Лекция 13. Безопасность в Веб-разработке

Информационная безопасность – состояние защищенности информации (данных), при котором обеспечены ее (их) конфиденциальность, доступность и целостность
конфиденциальность (confidentiality) – состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право
целостность (integrity) – избежание несанкционированной модификации информации
доступность (availability) – избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа

2

Источник: Информационная безопасность,
http://ru.wikipedia.org/wiki/Информационная_безопасность

3

4

Законодательная, нормативно-правовая и научная база
Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ
Организационно-технические и режимные меры и методы (Политика информационной безопасности)
Программно-технические способы и средства обеспечения информационной безопасности.

5

Международные договоры РФ
Конституция РФ
Законы федерального уровня (включая федеральные конституционные законы, кодексы)
Указы Президента РФ
Постановления правительства РФ
Нормативные правовые акты федеральных министерств и ведомств
Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

6

Политика безопасности (информации в организации) (Organizational security policy) – совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности
Политика безопасности информационно-телекоммуникационных технологий (ІСТ security policy) – правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию

Средства защиты от несанкционированного доступа (НСД)
Системы анализа и моделирования информационных потоков (CASE-системы)
Системы мониторинга сетей
Анализаторы протоколов
Антивирусные средства
Межсетевые экраны
Криптографические средства
Системы резервного копирования
Системы бесперебойного питания
Системы аутентификации
Средства предотвращения взлома корпусов и краж оборудования
Средства контроля доступа в помещения
Инструментальные средства анализа систем защиты

7

Аутентификация (Authentication)
Подбор (Brute Force)
Недостаточная аутентификация (Insufficient Authentication)
Небезопасное восстановление паролей (Weak Password Recovery Validation)

8

Авторизация (Authorization)
Предсказуемое значение идентификатора сессии (Credential/Session Prediction)
Недостаточная авторизация (Insufficient Authorization)
Отсутствие таймаута сессии (Insufficient Session Expiration)
Фиксация сессии (Session Fixation)

9

Атаки на клиентов (Client-side Attacks)
Подмена содержимого (Content Spoofing)
Межсайтовое выполнение сценариев (Cross-site Scripting, XSS)
Расщепление HTTP-запроса (HTTP Response Splitting)

10

Выполнение кода (Command Execution)
Переполнение буфера (Buffer Overflow)
Атака на функции форматирования строк (Format String Attack)
Внедрение операторов LDAP (LDAP Injection)
Выполнение команд ОС (OS Commanding)
Внедрение операторов SQL (SQL Injection)
Внедрение серверных расширений (SSI Injection)
Внедрение операторов XPath (XPath Injection)

11

Разглашение информации (Information Disclosure)
Индексирование директорий (Directory Indexing)
Идентификация приложений (Web Server/Application Fingerprinting)
Утечка информации (Information Leakage)
Обратный путь в директориях (Path Traversal)
Предсказуемое расположение ресурсов (Predictable Resource Location)

12

Логические атаки (Logical Attacks)
Злоупотребление функциональными возможностями (Abuse of Functionality)
Отказ в обслуживании (Denial of Service)
Недостаточное противодействие автоматизации (Insufficient Anti-automation)
Недостаточная проверка процесса (Insufficient Process Validation)
Вирусы и приложения типа «троянский конь»

13

Архитектура









Источник: IE 8 XSS Filter Architecture / Implementation , http://blogs.technet.com/srd/archive/2008/08/19/ie-8-xss-filter-architecture-implementation.aspx

14

Предупреждение XSS-фильтра






Источник: IE8 Security Part IV: The XSS Filter , http://www.securitylab.ru/analytics/275087.php

15

Предупреждение одного из фишинг-сайтов









Источник: IE8 Security Part VIII: SmartScreen Filter Release Candidate Update , http://blogs.msdn.com/ie/archive/2009/02/09/ie8-security-part-viii-smartscreen-filter-release-candidate-update.aspx

16

Рейтинг блокировок фишинг-атак для разных браузеров








Источник: Real-World Protection With IE8’s SmartScreen Filter , http://blogs.msdn.com/ie/archive/2009/08/13/real-world-protection-with-ie8-s-smartscreen-filter.aspx

17

Data Execution Prevention – функция безопасности, встроенная в семейство операционных систем Windows, которая не позволяет приложению исполнять код из области памяти, помеченной как «только для данных»
DEP в Internet Explorer 8 помогает избежать атак путем предотвращения запуска кода, размещенного в участке памяти, помеченном как неисполняемый

18

SSL (Secure Sockets Layer, уровень защищенных сокетов) – криптографический протокол, который обеспечивает установление безопасного соединения между клиентом и сервером
SSL предоставляет канал, имеющий 3 основные свойства:
Аутентификация. Сервер всегда аутентифицируется, в то время как клиент аутентифицируется в зависимости от алгоритма.
Надежность. Обмен сообщениями включает в себя проверку целостности.
Частность канала. Шифрование используется после установления соединения и используется для всех последующих сообщений.

19

Диалог SLL









Источник: Процедуры, диагностики и безопасность в Интернет , http://www.intuit.ru/department/network/pdsi/15/1.html

20

HTTPS (Hypertext Transfer Protocol Secure) – расширение протокола HTTP, поддерживающее шифрование
HTTPS – это обычный HTTP, работающий через шифрованные транспортные механизмы SSL и TLS
По умолчанию HTTPS URL использует 443 TCP-порт
Для обработки HTTPS -соединений, администратор должен получить и установить в систему сертификат для этого веб-сервера
Для шифрования используется длина ключа 40, 56, или 128 бит

21