Ошибки защиты веб-приложений

 

Web Application Security Project (OWASP) группа, состоящая из IT-профессионалов по безопасности, опубликовали список 10 наиболее критичных проблем уязвимости, которые повсеместно встречаются в веб-приложениях. Вместе с традиционными позициями, в список добавились ошибки отказа в обслуживании, потому что в течении прошлого года они стали более распространенными.

 

Главной целью этого проекта было определение самых часто встречающихся проблем в защите веб-сайтов. Полное Руководство от OWASP содержало примерно 200 страниц рекомендаций для IT-профессионалов и разработчиков, за прошлый год было загружено с сайта компании больше полутора миллионов раз(!). Проект превзошёл все ожидания - уровень понимания оказался настолько выше ожидаемого.

Следуя пожеланиям разработчиков, которым необходимо предоставлять информацию своему руководству, группа в прошлом году выпустила первый Top10 список недостатков защиты интернет-приложений.

* Непроверяемый ввод. Хакеры могут использовать информацию, не проверяемую веб-приложением, пока она не дойдет до его внутренних компонентов. Поэтому проверяйте абсолютно все данные, вводимые пользователями в формы на сайте. Лучше это делать даже в панели админа.

* Взломанное управление доступом. Некорректные ограничения на действия авторизованных пользователей используются хакерами для обращения к другим учетным записям или использования неправомочных функций.

Взломанная форма авторизации пользователя на сайте и управление его сессиями, не опубликованные данные аккаунтов, не защищенные должным образом, дают хакерам возможность получать пароли, ключи, и прочую секретную информацию, и притворяться другими пользователями на Вашем сайте.

Поэтому следует очень внимательно отнестись к уровням доступа различных групп пользователей на сайте или форуме. Всегда помните одно золотое правило «Необходимо запрещать всё, что не разрешено!». Поэтому сначала запретите всё, потом открывайте только те возможности для пользователя, которые ему необходимы.

* Межсайтовый скриптинг. Веб-приложение используется как механизм перенесения атаки на браузер конечного пользователя. Успешная атака может раскрыть идентификационные данные пользователя или ввести его в заблуждение при помощи фальшивого контента.

Проверяйте все формы на сайте, запрещайте «опасные» символы, а тем более, HTML теги и JavaScript код!

* Переполнение буфера. Компоненты веб-приложений, написанные на языках, не дающих возможность достаточно проверить правильность введённых пользователем данных, могут быть доведены до ошибки и затем использованы в интересах хакера. Например, для взятия сервера под контроль (к примеру, создание спам-рассылки). Под такую опасность могут попадать библиотеки, драйверы, CGI-скрипты и серверы.

* Ошибки в передаче данных от веб-приложения. Передаются параметры к внешним системам или к локальной операционной системе. Если в параметры включить разрушительные команды, то внешняя система их выполнит от имени Вашего веб-приложения, что сулить немалые проблемы.

* Некорректная обработка ошибок. В процессе обычных операций иногда возникают ошибочные ситуации (неправленый ввод данных в форму пользователем, ошибка выполнения скрипта), которые могут быть не обработаны должным образом. Это дает хакерам доступ к детальной системной информации. Данная оплошность может привести к отказу в обслуживании сервера, ошибкам системы безопасности и даже к разрушению всего сервера!

* Небезопасное хранение данных. Веб-приложения, использующие криптографию для хранения информации (пароли и другие пользовательские данные), бывают неспособными зашифровать их должным образом. Это ослабляет защиту веб-приложения.

* Отказ в обслуживании. Хакеры доводят ресурсы веб-приложения до перегрузки с помощью DOS или DDOS атаки, так что пользователи не могут получить доступ к веб-приложению или корректно работать с ним. В подобных случаях возможна блокировка учетных записей или даже выход приложения из строя.

* Небезопасное управление конфигурацией. Веб-сервера обладают многими опциями для настройки безопасности, которые сами не защищены. Ключевым моментом является наличие строгого стандарта конфигурации. Поэтому настоятельно рекомендуется изучить опции настройки сервера, на котором располагается сайт, либо поручить это профессионалу в области безопасности.

Большинство проблем безопасности веб-приложений порождены человеческим фактором. Это новое поколение проблем, которые не способны пока решить машины…