Авторизация | Регистрация нового пользователя

> >

Новости ИТ-бизнеса

18.04.2024
TikTok оголосив про початок тестування конкурента Instagram

18.04.2024
Україна вперше візьме участь у навчаннях з кібероборони NATO

17.04.2024
На фронт відправили кілька тисяч пристроїв РЕБ українського виробництва

17.04.2024
У Дніпрі викрили аферистку, яка видавала себе за військового та просила гроші на лікування

17.04.2024
CERT-UA попередила про кіберзагрозу для Сил оборони України

Другие новости

Современные решения

OKI: две новые линейки высокопроизводительных МФУ серии МВ700/MC700

Эволюция бизнеса: как с помощью Canon трансформировать свой бизнес

Дорога в облако. Подход HP

Другие решения

	Версия для печати
	Версия для печати с изображениями
	Отправить ссылку
	Поместить в блог
	Добавить комментарий
	Написать в редакцию
	Подписаться на рассылки

17 апреля - 23 апреля 2008 №7 (77)

Веб-стража

Автор: Сергей Маковец

21.04.2008

Аудит защищенности веб-приложений с помощью Acunetix Web Vulnerability Scanner
Для многих компаний веб-сайты превратились в привычную рабочую среду. Подавляющее большинство бизнес-приложений, таких как CRM и ERP-системы, уже давно обзавелось веб-интерфейсами. Разнообразие средств коммуникации и территориальная распределенность сотрудников компаний делают http-приложения выгодным средством обмена данными и управления информационными активами.

Интерфейс Acunetix Web Vulnerability Scanner

В то же время веб-приложение представляет собой один из самых незащищенных участков ИТ-инфраструктуры. По результатам анализа 10 тысяч сайтов, проведенного компанией Acunetix, было установлено, что более 70% веб-ресурсов имеют низкую степень защищенности. Стандартные средства межсетевой защиты (брандмауэры, SSL, ограничение возможностей сервера) не могут перекрыть доступ к незащищенной информации через интернет-приложения. Воздействуя на веб-интерфейс, злоумышленник способен получить доступ к файлам, базе данных, корпоративной почте и другим информационным ресурсам организаций.

Для обеспечения безопасности ИТ-отделы могут наращивать разнообразные механизмы защиты или даже делать их избыточными, но решит ли это проблему в корне? Ситуация усложняется еще и тем, что многие европейские организации и структуры обязаны соответствовать современным стандартам ИТ-безопасности, в последнее время подобные требования все чаще предъявляются и к отечественному бизнесу. Но если охрана внутренней конфиденциальной информации – дело самой компании, то, например, банк ручается за сохранность данных перед своими клиентами.

Для защиты информации о владельцах платежных карт в банковских сетях и структурных ИТ-компонентах применяется стандарт Payment Card Industry Data Security Standard (PCI DSS). К сожалению, сегодня ощущается нехватка сертифицированных интеграторов, способных подготовить ИТ-инфраструктуру в соответствии с его требованиями.

Отчасти справиться с возникающими перед отделами ИБ проблемами помогает специальное ПО. Существует ряд инструментов для проведения аудита защищенности веб-приложений. Один из них – Web Vulnerability Scanner (WVS) производства Acunetix. Эта программа представляет собой сканнер, который проверяет все уязвимые места веб-сайта, в том числе анализируя SQL-инъекции, Cross site scripting и прочее. Acunetix Web Vulnerability Scanner имеет следующие средства:

• автоматический анализатор JavaScript, выполняющий безопасное тестирование приложений Ajax и Web 2.0;

• Visual macro recorder, позволяющий увидеть, в каких именно местах были найдены ошибки. Облегчает работу с веб-бланками и страницами, защищенными паролями;

• многопотоковый сканер, способный быстро проверить сотни тысяч страниц;

• поисковый агент, определяющий тип веб-сервера и язык приложения;

• средства исследования и анализа содержимого веб-сайтов, включая flash-контент, SOAP и AJAX.

WVS составляет отчеты, совместимые со стандартом безопасности PCI DSS, а также согласуется с нормативными актами Health Insurance Portability and Accountability Act (HIPAA) и Web Application Security Consortium (WASC). Это несомненное преимущество продукта, ведь аудитору не нужно интерпретировать данные и создавать еще один отчет. Кроме того, сканер составляет отчеты для руководителя отдела ИБ и веб-программистов. Такое разнообразие отчетов позволит провести как внутренний аудит на этапе разработки приложения, так и внешний, который предусмотрен требованием 6.6 стандарта PCI DSS. Оно предписывает проверку программного кода веб-приложения на наличие уязвимостей перед введением продукта в эксплуатацию. Причем этот аудит должна проводить компетентная сторонняя компания.

