Проблемът със сигурността на уебсайтовете никога не е бил толкова остър, колкото през 21 век. Разбира се, това се дължи на широкото разпространение на Интернет в почти всички индустрии и области. Всеки ден хакери и експерти по сигурността откриват няколко нови уязвимости в уебсайтове. Много от тях незабавно се затварят от собствениците и разработчиците, докато някои остават такива, каквито са. Това използват нападателите. Но с помощта на хакнат сайт можете да причините голяма вреда както на неговите потребители, така и на сървърите, на които се хоства.
Видове уязвимости на уебсайтове
Ще ви бъде интересно:
Когато създавате уеб страници, много свързани електронна технология. Някои са перфектни и изпитани във времето, а други са нови и все още не са пуснати в експлоатация. Във всеки случай има много видове уязвимости на сайта:
- XSS. Всеки сайт има малки форми. С тяхна помощ потребителите въвеждат данни и получават някакъв резултат, регистрират се или изпращат съобщения. Като замените специални стойности в тези форми, можете да провокирате изпълнението на определен скрипт, което може да причини нарушаване на целостта на сайта и компрометиране на данни.
- SQL инжекция. Много често и ефективен методдостъп до поверителни данни. Това може да стане или чрез адресната лента, или чрез формуляри. Процесът се извършва чрез заместване на стойности, които не могат да бъдат филтрирани от скриптове и запитване към базата данни. И с правилното познаване това може да причини пробив в сигурността.
Фигура 2. Външен видУеб приложения на Mutillidae
Методология на теста
Сега, когато сме се подготвили стенд за изпитване, можете да разгледате процеса на тестване, който ще бъде следната последователност от действия:
- Подготовка на тестово приложение за сканиране
- Настройка на скенер за сигурност
- Стартиране на процеса на сканиране с избраните настройки
- Анализ на резултатите и въвеждането им в таблица
| Тип уязвимост | Намерени | намерено невярно | време |
|---|---|---|---|
Таблица 1. Резултати от сканиране
След като се извършат всички серии от тестове за всички скенери, ние ще въведем резултатите в обобщена таблица.
|
Преминаване на пътя / Включване на локален файл |
Разкриване на чувствителни данни |
изминалото време |
|||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
|
Фалшиво открит |
Фалшиво откриване |
Фалшиво открит |
Фалшиво открит |
Фалшиво открит |
|||||||
Таблица 2. Обобщена таблица на резултатите
В процеса на провеждане на тестове ще срещнем няколко проблема:
- Скенерите за сигурност се различават по своите настройки и функционалност. За да отразим специфичните характеристики на скенерите в нашето тестване, ще проведем няколко серии от сканирания с различни конфигурации на настройките, за да получим по-добър резултат (ако е възможно).
- Скенерите за сигурност са или специализирани в определен тип уязвимост, или могат да открият широк спектър от уязвимости. Ако скенерът е специализиран върху определен тип уязвимости, следователно трябва да ги определи по-качествено, в противен случай ще подчертаем специално вниманиевърху неидентифицирана или фалшиво идентифицирана уязвимост от специализиран скенер.
- Видове уязвимости. Тъй като има голям брой видове уязвимости, трябва да вземем решение за типовете, които ще отразим в окончателния доклад. IN този проблемще се ръководим от класификацията Топ 10 на OWASP за 2013 г. и ще изберем пет вида уязвимости от този списък.
- Броят на уязвимостите в уеб приложение. Не можем да знаем предварително колко уязвимости се съдържат в тестовото уеб приложение, така че за общия брой ще вземем сумата от уязвимостите, открити от всички скенери.
Настройване на скенери и стартиране на тестване
SkipFish
Този скенер е напълно автоматизиран инструмент с конзолен интерфейс и има малък брой настройки, с пълен списъккойто може да бъде намерен с командата skipfish -h. За да започне процеса на сканиране, авторът предлага три основни опции:
- skipfish -W /dev/null -LV […други опции…] - в този режим на стартиране скенерът извършва подредено обхождане на целта и по принцип работи по същия начин като другите скенери. Не се препоръчва поради ограниченото покритие на ресурсите на целта, но процесът на сканиране отнема много по-малко време в сравнение с други режими;
- skipfish -W dictionary.wl -Y […други опции…] – в този режим скенерът размива само имена на файлове или разширения. Този режим е за предпочитане, ако има ограничение във времето и се изисква приемлив резултат;
- skipfish -W dictionary.wl […други опции…] – в този режим скенерът преминава през всички възможни двойки имена и разширения. Този режим е много по-бавен от предишните, но в същото време извършва по-подробен анализ на уеб приложението. Разработчикът на скенера препоръчва използването на тази опция по подразбиране.
