вул. Солом'янська, 7
Контактна інформація:
Державний університет інформаційно-комунікаційних технологій

(Державний університет телекомунікацій)

Про практику із дослідження захищеності ВЕБ-додатків у спеціальних, тестових лабораторіях – на кафедрі УІКБ

10:48, 08-06-2020

На кафедрі “Управління інформаційною та кібернетичною безпекою” (УІКБ) приділяється постійна увага вивченню результатів наукових досліджень по підвищенню захищенності   інформаційної та кібернетичної безпеки  комп'ютерних систем і  упровадженню їх в навчальний процес.

Мистецтво розробки додатків повинне супроводжуватись умінням організувати щоденні операції для підтримки роботи цих додатків. Через відкритий доступ до керування web-додатком, кількість хакерських атак на такі програми дуже велика.

У багатьох організація Web-додатки використовуються як критично важливі системи, які повинні щодня обслуговувати багатомільйонні транзакції. Однак справжня цінність Web-сайтів повинна оцінюватися на основі потреб кожної організації.

Створення класифікації загроз безпеки Web-додатків є важливою подією для розробників додатків, фахівців у галузі безпеки, виробників програмних продуктів та інших сторін, які займаються безпекою Web. На основі класифікації надалі можуть бути створені методики обстеження додатків, рекомендації з розробки додатків з урахуванням безпеки, вимоги до продуктів і служб.

Визначення версій додатків використовується зловмисником для отримання інформації про використовувані сервером і клієнтом операційних систем, Web-серверів  і браузерів. Зазвичай подібні атаки здійснюються шляхом аналізу різної інформації, що надається Web-сервером, наприклад:

  • Особливості реалізації протоколу HTTP;
  • Заголовки HTTP-відповідей;
  • Використовувані сервером розширення файлів (. Asp або. Jsp);
  • Значення Cookie (ASPSESSION і т.д.);
  • Повідомлення про помилки;
  • Структура каталогів і використовуване угоду про імена (Windows / Unix);
  • Інтерфейси підтримки розробки Web-додатків (Frontpage / WebPublisher);
  • Інтерфейси адміністрування сервера (iPlanet / Comanche);
  • Визначення версій операційної системи.

Сьогодні на сайтах, присвячених інформаційній безпеці, постійно з'являються повідомлення про виявлення нових вразливостей в програмному забезпеченні веб-серверів. Варто відзначити, що чим популярніше те чи інше програмне забезпечення, тим частіше для нього знаходять нові уразливості. Веб-сервери постійно піддаються безлічі самих різноманітних небезпек. Причому найсерйознішу загрозу становлять для них хакери і віруси.

Для визначення версій клієнтських додатків зазвичай використовується аналіз HTTP-запитів (порядок слідування заголовків, значення User-agent і т.д.).

Уразливості веб-додатків є одним з найбільш важливих моментів при аналізі та оцінці ступеня безпеки при тестуваннях на проникнення у комп'ютерні системи. Деякі області такого тестування вимагають наявності домашньої мережі або комп'ютера для проведення тестування, але створення тестового веб-сайту для вивчення безпеки веб-додатків і вимагає трохи іншого підходу. Для вивчення проблем злому веб-додатків і для створення безпечного тестового оточення дуже добре підходить інструмент, який називається OWASP Juice Shop.

Глибина і різноманітність веб-технологій надають хакерам безліч цілей для атак. Існує велика кількість мов розмітки, за допомогою якої створюють графічну складову веб-сайтів, скриптові мови, що обробляють взаємодію з «фронтендом» (призначеним для користувача інтерфейсом), мови, що керують даними на «бекенді» (з боку сервера), системи управління базами даних, серверні технології, які роблять так, щоб сайти в Інтернеті були завжди онлайн. У кожної з цих складових є свої уразливості і кожну з них можна використовувати.

Одним з найпростіших способів початку аналізу веб-додатка є перегляд HTML-коду конкретної сторінки.

Для цього потрібно скористатися функцією «Переглянути вихідний код сторінки» вашого веб-браузера. Зазвичай вона доступна в розділі «Інструменти розробника» або в аналогічному меню. Нижче наведено один приклад такого роду. Тут сам HTML-код не надає нам ніяких можливостей для атаки, але ось список JavaScript-файлів, на які посилається сторінка в тегах «script», говорить нам про те, що «під капотом» сайту використовується деяка функціональність, що дає можливість для атаки.

