Информационная безопасность

Информационная безопасность
JayaDigital

Информационная безопасность

Вот список наиболее часто использующихся уязвимостей веб-сайтов:
1. SQL-инъекции
Беда для любых веб-приложений, использующих базу данных. SQL-инъекция – это внедрение в запрос произвольного SQL-кода, который дает возможность атакующему сделать запрос к базе данных (прочитать, поменять или даже стереть находящиеся там данные). Популярность SQL-инъекции определяется ее простотой (хакеру нужен только веб-браузер да знание SQL) и надежность, так как против SQL-инъекции не помогут брандмауэры и другие средства защиты. Причина этого в том, что хакер использует открытый канал, применяющийся для работы с обычными пользователями. Защита от SQL-инъекции осуществляется через фильтрование входных параметров, значения которых будут использованы для построения SQL-запроса. Таким образом, канал оставляется открытым для обычных запросов, а вот вредоносные уже не пройдут.
2. XSS (c англ. Cross Site Sсriрting — «межсайтовый скриптинг», «X» здесь вместо «C» во избежание путаницы с CSS – каскадными таблицами стилей)
Этот популярный тип хакерских атак отличается тем, что злоумышленники, вместо непосредственной атаки сервера, используют уязвимый сервер в качестве средства атаки на пользователей сайта. Например, можно внедрить в страницу произвольный html-код и тем самым получить логин и пароль пользователя. Понятно, чем это грозит. Уязвимость возникает, если фильтрация вводимых символов организована некорректно или вообще отсутствует.
Также, можно разделить уязвимости XSS на два типа: пассивные и активные:
  • Пассивным XSS для активации необходимо  какого-либо действие от пользователя-жертвы. Например, тот должен самостоятельно зайти на предложенную ему ссылку, и тогда злоумышленник получит доступ к его данным.
  • Активная же XSS работает всегда, достаточно зайти на уязвимую страницу и код выполнится автоматически.
Соответственно, активные XSS гораздо опаснее пассивных.
3. Google-взлом
Термином «Google-взлом» описываются методы, использующие поисковые системы для поиска и использования уязвимостей сайтов. Вводя определенные запросы в строку поиска Google, злоумышленник может легко получить различную информацию с уязвимого сайта – например, пароли, или данные об уязвимостях. Поэтому за Google-атакой часто следует еще одна, уже через найденную уязвимость. Впрочем, от Google-взлома можно защититься, нужно только правильно ограничивать доступ к страницам, особенно для «роботов» Google.
4. Инъекция кода
Очень опасный метод, позволяющий выполнять системные команды на сервере. Если входные параметры принимаются и используются без проверки, то злоумышленник может «присоединить» свою команду, которую и выполнит сервер. Успешно проведенная атака раскрывает перед злоумышленником очень широкие возможности: обход механизма аутентификации, выполнение команд на сервере, чтение и запись файлов, и т.д.
5. Отслеживание директорий
Уязвимости типа «отслеживание директорий» («Directory traversal») могут позволить злоумышленнику получить несанкционированный доступ к файловым ресурсам сервера в обход установленных правил разграничения доступа. Чаще всего уязвимость кроется в недостаточной обработке входных данных, вводимых в адресную строку браузера.
6. Переполнение буфера
Переполнение буфера (Buffer Overflow) — явление, возникающее, когда компьютерная программа записывает данные за пределами выделенного в памяти буфера, области памяти, используемой для временного хранения данных при вводе или выводе. Простой пример — если программа не проверяет длину введённого нового пароля, то любые данные, длина которых превышает размер выделенного для их хранения буфера, будут просто записаны поверх того, что находилось после буфера. Злоумышленник может запросто вставить в эту область нужные ему команды на машинном коде, которые затем будут выполнены.
 
Это конечно, далеко не все встречающиеся уязвимости сайтов, но одни из наиболее популярных – по крайней мере, на данный момент. Ведь практически каждый день появляются новые способы и методы, позволяющие проникнуть на сайт без ведома владельца. Но тут главное не отчаиваться, и помнить, что любая атака всегда состоит из двух частей: с одной стороны, из умения взломщика, а с другой из оплошности, допущенной безопасностью сайта. Именно поэтому мы поставили для себя задачу тщательно проверять и оптимизировать свои веб-сайты, дабы не оставлять злоумышленникам даже самой малой возможности для атаки. Мы также рады помочь другим в этой задаче – наши эксперты проведут анализ уязвимостей и обеспечат необходимые защитные меры, после которых можно будет с гордостью сказать: «Мой сайт — моя крепость!»