Skipfish -W dictionary.wl -o ~/report/ http://target/
W - посочваме пътя до речника, който ще използваме;
O - посочва се директорията, в която ще записваме отчета.
| Тип уязвимост | Намерени | намерено невярно | време |
|---|---|---|---|
| SQL инжекция | 6 | 5 | 3ч.18м |
| XSS | 11 | 2 | |
| CSRF | 1 | 1 | |
| 3 | 2 | ||
| Разкриване на чувствителни данни | 128 | 0 |
Таблица 3. Резултати от сканирането на SkipFish
Фигура 3. Завършване на процеса на сканиране SkipFish
SkipFish се справи добре със задачата, въпреки големия брой фалшиви положителни резултати. Заслужава да се отбележи, че въпреки че скенерът няма графичен интерфейс, той е много лесен за настройка. Също така, в допълнение към резултатите, показани в таблицата, SkipFish намери много интересна информацияза уеб приложение, като анализирате, можете да подобрите сигурността на приложението
SQLMap
Основната цел на този скенер е автоматично да намира и използва SQL уязвимости. Той има огромен брой настройки, които ви позволяват да оптимизирате процеса на намиране и използване на уязвимости. За да започнете сканиране, можете да използвате съветника: sqlmap --wizard или най-простата команда: sqlmap -u "http://www.target.com/vuln.php?id=1". Ще се опитаме да автоматизираме напълно процеса на търсене и да увеличим максимално резултата. Ще започнем процеса на сканиране по два начина:
sqlmap –u "http://target/" -o –v 4 --crawl=4 --level=3 --risk=2 --forms --batch --dbms=mysql sqlmap –l ~/burplog.log -o –v 4 --batch --level=3 --risk=2 --dbms=mysql
При първия метод използваме вградения SQLMap crawler, а при втория използваме лог файла Burp Suite. Сега нека коментираме параметрите, които използвахме:
U - след даден параметърпосочете адреса на целта за сканиране;
L - след този параметър посочете пътя до файла с регистрационните файлове на Burp Suite (или WebScarab);
O - активиране на оптимизация;
V - задайте нивото на детайлност на показваната информация;
-dbms - инсталирайте СУБД, която нашата цел използва;
-форми - позволяват парсинг и анализ на формуляри, съдържащи се в тестовото приложение;
--crawl - включване на вградения робот, който ще сканира нашата цел;
--batch - тъй като решихме да автоматизираме напълно процеса на търсене и експлоатация, ще използваме този параметър, той принуждава SQLMap да извършва всички действия по подразбиране, а не да пита потребителя за решение;
-ниво, -риск - увеличаване на броя на използваните тестове, като същевременно значително се увеличава времето за сканиране.
| Тип уязвимост | Намерени | намерено невярно | време |
|---|---|---|---|
| SQL инжекция | 14 | 0 | 4ч.27м |
| XSS | - | - | |
| CSRF | - | - | |
| Преминаване на пътя / Включване на локален файл | - | - | |
| Разкриване на чувствителни данни | - | - |
Таблица 4. Резултати от сканиране на SQLMap
Фигура 4. Използване на откритата SQL уязвимост
Както писахме по-горе, SQLMap е специализиран инструмент за търсене и Експлоатация на SQLуязвимости, той се справи с тази задача перфектно, въпреки че пълната автоматизация не даде такъв резултат. Успяхме да постигнем този резултат благодарение на ръчен анализ. Струва си да се отбележи, че времето за тестване е доста дълго, като се има предвид, че търсихме само един тип уязвимост. Настройването на този скенер без подробно запознаване с богат списък от опции е най-трудното от всички скенери, представени в тази статия.
Acunetix уеб скенер за уязвимости (Acunetix WVS)
Този инструмент е единственият платен представител, който работи само на Windows платформа, в нашето тестване. Скенерът има както графичен, така и конзолен интерфейс. За да започнете процеса на сканиране, трябва да използвате съветника, който ще ви подкани да използвате и двете стандартни настройкии специално конфигуриран.
И така, нека започнем да настройваме скенера:
- На първата стъпка ни се предлага да въведем целевия адрес или да изберем файл със структурата на сайта, получен с помощта на инструмента Site Crawler, ще изберем първата опция
- Във втората стъпка трябва да изберем профил за сканиране, има доста от тях, ще изберем профила „По подразбиране“, тъй като съдържа тестове за търсене на всички налични видовеуязвимости и настройки за сканиране, които ще оставим по подразбиране
- В третата стъпка скенерът се опитва да определи технологиите, които целта използва, и показва получените стойности, докато вие можете да ги изберете сами или да зададете стойността на „Неизвестно“. В нашия случай всички стойности са дефинирани правилно и ще ги оставим непроменени.
