Реферат Уязвимость веб-ресурсов
Работа добавлена на сайт bukvasha.net: 2015-10-28Поможем написать учебную работу
Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
от 25%
договор
Введение.
В двадцать первом веке главным объектом всех отраслей человеческой деятельности становится информация. Существует мнение, что информация становится главной международной валютой. Но к сожалению, сетевые технологии достаточно уязвимы для целенаправленных атак. Причем такие атаки могут производиться удаленно, в том числе и из-за пределов национальных границ. Все это ставит новые проблемы перед разработчиками. Некоторые современные формы бизнеса полностью базируются на сетевых технологиях (электронная торговля, IP-телефония, сетевое провайдерство и т.д.) и по этой причине они особенно уязвимы.
Определение уязвимости и основные типы уязвимостей.
Уязвимость - недостаток в системе, используя который, можно нарушить её целостность и вызвать неправильную работу.
Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ненадежных паролей, вирусов и других вредоносных программ, недостаточной проверки данных, вводимых пользователем, что позволяет вставить в интерпретируемый код произвольные команды (SQL-инъекция).
SQL-инъекции-являются уязвимостями, приводящие к атакам на Web-приложение.
Основные типы угроз:
1)отказ в обслуживании
2)обход ограничений безопасности
3)доступ к конфиденциальной информации
4)выполнение произвольного кода.
5) уязвимости в web-приложениях.
Отказ в обслуживании.
Атаки на отказ в обслуживании являются одними из самых распространенных. Это связано с тем, что они сводятся к выведению информационного объекта из строя, а не к получению какого-либо вида несанкционированного доступа к нему.Обычно DoS атаки наиболее выгодны конкурентам.
Так совсем недавно в Уфе была задержана группа хакеров, которые организовывали DoS-атаки на сайты крупных российских компаний. Сообщалось, что администратору организации через ICQ отправлялось сообщение с текстом: "У меня на вас заказ, предлагаю свои услуги по защите вашего ресурса от атак за ежемесячный стабильный оклад, при этом гарантирую бесперебойную работу сайта". Что самое интересное, устраивал DoS атаки всего один человек, даже не имеющий высшего образования. Его подельник занимался лишь обналичкой полученных средств.
Обход ограничений безопасности.
Эта уязвимость позволяют удаленному злоумышленнику обойти ограничения безопасности, получить доступ к конфиденциальной информации и выполнить произвольный код. По информации журнала «Хакер» ярким примером такой уязвимости является уязвимость в Apple iPhone, возникающая из-за ошибок в обработке экстренных вызовов. Благодаря уязвимости злоумышленникам удавалось обойти защиту паролем и позвонить на произвольный номер.
Такая же уязвимость существует и в Microsoft Internet Explorer . Уязвимость существует из-за ошибки проверки входных данных при обработке свойств "location" и "location.href". Удаленный пользователь может с помощью специально сформированной Web страницы открыть доверенный сайт и выполнить произвольный код сценария в браузере жертвы в контексте безопасности доверенного сайта или получить доступ к важным данным.
Доступ к конфиденциальной информации.
С каждым годом появляется множество программ-шпионов, нацеленных на кражу конфиденциальных данных. Количество уязвимостей, позволяющих получить доступ к конфиденциальной информации, очень велико. Безусловно, больше всего от таких нападений страдает банковский сектор. Так, основываясь на уязвимости одной из функций JavaScript, часто используемой на сайтах банков и финансовых структур, при открытии нескольких вкладок внутри бразуера уязвимость позволяет любому сценарию, открытому на какой либо вкладке, получить информацию о содержимом сайтов, открытых на других вкладках. Таким образом, если в одной вкладке пользователь откроит сайт банка, а в другой – злонамеренный сайт, то скрипт злонамеренного сайта, идентифицировав портал банка, может вывести всплывающее окно, похожее по оформлению на дизайн сайта банка, с запросом на ввод регистрационных данных пользователя. Если пользователь поймается на удочку, злоумышленники получат доступ к его счету в банке.
Но, наряду с такими сложно выполнимыми атаками встречаются нападения, производимые благодаря простым оплошностям разработчиков и администраторов. Наиболее распространенные ошибки, приводящие к получению конфиденциальной информации, вызываются неверной установкой прав доступа на файлы баз данных.
Выполнение произвольного кода.
Уязвимости, приводящие к выполнению произвольного кода, являются самыми распространенными. Примером данной уязвимости, может служить выполнение произвольного кода в браузере Opera. Уязвимость может использоваться злоумышленниками для получения полного контроля над системой жертвы. Уязвимость существует из-за ошибки при обработке HTTP заголовка Content-Length. Злоумышленник может заманить пользователя на специально сформированный сайт, отправить браузеру специально сформированный HTTP заголовок и аварийно завершить работу браузера или выполнить произвольный код на системе с привилегиями пользователя, запустившего браузер Opera.
Чтобы избежать этого, рекомендуется не посещать неизвестные сайты с помощью Opera и запускать браузер с пониженными привилегиями в системе (например, с привилегиями гостевой учетной записи).
Уязвимости в web-приложениях.
Уязвимости, приводящие к атакам на Web-приложения также сильно распространены. Наиболее распространенными являются SQL-инъекции.
Уязвимости браузеров.
Для начала дадим определение браузера. Браузер — программное обеспечение для просмотра веб-сайтов, их обработки, вывода и перехода от одной страницы к другой.
То, что браузеры не безупречны известно давно, как и то, что выбрать наиболее оптимальный трудно. Достаточно трудно сказать какой из браузеров лучше или хуже. Для сравнения, компания Mozilla за весь прошлый год сообщила примерно о 115 уязвимостях, Microsoft – о 31, Opera – о 30. Получается, что у Mozillа уязвимостей больше, чем у всех других вместе взятых. Но, при детальном рассмотрении выясняется, что у Mozillа самые неопасные уязвимости. По информации компании Secunia,которая проводила исседование, результатом которого стал тот факт, что в 2009 году у Microsoft две уязвимости оцениваются с высокой или умеренно высокой опасностью, в то время как у Mozilla уязвимостей с такой степенью опасности вообще не было. Кроме того, Secunia отмечает очень высокую оперативность Mozilla в устранении возникающих проблем.
По статистике значительная часть всех атак приходится на web-браузеры. Можно выделить несколько факторов риска:
1) атака на сам браузер с засылкой троянской программы;
2)сбор данных о пользователе (с какой страницы пришел, под каким IP);
3)сохранение компрометирующих данных о посещенных страницах на жестком диске;
Список используемой литературы.
1. Выполнение произвольного кода в Opera http://www.securitylab.ru/news/391365.php
2. Отчет по уязвимостям. Валерий Марчук http://www.securitylab.ru/analytics/358113.php
3. Обход ограничений безопасности MS Internet Explorer http://www.securitylab.ru/vulnerability/355316.php
4. Обзор уязвимостей http://www.xakep.ru/post/47037/default.asp
5. Журнал «Хакер» [04]апрель 2010