1 Анализ актуальных угроз и оценка защищенности web-приложений
1.1 Анализ актуальных угроз web-приложениям
Для того чтобы рассмотреть основные угрозы web-приложениям, тре-буется определить терминологию и основные определения, скрывающиеся за этими понятиями.
На данный момент существует большое множество разнообразных определений, касающихся web-приложений. Это обусловлено отсутствием законодательных актов, однозначно вводящих данное понятие, а также сло-жившейся средой рынка сетевых технологий, в которой каждый производи-тель различного рода Интернет-решений использует собственную термино-логию. Если обобщить разрозненные трактовки, то можно вывести следую-щее определение, которое будет использоваться при дальнейшей работе:
«Web-приложение — это программа, использующая для работы кли-ент-серверную технологию, где в качестве сервера выступает web-сервер, а роль клиента выполняет браузер пользователя или другое специально раз-работанное для этой цели приложение».
Что касается термина «угроза web-приложению», то, основываясь на принятых в Российской федерации государственных стандартах, в которых приводится понятие «угроза», можно вывести следующее определение:
Угрозой web-приложению - называется совокупность потенциально возможных событий, условий и факторов, которые могут привести к нару-шению работы приложения, либо одного или нескольких свойств использу-емой при его работе информации».[1]
При дальнейшем рассмотрении перечня угроз, следует учитывать, что угрозы web-приложениям невозможно полностью отделить и рассматривать обособленно от угроз web-ресурсам или web-страницам, по причине того, что множество из них осуществляет свою работу, основываясь не только на соб-ственных базах данных, но и на тех, что предоставляют web-ресурсы, на ко-торых расположено web-приложение. Следовательно, при осуществлении успешной атаки на web-сервер или его ресурс, может быть нарушена работа и web-приложения.
Существует несколько различных классификаций угроз web-приложениям. Одну из наиболее полных классификаций приводит «Web Application Security Consortium)). На основании данной классификации, проведено множество работ и исследований от ведущих организаций в об-ласти обеспечения защищённости web-приложений, в том числе и тех на ко-торые будет сделан упор при дальнейшем разборе данной темы. Согласно первому варианту, выпущенному в 2004 году, можно было выделить 6 ос-новных группировок угроз, в которые входило 26 угроз, сгруппированных по типам применяемой атаки. Однако в 2010 году вышла новая классифика-ция, расширяющая спектр возможных разновидностей угроз до 34 и 15 уязвимостей, к которым никакой группировки не предполагалось.
К первой группе относится угроза, использующая атаку на уязвимости аутентификации пользователей, при осуществлении доступа к web-серверу. В данной группировке имеется всего одна угроза, - угроза перебора (Brute Force), однако она использует для своей работы сразу две уязвимости:
• Недостаточная аутентификация (Insufficient Authentication).
• Небезопасное восстановление паролей (Weak Password Recovery Validation).
Ко второй группе угроз относятся угрозы авторизации. Данный термин подразумевает подтверждение наличия у пользователя или пользователь-ского приложения необходимых прав и привилегий, для осуществления за-прашиваемых действий, путём осуществления web-сервером необходимой проверки. Подобное разграничение прав является достаточно актуальным для web-ресурсов и получения доступа к ним, хотя может и не иметь прямого отражения в самих web-приложениях. Самым типичным и распространённым примером разграничения прав является деление на права пользователя и администратора. Атаки, нацеленные на авторизацию, как правило, подразу-мевают, получение каким-либо образом повышенных прав злоумышленни-ком и делятся на следующие три типа угроз:
Весь текст будет доступен после покупки