- Следващата стъпка е да изберете метод за удостоверяване, тъй като не се нуждаем от него, ще пропуснем тази стъпка
- На последната стъпка се предлага да запазите настройките и след като щракнете върху „Край“, процесът на сканиране започва
| Тип уязвимост | Намерени | намерено невярно | време |
|---|---|---|---|
| SQL инжекция | 1 | 0 | 2 ч. 13 мин |
| XSS | 31 | 0 | |
| CSRF | 19 | 0 | |
| Преминаване на пътя / Включване на локален файл | 4 | 3 | |
| Разкриване на чувствителни данни | 231 | 0 |
Таблица 5. Резултати от сканиране с Acunetix WVS
Фигура 5. Завършване на процеса на сканиране на Acunetix WVS
Лесна настройка и минимум фалшиви положителни резултати, това е, което може да се каже за този инструмент. В допълнение към резултатите в електронната таблица, Acunetix WVS събра много информация относно структурата на уеб приложението и чувствителни потребителски данни. Една от полезните функции на скенера е предоставянето на подробна информация за уязвимостта и методите за нейното отстраняване, както и връзки към ресурси, съдържащи изчерпателна информация.
Рамка за атака и одит на уеб приложения (w3af)
Рамка с графичен и конзолен интерфейс, която ви позволява да търсите и да използвате уязвимости в уеб приложение. Благодарение на широка гама от добавки можете да настроите процеса на сканиране доста фино. Също така, w3af има готови шаблони за сканиране, потребителят трябва само да въведе целевия адрес.
Когато настройваме робота, ние ще се базираме на шаблоните „full_audit“ и „full_audit_spider_man“, тяхната разлика е във факта, че първият шаблон използва web_spider, класически уеб паяк, като плъгин за робот, а вторият spider_man използва локален прокси. За нашите цели няма да имаме нужда от плъгините „bruteforce“, активирани по подразбиране в избраните шаблони, така че ще ги изключим. Остава да конфигурирате плъгини от групата „изход“. По подразбиране събраната информация се извежда само в конзолата, което не е много удобно за анализиране на резултатите, затова ще активираме приставката "html_file", която ви позволява да запазите цялата получена информация в HTML файл.
Сега можете да въведете целевия адрес и да започнете сканирането.
| Тип уязвимост | Намерени | намерено невярно | време |
|---|---|---|---|
| SQL инжекция | 4 | 2 | 2ч.57м |
| XSS | 3 | 1 | |
| CSRF | 25 | 0 | |
| Преминаване на пътя / Включване на локален файл | 4 | 3 | |
| Разкриване на чувствителни данни | 17 | 0 |
Таблица 6. Резултати от сканиране на w3af
Фигура 6. Подробности за заявката, съдържаща SQL уязвимостта
Не е за нищо, че този инструмент е рамка, с определени умения за настройка е в състояние да събере изчерпателна информация за целта в разумно време. Но не е без недостатъци, в процеса на тестване се натъкнахме на проблем със стабилността на скенера, което не можеше да не разстрои.
Резултати от тестовете
Какво показа нашият тест? Ако имате задачи, свързани с провеждането на одит на сигурността на уеб приложенията, трябва да се запасите с търпение и време. В таблицата по-долу можете да обърнете внимание на времето, необходимо за процеса на сканиране за всеки от инструментите. Не е много голямо, причината е следната: първо, тестовото приложение и скенерите за сигурност бяха на една и съща физическа машина и, второ, това време не включва процеса на анализ на получените резултати, в реални условия, времето за тестване ще отнеме много повече време. Както вече забелязахте, резултатите, предоставени от скенерите, варират: някои скенери се справиха по-добре с намирането на определена уязвимост, други предоставиха повече подробна информацияза приложението като цяло. В тази връзка, когато извършвате одит на сигурността, не трябва да разчитате само на един инструмент, трябва да използвате комплекс от различни инструменти, включително ръчен анализ на уеб приложение. Също така си струва да се каже, че уеб технологиите се развиват с бързи темпове и скенерите за сигурност не са в крак с тяхното развитие, така че преди да извършите одит, трябва да се запознаете подробно с технологиите, използвани в тестваното уеб приложение, за да по-точно изберете набор от инструменти и техники.
|
SQL инжекция | ||
|---|---|---|
Мястото е като градина: колкото повече труд се влага в него, толкова по-щедри са плодовете. Но също така се случва, когато напоен, наторен и внимателно поддържан сайт внезапно излети от резултатите от търсенето с гръм и трясък. Какво е това? Интригите на конкурентите? Обикновено причината е много по-банална - на вашия уеб ресурс са започнали вируси.
И така, откъде идват вирусите на уебсайтовете, какви са симптомите, за да ги идентифицирате, как да проверите любимото си дете за наличие на зловреден софтуер и как да го предпазите от всички тези зли духове.