С развитием технологий защиты идут вперед и технологии взлома. Поэтому на этапе эксплуатации для поддержки достаточного уровня защищенности веб-приложения стандарт PCI DSS регламентирует регулярную проверку систем и процессов обеспечения безопасности. База угроз и программные модули Web Vulnerability Scanner обновляются часто, поэтому приложение периодически проводит аудит с актуальным набором угроз безопасности.

При построении отчетов Acunetix WVS следит за выполнением большого числа требований стандарта PCI DSS, в частности, за удалением ненужной функциональности, шифрованием канала удаленного административного доступа к системе, шифрованием данных о держателях карт при передаче их через общедоступные сети. Очень важным является требование о разработке и поддержке безопасных систем и приложений, в соответствии с которым ПО не должно быть подвержено следующим уязвимостям:

• отсутствие проверки входных данных;

• обход системы контроля доступа;

• обход системы аутентификации и управления сессиями;

• возможность реализации атаки Cross Site Scripting;

• переполнение буфера (сканер пытается вызвать ошибку программы, которая возникает путем ввода слишком большого параметра, способного изменить переменные, хранящиеся в памяти, например пароля администратора);

• инъекции (заведомо измененные запросы, влияющие на состояние системы, например удаление записи в БД);

• некорректная обработка ошибок (отсутствие обработчика ошибок может привести к непрогнозируемому поведению системы);

• небезопасное хранение информации (некорректно указаны права доступа к файлам и таблицам данных и т. п.);

• отказ в обслуживании (ошибка в системе, которая возникает при слишком большом числе запросов к ней);

• небезопасное управление конфигурацией (уязвимости при администрировании системы).

В создаваемом программой отчете приводится количество нарушений данных требований в разных модулях приложения. Также WVS предоставляет детальную информацию по каждому нарушению с указанием типа уязвимости и причин ее возникновения. Встроенный анализатор дает в отчете и разнообразные рекомендации по изменению конфигурации веб-сервера, некоторых скриптов и механизмов. Воспользовавшись ими, администратор сможет без труда устранить уязвимость.

Лицензирование Web Vulnerability Scanner достаточно гибкое. Так, компания может приобрести приложение для сканирования одного корпоративного веб-ресурса или же бесконечного их числа. Кроме того, есть вариант лицензирования Consultant Version, позволяющий проводить аудит третьих компаний и предоставлять его как услугу. Для всех типов лицензий доступны как годовая подписка, так и неограниченное во времени использование.

Поместить в блог

<table border="0" width="75%" style="margin:10px; border:2px solid #036; background-color:#FFF;"><tr><td align="right"><a href="http://www.pcweek.ua" target="_blank"><img src="http://www.pcweek.ua/images/pcweek/logo-blog.gif" style="width:100px; height:30px; border:0;" alt="PC Week/UE"></a></td></tr><tr><td><a href="http://www.pcweek.ua/themes/detail.php?ID=120553" target="_blank" style="font:14px Arial; color:#000; text-decoration:none; font-weight:bold;">Веб-стража</a><br><a href="http://www.pcweek.ua/themes/detail.php?ID=120553" target="_blank" style="font:12px Arial; color:#000; text-decoration:none;"><strong>Аудит защищенности веб-приложений с помощью Acunetix Web Vulnerability Scanner</strong><br />Для многих компаний веб-сайты превратились в привычную рабочую среду. Подавляющее большинство бизнес-приложений, таких как CRM и ERP-системы, уже давно обзавелось веб-интерфейсами. Разнообразие средств коммуникации и территориальная распределенность сотрудников компаний делают http-приложения выгодным средством обмена данными и управления информационными активами.</a></td></tr><tr><td align="right"><a href="http://www.pcweek.ua/themes/detail.php?ID=120553" target="_blank" style="font:12px Arial;">Открыть материал</a></td></tr></table>

Комментарии к статье

Форум

Наступило время экспериментов (Noname, 08.04.2016 09:45:00)

Укртелеком в 4 раза снижает стоимость звонков на мобильные (СЕргей, 06.04.2016 19:11:59)

Укравтодор отмечает дорожные работы и перекрытия на Яндекс.Картах (Noname, 05.04.2016 17:30:44)

Яндекс.Карты объявляют конкурс для киевлян (Хтось, 17.02.2016 12:24:08)

Информационная безопасность: в поисках совершенной защиты (Лариса Ершова, 09.11.2015 18:39:47)

Другие темы

Газета PC Week Ukrainian Edition печатается по лицензионному соглашению с компанией Ziff Davis Publishing Inc. Перепечатка материалов допускается только c разрешения редакции. За содержание рекламных объявлений редакция ответственности не несет. Editorial items appearing in PC Week/UE that were originally published in the U.S. edition of PC Week are the copyright property of Ziff Davis Publishing Inc. Copyright 2015 Ziff Davis Inc. All rights reserved. PC Week is trademark of Ziff Davis Publishing Holding Inc.
© 2024 ООО “ПИСИВИК УКРАИНА”. Информация об авторских правах и порядке использования материалов сайта