Анализ уязвимостей Web-приложений — это процессы, которые направлены на выявление любых угроз, уязвимых точек и рисков потенциального несанкционированного проникновения злоумышленников в Web-приложения.
Введение
Уже достаточно давно информация является одним из самых важных стратегических, управленческих, а также экономических ресурсов. На текущий момент иметь свой собственный веб-сайт коммерческим предприятиям, государственным структурам и другим различным организациям стало насущной необходимостью и обязательным условием успешного функционирования. Веб-приложение считается одним из отличных инструментов в маркетинге, оно предоставляет возможность распространения информации среди необходимой аудитории, осуществления онлайн-услуг, а также оно может применяться в качестве места коммуникации и так далее.
Объемы информации, которые обрабатывают web-приложения, весьма значительны. На веб-сервере могут располагаться персональные данные пользователей (клиентов, сотрудников) и информация, в том или ином формате, которая составляет коммерческую или профессиональную тайну. К примеру, это может быть финансовая информация или служебная переписка. Компрометация сайта способна повлечь за собой прежде всего финансовые убытки, падение доверия клиентов, а также утерю репутации. По этой причине появляется необходимость защитить, обеспечить безопасность веб-сайта.
Согласно исследованиям компании PositiveTechnologies имеется следующая статистика:
- Все изученные веб-приложения могут считаться уязвимыми с различной степенью риска.
- Шестьдесят восемь процентов исследованных веб-приложений обладают уязвимостями высокой степени риска.
- На каждое приложение, разработанное на языке программирования PHP (Hypertext Preprocessor), в среднем приходится одиннадцать критических уязвимостей и тридцать одна уязвимость, имеющая среднюю степень риска.
Из данной статистики напрашивается вывод, что многие из проектировщиков и администраторов веб-приложений фактически не соблюдают требования безопасности, ставя перед собой иные цели, к примеру, расширить функциональный набор. А чем большей функциональностью обладает приложение, тем сложнее получается сформированный проектировщиками код. В результате очень многие системы содержат большое количество уязвимостей.
Анализ уязвимостей Web-приложений
На текущий момент такая методика поиска уязвимостей, как тестирование на проникновение (в англоязычной версии penetration testing), может считаться одной из наиболее эффективных. Этот метод предоставляет возможность определить вероятные направления атак и избежать компрометации в веб-приложениях. Сущность метода состоит в том, чтобы фрагментарно построить модель приемов и инструментов, применяемых действующими злоумышленниками, для того чтобы проникнуть на защищенный информационный ресурс.
Анализ осуществляется так называемым «этичным хакером», который должен выступать с позиций потенциального злоумышленника. Условия тестирования предполагают, что «злоумышленник» обладает теми же возможностями, что и рядовой пользователь, то есть, исходные коды веб-приложения ему неизвестны, и доступ к серверу, на котором расположено данное веб-приложение, закрыт. Тест предоставляет возможность получения объективной оценки уровня защищенности веб-приложения и выработки рекомендаций по ликвидации обнаруженных угроз информационной безопасности.
В круг задач тестирования входит определение и анализ структуры веб-приложения, нахождение всех вероятных уязвимостей информационного ресурса, подлежащего защите, и недостатков системы распределения доступа.
Тестирование может проводиться при помощи разных методик, зависящих от целей, которые преследует заинтересованная в безопасности своего ресурса сторона. Этими методиками считаются «черный ящик» (в англоязычном варианте BlackBox), «белый ящик» (WhiteBox) и «серый ящик» (GreyBox).
Вне зависимости от выбора одной из вышеназванных методик, тестирование должно состоять из следующих этапов:
- Этап сбора информации.
- Этап анализа собранной информации.
- Этап проведения атаки.
Сбор информации может выполняться как активный, и как пассивный сбор. Активный сбор информации предполагает создание пользовательских запросов, причем как «корректных», так и «некорректных», к веб-приложению и их обработку. Пассивный метод сбора информации состоит в получении общедоступных информационных данных о веб-приложении при помощи разных технологий и средств, таких как IP-адреса, файлы cookie, интернет-теги или информация о навигации.
Основным отличием данных типов сбора информации друг от друга считается тот факт, что пассивный метод сбора информации нельзя обнаружить в то время, как активный сбор информации можно зафиксировать в журналах и системах обнаружения вторжений и проанализировать администраторами веб-приложения.
Рассмотрим более подробно методику «черного ящика», поскольку именно она отвечает исходным условиям, что «злоумышленник» может располагать лишь общедоступной информацией, и считается самой близкой к реальным ситуациям.
«Черный ящик» (BlackBox) является методом тестирования веб-приложения, структурная организация и механизм работы которого не определены, сложны или неважны в границах решаемой задачи. В этом методе этичный хакер должен исследовать веб-приложение и изучить его поведение по следующей схеме:
«Входные данные» — «Неизвестное веб-приложение» — «Выходные данные».
Атакующий хакер должен «прощупать» поведение и состояние системы при помощи управления входными данными и анализа выходных данных. Это означает выявление аномального поведения и его исследование. Управлять входными данными можно при помощи специальных символов, запросов с чрезмерными параметрами и других. Итогом неожиданного поведения веб-приложения может стать сообщение об ошибках сценария, иногда даже с отрывками кода, не прогруженные страницы или ошибки сервера.