Източници, признаци и цели на вирусна инфекция на интернет ресурси
Начини за проникване на вируси в уебсайтовемного по-малко от, например, устройства. По-точно, има само 3 от тях:
- Заразен компютър, от който се качват файлове на сайта. Този фактор представлява повече от 90% от случаите.
- Взломяване. Може да бъде насочен, например, ако сте били „поръчани“ от бизнес конкуренти или ресурсът по някакъв начин е привлякъл вниманието на натрапници, и случаен - защото не е бил затворен добре.
- Уязвимости на CMS, сървърни системи, плъгини и друг софтуер, с който сайтовете влизат в контакт.
Как вирусите показват присъствието си:
- Броят на посетителите рязко и необосновано намалява. Уеб ресурсът губи позиции или отпада от резултатите от търсенето търсачки. Когато се опитате да го отворите в браузъра, вместо страници се появяват страхотни предупреждения, като това:
- Дизайнът на страниците се променя спонтанно. Има "леви" рекламни банери, блокове, връзки и съдържание, което не сте публикували. Ако се правят плащания в брой на ресурса, данните за плащането може да се променят.
- Функционалността на сайта е нарушена, линковете не се отварят както трябва.
- Посетителите се оплакват, че антивирусите псуват вашия сайт или че след отварянето му на устройствата им са се появили признаци на инфекция.
Каква е злонамерената активност на вирусите в интернет ресурси:
- В кражба на съдържание, бази данни, трафик, пари.
- При заразяване на устройства на посетители и други уязвими сайтове на същия сървър.
- При пренасочване на вашите посетители към ресурсите, от които атакуващите се нуждаят, например чрез инсталиране на врати със спам връзки или добавяне на злонамерен мобилен код за пренасочване към .htaccess. Този код пренасочва към други сайтове само тези, които са дошли с мобилни устройства.
- В повишаване на нечии позиции при търсене за ваша сметка.
- Изпращане на спам и злонамерени съобщения от вашата поща. Често с цел добавяне на вашия имейл към пощенските бази данни на злонамерени спамери, така че вашите абонати и потребители да не получават писма от вас.
- При пълно или частично дезактивиране на уеб ресурс, както и при умишленото му премахване от индексиране при търсене(прикриване).
- При инсталиране на уеб черупки и задни врати на сървъра, с помощта на които нападателят получава отдалечен достъпкъм файловата система на сървъра.
Методи за диагностика на сигурността на сайта
Има няколко начина да проверите уебсайт за вируси. Най-бързият и лесен, но доста повърхностен вариант е проверката с онлайн антивирусни скенери. Винаги трябва да започнете с него, когато има дори най-малко съмнение за наличието на зловреден софтуер.
Ако онлайн проверка на сайта разкри заплаха, тогава е препоръчително да извършите пълно сканиране файл по файл с помощта на антивирусни програми.
Освен това някои уеб администратори практикуват ръчния метод за сканиране за вируси - отваряне и преглеждане на всеки подозрителен файл за отметки. Търсенето се извършва чрез сигнатури (кодови фрагменти, които често се намират в злонамерени обекти) и чрез сравняване на потенциално заразени файлове с чисти. Ако имате знания и опит, този метод може да бъде най-надеждният, защото дори най-мощните и оценени антивируси пропускат заплахи.
Проблемите със сигурността на уебсайтовете често са първите, които се забелязват от търсачките:
- Yandex.Webmasterизвежда информация за тях на страница "Диагностика" - "Сигурност и нарушения".
- Google Search Console- в раздела "Инструменти за уебмастъри" - "Състояние" - " Зловреден софтуер».
Ако бъде открит зловреден софтуер, следвайте препоръките на Yandex и Google за намирането и елиминирането му. И след това проверете сайта с онлайн роботи.
Онлайн скенери за проверка на уебсайтове за вируси и хакерство
i2p
i2p е проста безплатна рускоезична услуга за бърза проверкауеб ресурси – в цели или отделни страници, за злонамерено съдържание. Анализът отнема няколко секунди, но резултатът, уви, не винаги е надежден. „Съмненията за вирус“, както в примера по-долу, могат да бъдат съвсем безобидни. Те просто имат нужда от повече внимание.
един от най-известните и популярни вирусни скенерина линия. Проверява интернет ресурси (както и всякакви файлове) с 65 антивирусни машини, включително Kaspersky, Dr.Web, ESET, Avast, BitDefender, Avira и др. Показва репутацията на проверявания сайт според гласуването на общността Virustotal. Включен само сервизен интерфейс английски език.
За да сканирате уеб ресурс на VirusTotal, отворете раздела URL на главната страница, поставете връзката в полето „Търсене или сканиране на URL“ и щракнете върху иконата с лупа.
