Лучшие статьи и кейсы стартапов
Включить уведомления
Дадим сигнал, когда появится
что-то суперстоящее.
Спасибо, не надо
Вопросы Проекты Вакансии
Безопасность интернет-проектов
Рекомендуем
Продвинуть свой проект
Лучшие проекты за неделю
44
Битрикс24

Битрикс24

www.bitrix24.ru

15
Отследить-посылку

Отследить-посылку

отследить-посылку.рф

13
GIFTD

GIFTD

giftd.tech

12
Логомашина

Логомашина

logomachine.ru

11
Devicerra

Devicerra

devicerra.com

11
Aword

Aword

Приложение для изучения английских слов

11
Eczo.bike

Eczo.bike

www.eczo.bike

11
Flowlu

Flowlu

flowlu.ru

8
KEPLER LEADS

KEPLER LEADS

keplerleads.com

7
Convead

Convead

convead.ru

Показать следующие
Рейтинг проектов
Подписывайтесь на Спарк во ВКонтакте

Безопасность на первом месте или как не испортить репутацию своего проекта

952 6 В избранное Сохранено
Авторизуйтесь
Вход с паролем
Пренебрежение элементарными правилами и стандартами информационной безопасности обычно приводят к печальным последствиям. Репутационные траты в отличии от финансовых, отставляют за собой длинный след. Как уберечь свой проект от подобных рисков читайте в моей статье.

В этой статье хотелось бы рассказать об уязвимостях, с которым мы чаще всего сталкиваемся на практике при проведении анализа защищенности сайта. Все уязвимости, о которых я расскажу были обнаружены в крупных проектах.

Для начала я развею миф о том, что сайты взламывают очень редко и выборочно. По идее привлекательность взлома ресурса прямо пропорциональна посещаемости сайта и ценности данных в БД. Увы, это не так. Взламывают просто ради развлечения и рейтинга, допустим на таком сайте http://zone-h.org. Оценить масштабы беды вы можете по этой ссылке http://zone-h.org/archive просмотрев временные промежутки, которые указывают о взломе нового ресурса.

b_55706bc909536.jpg

Буква H означает homepage defacement, т.е. произошла замена главной страницы сайта, а это значит, что главная страница вашего сайта выглядит примерно следующим образом:

b_55706d32ece7a.jpg

Картина не совсем приятная, особенно, если это происходит в рабочее время и приходится на максимальный пик трафика на сайте. Ниже я опишу несколько уязвимостей, которые нам встречаются чаще всего.

b_557089b64bd90.jpg

SQL injection

https://www.owasp.org/index.php/SQL_Injection

Уязвимость основанная на внедрении в запрос к БД произвольного кода, позволяющего прочитать, изменить, удалить данные любых таблиц. Таким образом, злоумышленник может получать любую информацию из базы данных, включая логины и хеши паролей пользователей. Уязвимость возникает из-за некорректной обработки входных данных, используемых в SQL-запросах.

Решение проблемы?

Все входные данные пользователя должны быть отделены от текста SQL-запроса кавычками, которые должны экранироваться в содержании входящих параметров веб-приложения.

Cross-site Scripting (XSS)

https://www.owasp.org/index.php/XSS

Межсайтовый скриптинг. По количеству найденных уязвимостей занимает первое место. Тип атаки на веб-приложение, заключающийся во внедрении в выдаваемую веб-приложение страницу вредоносного кода. Уязвимость в большинстве случаев недооценивают. Эксплуатация может повлечь за собой перехват сессии администратора или данных платежных документов.

К изучению стоит прочитать вчерашнюю статью о найденной XSS на сайте ipay.ua. Самое интересное в этой истории - реакция руководства сайта (в комментариях). Кто после этого захочет пользоваться данным сервисом? Думаю никто.

Вывод: если с вами связался человек и сообщил о нахождении уязвимости на вашем ресурсе, внимательно выслушайте его, изучите риски и закройте уязвимость. А еще лучше отблагодарите материально.

Исследователи безопасности достаточно принципиальный и идейный народ. В случае игнорирования вами найденной проблемы, человек обязательно расскажет об этом другим, посредством того же Хабра. Что вы получите в итоге? Смотрите скриншот.

b_557083be35bdc.jpg

Cross-Site Request Forgery (CSRF)

https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)

Вид атак на посетителей сайтов, использующий недостатки протокола HTTP. Если жертва заходит на сайт, созданный злоумышленником, от её лица тайно отправляется запрос на другой сервер (например, на сервер платёжной системы), осуществляющий некую операцию от имени пользователя (например, перевод денег на счёт злоумышленника). Решением проблемы является использование защиты от CSRF, предотвращающей отправку запроса со стороннего сайта.

«Слабые» учетные данные

https://www.owasp.org/index.php/Authentication_Cheat_Sheet

Злоумышленник имеет возможность подобрать учетные данные для авторизации, «логин-пароль» очевидны или являются словарными. Пароль и логин admin/admin не самая лучшая идея.

Unrestricted File Upload

https://www.owasp.org/index.php/Unrestricted_File_Upload

Недостаточная проверка загружаемых файлов позволяет загружать файлы любых расширений. При загрузке изображения, кроме проверки расширения и типа файла, нужно также добавлять другие фильтры. Под видом изображение можно загрузить зараженные файлы.

Напоследок хочется сказать, что уязвимости могут создать большие проблемы для ваших клиентов и посетителей сайта, чем для вас. Именно поэтому одной из задач проведения анализа защищенности сайта является пункт: использование веб-приложения для организации атак на рабочие места пользователей приложения.

+5
Первые Новые Популярные
Tucanus
3D-печать иначе
Григорий
Вот это очень дельная статья. Без воды, все по делу, информативно.
Ответить
Симулятор бизнес-процессов
Сервис имитационного моделирования и оптимизации бизнес-процессов
Prolis Labkk
А кому сможет помочь такая статья на этом ресурсе? "Бизнес" — не поймет ни слова, понадеется на "программистов". "Программистов" в плане безопасности можно поделить на тех, кто: сам ломает, кого ломают и тех, кто думает, что его не (с)ломают. И вот последняя, самая многочисленная аудитория лечится только первыми. Это как пословица про тех, кто еще не делает бэкап.
Ответить
Tucanus
3D-печать иначе
Григорий
Ее интересно прочитать, не все статьи должны помогать кому-то и учить.
Ответить
AntiHacking
Безопасность интернет-проектов
AntiHacking
Безопасность интернет-проектов
Александр Барановский
Кому-то да поможет. Здесь первая часть статьи как раз для тех, кого ломают и тех, кто думает, что его не (с)ломают. В следующих статьях как раз будем "разжевывать" для бизнеса.
Ответить
Виталий Захаров
Полезная статья для тех, кто думает " Да лаааадно, ну кому мой сайт сейчас нужен?!"
Ответить
Выбрать файл
Читайте далее
Загружаем…
Блог проекта
Расскажите историю о создании или развитии проекта, поиске команды, проблемах и решениях
Написать
Личный блог
Продвигайте свои услуги или личный бренд через интересные кейсы и статьи
Написать