Далі в коді можна помітити посилання на інші сторінки. Деякі з них показані в головному меню сторінки, але інші, такі як сторінка «score-board» - ні.

Виявлення такого посилання може допомогти подальшому розумінню структури веб-сайту, а також допоможе виявити вразливості, які повинні були бути закритими.

Розглянуті питання використовуються в навчальних дисциплінах кафедри: “Аудит систем захисту інформації”, “Організаційне забезпечення захисту інформації”, “Управління безпекою інформаційних мереж”.

Наступного разу у новинах планується ознайомлення із рекомендаціями по використанню Score Board, аналізу JavaScript коду та провокуванні помилок у роботі веб-додатку для виявлення нових вразливостей.

Важливе попередження: використовуйте отримані знання лише з добрими намірами!

Довідка

Веб-додаток (часом називають  - оглядач Інтернету) — додаток, в якому клієнтом виступає браузер, а сервером — вебсервер.

IIS (Internet Information Services, до версии 5.1 — Internet Information Server) — набір серверів для декількох служб Інтернету від компанії Microsoft. IIS поширюється з Windows NT. Основним компонентом IIS є веб-сервер, який дозволяє розміщувати  сайти в Інтернеті. IIS підтримує протоколи HTTP, HTTPS, FTP, POP3, SMTP, NNTP. За даними компанії Netcraft на червень 2015 року, майже 22 млн сайтів обслуговувалися веб-сервером IIS, що становить 12,32% від загального числа веб-сайтів.

Веб-сервер – називають як програмне забезпечення, яке виконує функції веб-сервера, так і безпосередньо комп'ютер, на якому це програмне забезпечення працює. Це сервер, який  приймає HTTP-запити від клієнтів, зазвичай веб-браузерів, і видає їм HTTP-відповіді і, як правило, разом з HTML-сторінкою, зображенням, файлом, медіа-потоком або іншими даними.

Клієнт - зазвичай веб-браузер, який передає веб-серверу запити на отримання ресурсів, позначених URL-адресами.

Ресурси - це HTML-сторінки, зображення, файли, медіа-потоки або інші дані, які необхідні клієнту. У відповідь веб-сервер передає клієнту запитані дані. Цей обмін відбувається по протоколу HTTP.

*******

Бажаєте дізнаватись про особливості вступу у 2024 році?
Підписуйтесь на спільноти спеціальності "125 Кібербезпека" кафедри Управління інформаційною та кібернетичною безпекою та першим отримуйте новини, сповіщення про важливі події, підготовчі курси, дні відкритих дверей та багато цікавого.
Читайте також

Про кафедру

Кафедра Управління інформаційною та кібернетичною безпекою

Отримати консультацію

Ваш запит на зворотній дзвінок отримає завідуючий кафедрою
Надіслати запит

Абітурієнту

Спеціалізація: Управління інформаційною безпекою

Фахівці з Управління інформаційною безпекою – це еліта інформаційної безпеки, менеджери безпеки інформації вищої ланки. Ці фахівці розуміються як з техничних питань захисту інформації, так й з питань організації роботи колективу, добре розуміють управлінські, законодавчі та економічні аспекти захисту інформації. До сфери специфічних знань та навичок спеціалізації відносяться: основні поняття кібернетичної безпеки, систем технічного захисту інформації, управління проектами, управління ризиками, нормативно-правова база діяльності, управління інцидентами, аудит інформаційної безпеки, інформаційне протиборство, менеджмент та психологія управління.

Спеціалізація: Управління інформаційною безпекою

Фахівці з Управління інформаційною безпекою – це еліта інформаційної безпеки, менеджери безпеки інформації вищої ланки. Ці фахівці розуміються як з техничних питань захисту інформації, так й з питань організації роботи колективу, добре розуміють управлінські, законодавчі та економічні аспекти захисту інформації. До сфери специфічних знань та навичок спеціалізації відносяться: основні поняття кібернетичної безпеки, систем технічного захисту інформації, управління проектами, управління ризиками, нормативно-правова база діяльності, управління інцидентами, аудит інформаційної безпеки, інформаційне протиборство, менеджмент та психологія управління.

Переглядів: 6 447