Услугата не само съобщава за чистотата или заразяването на уебсайта, но показва списък с проверени файлове с бележки за това, което е събудило подозрение. Анализът е базиран на собствен и глобален антивирусни бази данни.
Други раздели на услугата са пълни със статии за диагностика, самостоятелно премахване на вируси, защита срещу инфекция, архивиранеи други материали за сигурността на интернет ресурсите.
Лаборатория Dr Web анализира състоянието на уебсайтовете, използвайки само собствени бази данни и алгоритми.
Въз основа на резултатите от сканирането се генерира отчет:
- Дали в обекта е открит зловреден софтуер.
- Независимо дали е в нечии бази данни със злонамерени обекти.
- Пренасочва ли посетителите към други ресурси.
По-долу са резултатите от проверката на файлове и Допълнителна информацияза съмнителни факти.
xseo
Неестетична уеб услуга Xseo всъщност е по-информативна и функционална от много други. Той проверява сайтовете за повече от шест милиона известни вируси, за фишинг и също така показва техните оценки за сигурност според MyWOT, Yandex и Google. Освен това Xseo съдържа много други полезни и безплатни SEO инструменти. Достъпът до някои от тях изисква регистрация.
- Друг безплатно обслужванепроверки за сигурност на интернет ресурси. Той е в състояние да открие признаци на заразяване с известен злонамерен софтуер, да намери грешки в уебсайтове, да ги „пробие“ през базите данни с черни списъци и да определи уместността на версията на CMS. Сервизен интерфейс на английски, испански и португалски.
— инструмент за цялостна проверка на интернет ресурси за заразяване и хакване. Открива следните видове заплахи:
- криптирани скриптове.
- Скрити пренасочвания.
- Шпионирайте отметки, вложки и уиджети от подозрителни сайтове.
- Drive-by атаки (изтегляне на зловреден софтуер без знанието на потребителя).
- Спам връзки и съдържание.
- Грешки и признаци на увреждане.
- Добавяне към черните списъци на търсачките и антивирусите.
След безплатно сканиране "на място" той предлага да поръчате услуги за лечение на вируси и защита на сайта от неговите специалисти. Вече платено.
Проверява репутацията на връзките - дали ресурсът е в списъка на заразени или фишинг бази данни kaspersky сигурностмрежа.
Скенерът търси зловреден софтуер както в бази данни, така и на базата на евристичен анализ, поради което понякога открива заплахи, за които антивирусите все още не знаят. Освен сканиране, услугата предлага платени услугипочистване на сайтове от вируси и последващо предотвратяване на инфекция.
Quttera интерфейс на английски език.
Рускоезичната услуга проверява уебсайтове с помощта на 20 различни антивирусни програми. В допълнение към това предлага платени услуги за почистване от открит зловреден софтуер и инсталиране на инструменти за постоянна защита.
Проверка на сайта с антивирусна програма на компютър
Следващата стъпка в проверката на уеб ресурс за сигурност е сканирането на всичките му файлове. антивирусна програмаинсталиран на компютъра. За тази задача всеки сложен a\v продукт с нови бази данни ще свърши работа. Можете да използвате този, на който имате повече доверие.
Преди да сканирате, ще трябва да изтеглите съдържанието на сайта в отделна папка на вашия компютър или на сменяеми носителии след това, без да докосвате съдържанието на папката, стартирайте сканирането. Не щраквайте върху файлове, в противен случай зловреден софтуер може да зарази компютъра ви.
В случай на откриване на заплахи, най-добре и най-бързо е да замените заразените файлове с чисти, като вземете най-новите от резервни копия. Ако няма копия, можете също да изтриете опасни обекти ръчно, но преди това не забравяйте да направите резервно копие.
Какво може да бъде потенциално опасно:
- Вградени рамки и скриптове (могат да бъдат намерени под iframe и javascript).
- Скриптове за изтегляне.
- Пренасочва към ресурси на трети страни (дори нормални и незаразени).
- Картини и други мултимедийни обекти с възможност за зареждане.
- Други външни допълнения.
- Файлове с модифицирана дата, която е близка до очакваната дата на заразяване.
Разбира се, не трябва да изтривате всичко подред, първо тези обекти трябва да бъдат проучени. Ако независимият анализ създава трудности, по-добре е да го поверите на специалисти.
След почистването не забравяйте да смените паролите, използвани за достъп до сайта и хостинг акаунта.
Как да защитите сайта си от вируси
Както вече споменахме, по-голямата част от случаите на проникване на зловреден софтуер в уеб ресурси са резултат от заразяване на компютъра, чрез който администраторът управлява сайта. Ето защо:
- Следете здравето на вашия компютър: ограничете достъпа до него до членовете на семейството, отказвайте непроверени програми, не кликвайте върху непознати връзки, изпълнявайте пълно антивирусно сканиране от време на време и т.н.
- Не доверявайте съхраняването на пароли от сайта, базите данни и хостинг акаунта на браузъри и FTP/SSH клиенти. Използвайте защитено. Самите пароли трябва да са дълги и сложни. Не забравяйте да ги сменяте периодично.
- Опитайте се да получите достъп до сайта само чрез SFTP или SSH, FTP протоколът е несигурен.
- Не изтривайте регистрационни файлове за грешки и регистрационни файлове за достъп до сайтове, преди да могат да ви бъдат полезни.
- Актуализирайте своевременно CMS, допълнителни модули и плъгини. Ако тези обекти са компрометирани или вече не се поддържат, те са уязвими за зловреден софтуер и хакерски атаки. Заменете ги с по-безопасни алтернативи. Също така се въздържайте от използване на софтуер от непроверени източници.
- Инсталирайте на място добра антивирусна, например вируса AI-Bolit и скрипта за почистване на хакове, или го свържете към услуга за автоматично лечение и защита като Virusdie.
Научете повече за услугите AI-Bolit и Virusdie
AI-Bolit (Aibolit) е лек, неизискващ антивирусен скрипт, предназначен да търси всички видове зловреден софтуер и уязвимости в хостинг и уебсайтове. Поддържа всякакви операционни системи, скриптове и CMS. За лична некомерсиална употреба основните функции на услугата са достъпни безплатно. В случай на инфекция специалистите помагат при анализа на докладите, лечението и инсталирането на превантивна защита.
Virusdie е цялостна услуга за антивирусна поддръжка (антивирусна програма, защитна стена, изследовател и файлов редактор). Освен от автоматично търсенеи премахване на вируси, помага за премахване на блокиране и други санкции от хостинг доставчици, антивирусен софтуер и търсачки от сайта. Поддържа най-популярните SMS. Сервизните услуги се заплащат, защитата на един сайт струва 249-1499 рубли годишно.
Чист интернет за вас!
Има много възможности за атаки срещу уеб ресурс, както и последствията от тези атаки. И както винаги, има само две цели - слава с банална радост от показването на собствените възможности и повсеместната облага, изразяваща се в пряка или косвена материална печалба, с други думи пари. И така, каква е заплахата? Ето пример за най-честите атаки срещу уебсайтове:
- заместване начална страницауебсайт е една от най-често срещаните форми на хакване. Вместо обичайното съдържание на корицата на сайта ще се кичи всичко - от име на злонамерен хакер до банални обиди.
- Премахване файлова система- цялата информация просто изчезва, което се превръща в повреда при липса на запазено копие на ресурса. Струва си да се отбележи, че базата данни с клиентски пароли, както и други данни с критична стойност, също могат да бъдат загубени.
- Подмяна на информация - нападателите могат да подменят телефона или други данни на организацията. В този случай вашите клиенти автоматично стават клиенти на нападатели.
- Настаняване троянци- в този случай най-вероятно няма да забележите посещението на хакер, поне всичко ще бъде насочено към това. Злонамерените програми могат да изпълняват различни функции - пренасочване към злонамерен сайт, кражба на лични данни от клиенти, заразяване на посетители с вируси и т.н.
- Спам - вашият сайт може да се използва за изпращане на спам, като в този случай вашата "истинска" кореспонденция няма да достигне до адресата, тъй като домейнът на вашата организация ще бъде въведен в централизираната база данни на спамерите почти веднага.
- Създаване на голямо натоварване - изпращане на умишлено неправилни заявки към уеб сървъра или други действия отвън, което ще доведе до затруднен достъп до сайта или срив операционна системасървър. Този тип атаки са много разпространени в интернет.
Резултатът от всички тези видове атаки е не само временно спиране на работата на ресурса, но и загуба на доверие в уебсайта в очите на клиентите. потребител, който е заразен зловреден кодна вашия ресурс или пренасочен от вашия сайт към сайт със съмнително съдържание, е малко вероятно някога отново да се осмели да напише адреса ви в лентата на браузъра.
Какво да правя?
Въпросът за сигурността на уебсайта може да бъде поставен още на етапа на разработка. Има много CMS системи(Content Management System - система за управление на съдържанието), която е шаблон, който улеснява управлението и развитието на сайта. Цялата гама от CSM системи може да бъде разделена на отворени (безплатни) и патентовани. Сред отворените можем да различим Drupal, Mambo, Joomla и Typo3, сред платените - 1C-Bitrix, NetCat, Amiro.CMS. Всички те са повече или по-малко безопасни, имат редица предимства и недостатъци. И така, коя CMS трябва да изберете? Разбира се, този въпрос остава под внимание във всеки конкретен случай, обаче статистиката показва, че в Русия по-голямата част от уеб студията, които използват разработка на трети страни за създаване на сайтове, използват продукта 1C-Bitrix. Зад това стоят редица фактори:
- Чрез сливането си с 1C Bitrix неофициално се превърна в национален стандарт за уеб разработка, базирана на CMS.
- 1C-Bitrix има сертификат за сигурност от Positive Technologies (който ще бъде обсъден по-късно), потвърждаващ неуязвимостта на системата към всички видове известни атаки срещу уеб приложения.
- В момента 1C-Bitrix е най-обещаващата CMS система на руския пазар, показваща най-добрия темп на растеж.
- Функционалността на продукта е достатъчна за създаване на комплексни корпоративни сайтове, информационни и справочни портали, онлайн магазини, медийни сайтове, както и за създаване на почти всякакъв друг вид уеб ресурси.
Създаването на сайтове, базирани на 1C-Bitrix, както и прехвърлянето на съществуващи ресурси към продуктовия двигател, е една от възможностите за решаване на редица проблеми със сигурността, предимно проблеми с уязвимостта, които ще бъдат обсъдени по-късно.
Сайтът вече е създаден - уязвим ли е?
Проверката на съществуващ уеб ресурс за уязвимост е много трудоемка задача. Процесът не се ограничава до директно сканиране - сайтът все още трябва да бъде преработен, да се запушат дупки и редица проблеми ще трябва да бъдат решени от страна на доставчика. И така, скенери за уязвимости.
Скенери за уязвимости- Това специални програмипроектиран да анализира мрежовата сигурност чрез сканиране и сондиране мрежови ресурсии идентифицирайте техните уязвими места. Просто казано, скенерът търси типични дупки и дупки в сигурността, като по този начин улеснява живота не само на собствениците на уебсайтове, но и на хакерите. Всички скенери за уязвимости могат да бъдат класифицирани в зависимост от метода на работа в 3 групи:
- Локални - инсталирани директно на проверявания възел и осигуряват висока надеждност. Работи от името сметкас максимални привилегии и използвайте само един метод за търсене на уязвимости - сравняване на файлови атрибути.
- Пасивен - използване като източник на данни мрежов трафик, но за разлика от мрежовите, те позволяват минимизиране на влиянието на скенера върху уязвимостите. В момента те не са широко разпространени, но изглеждат много обещаващи.
- Мрежа - най-популярната днес. Извършвайте проверки от разстояние, свързвайки се чрез мрежови услуги.
Има много производители на скенери за уязвимости, има много прегледи и тестове, подчертаващи продукта на определена компания. Ето някои от най-разпространените скенери: Nessus, XSpider, IBM Internet Scanner, Retina, Shadow Security Scanner, Acunetix, N-Stealth.
XSpider (заменен от MaxPatrol) е скенер от руския производител Positive Technologies. Той има наистина обширен списък от функции - евристичен анализ и откриване на тип сървър, пълно сканиране на портове и картографиране на услуги, проверка за стандартни пароли, анализ на SQL инжектиране, XSS атаки и почти ежедневни актуализации на уязвимости. В сравнение с конкурентите, скенерът демонстрира по-добра идентификация на услуги и приложения, като в резултат осигурява повече и по-точно откриване на уязвимости с минимален процент фалшиви сигнали. Продуктът е един от най-добрите решенияне само на руската, но и на световната сцена, затова решихме да го отделим.
Какво трябва да се промени?
Защитата на уеб ресурс е процес, който комбинира определен набор от действия. Съществуващата система първо се изследва за сигурност, след което се определят редица мерки и дейности, които да бъдат извършени за постигане на тази сигурност. Това може да са услугите на програмисти, които разработват или оптимизират сайта, и услугите на инженери, които решават технически въпроси, и, разбира се, определен набор от организационни мерки. Всичко зависи от желанието и възможностите на клиента.
е показано, че повече от 70% от сканираните уебсайтове са били заразени с една или повече уязвимости.
Като собственик на уеб приложение, как гарантирате, че вашият сайт е защитен от онлайн заплахи? Или от изтичане на поверителна информация?
Ако използвате облачно базирано решение за сигурност, вероятно редовното сканиране за уязвимости е част от вашия план за защита.
Ако обаче не, трябва да извършите рутинно сканиране и да предприемете необходимите стъпки за смекчаване на рисковете.
Има два вида скенери.
1. Търговски - Дава ви възможност да автоматизирате сканирането за непрекъсната сигурност, докладване, предупреждения, подробни инструкциинамаляване на риска и т.н. Някои от известните имена в тази индустрия са:
Акунетикс
откривам
Qualys
Отворен код / Безплатно - Можете да изтеглите и да извършите проверки за сигурност при поискване.
Не всички от тях ще могат да покрият широк спектър от уязвимости, като например търговски.
Нека да разгледаме следните скенери за уязвимости с отворен код.
1. Арахни
Arachni е високоефективен Ruby-базиран скенер за сигурност за модерни уеб приложения.
Предлага се в двоичен формат за Mac, Windows и Linux.
Не само, че е основно статично или CMS решение за уебсайт, но Arachni също може да се интегрира със следните платформи.
Извършва активни и пасивни проверки.
Windows, Solaris, Linux, BSD, Unix
Nginx, Apache, Tomcat, IIS, Jetty
Java, Ruby, Python, ASP, PHP
Django, Rails, CherryPy, CakePHP, ASP.NET MVC, Symfony
Някои от откритите уязвимости:
NoSQL / Blind / SQL / Code / LDAP / Command / XPath инжектиране
Заявка за фалшифициране междусайтови скриптове
обходен път
Включително локален/отдалечен файл
Разделяне на отговора
Междусайтов скрипт
Недефинирани DOM пренасочвания
Разкриване на изходния код
2.XssPy
Базираният на Python XSS (междусайтов скрипт) скенер за уязвимости се използва от много организации, включително Microsoft, Stanford, Motorola, Informatica и др.
XssPy от Faizan Ahmad е интелигентен инструмент. Вместо просто да проверявате начална страницаили страница, той проверява всички връзки на уебсайтове.
XssPy също проверява поддомейна.
3. w3af
w3af, проект с отворен код, стартиран в края на 2006 г., е базиран на Python и е достъпен за Linux и Windows. w3af е в състояние да открие над 200 уязвимости, включително топ 10 на OWASP.
Той подкрепя различни методирегистриране за докладване.Пример:
csv
HTML
Конзола
Текст
XML
електронна поща адрес
Той е изграден върху архитектура на плъгини и можете да проверите всички налични плъгини.
4. Никто
Проект с отворен код, спонсориран от Netsparker, има за цел да намери грешна конфигурация на уеб сървъра, плъгини и уеб уязвимости.
5.Wfuzz
Wfuzz (Web Fuzzer) е инструмент за оценка на приложения за тестване на проникване.
Можете да закъсате данните в HTTP заявката за всяко поле, за да използвате уеб приложението и да го валидирате.
Wfuzz изисква Python да бъде инсталиран на машината, на която искате да стартирате сканирането.
6.OWASP ZAP
ZAP (Zet Attack Proxy) е един от известните инструменти за тестване на проникване, който се актуализира активно от стотици доброволци по целия свят.
Това е междуплатформен Java инструмент, който може да работи дори на Raspberry Pi.
ZIP се намира между браузъра и уеб приложението, за да прихваща и проверява съобщения.
Някои от следните функции на ZAP, които трябва да бъдат споменати.
Фузер
Автоматичен и пасивен скенер
Поддръжка на множество скриптови езици
принуден изглед
7. Wapity
Wapiti сърфира в уеб страниците на дадена цел и търси скриптове и форма за въвеждане, за да види дали е уязвима.
Това не е проверка на сигурността на изходния код, а по-скоро проверка на черна кутия.
Поддържа GET и POST HTTP методи, HTTP и HTTPS проксита, множество удостоверявания и др.
8. Вега
Vega, разработена от Subgraph, мултиплатформена софтуер, написан на Java, за намиране на XSS, SQLi, RFI и много други уязвимости.
Vega получи удобен за потребителя графичен интерфейс и може да извършва автоматично сканиране, като влезе в приложението с посочените идентификационни данни.
Ако сте разработчик, можете да използвате vega API за създаване на нови модули за атака.
9. SQLmap
Както можете да се досетите от името, можете да извършвате тестове за проникване в базата данни с помощта за намиране на недостатъци.
Работи с Python 2.6 или 2.7 на всяка операционна система. Ако искате, тогава sqlmap ще бъде по-полезен от всякога.
10 грайфер
Това е малък инструмент, базиран на Python, който прави няколко неща доста добре.
Някои от функциите на Grabber:
Анализатор на изходния код на JavaScript
Междусайтови скриптове, SQL инжектиране, сляпо SQL инжектиране
Тестване на PHP приложения с помощта на PHP-SAT
11. Голисмеро
Рамка за управление и изпълнение на някои популярни инструменти за сигурност като Wfuzz, DNS recon, sqlmap, OpenVas, анализатор на роботи и др.).
Golismero може да консолидира прегледи от други инструменти и да покаже един резултат.
12. OWASP Xenotix XSS
Xenotix XSS OWASP е усъвършенствана рамка за намиране и използване на междусайтови скриптове.
Има три вградени интелигентни фюзера за бързо сканиране и подобрени резултати.
13.Метасканиране
Скенер за уязвимости за уеб приложения от местни разработчици
Зареждане...