Ασφάλεια ευπάθειας σε συστήματα που βασίζονται στο Web - dummies

Τα συστήματα που βασίζονται στο Web περιέχουν πολλά στοιχεία, συμπεριλαμβανομένου του κώδικα εφαρμογής, των συστημάτων διαχείρισης βάσεων δεδομένων, των λειτουργικών συστημάτων, του μεσαίου λογισμικού και του ίδιου του λογισμικού διακομιστή ιστού. Αυτά τα στοιχεία ενδέχεται, ατομικά και συλλογικά, να παρουσιάζουν ελαττώματα σχεδιασμού ή εφαρμογής ασφαλείας. Μερικά από τα ελαττώματα που παρουσιάζονται είναι τα παρακάτω:

• Αποτυχία παρεμπόδισης των επιθέσεων ένεσης. Επιθέσεις όπως η ένεση JavaScript και η ένεση SQL μπορούν να επιτρέψουν σε έναν εισβολέα να προκαλέσει δυσλειτουργία μιας εφαρμογής ιστού και να εκθέσει ευαίσθητα εσωτερικά αποθηκευμένα δεδομένα.
• Ελαττωματικός έλεγχος ταυτότητας. Υπάρχουν πολλοί, πολλοί τρόποι με τους οποίους ένας ιστότοπος μπορεί να εφαρμόσει τον έλεγχο ταυτότητας - είναι πάρα πολύ μεγάλοι για να καταχωρίσετε εδώ. Ο έλεγχος ταυτότητας είναι απαραίτητος για να γίνει σωστός. πολλές τοποθεσίες αποτυγχάνουν να το κάνουν.
• Ελαττωματική διαχείριση συνεδρίας. Οι διακομιστές Web δημιουργούν λογικές "περιόδους σύνδεσης" για να παρακολουθούν τους μεμονωμένους χρήστες. Πολλοί μηχανισμοί διαχείρισης περιόδων σύνδεσης των ιστότοπων είναι ευάλωτοι σε κατάχρηση, κυρίως που επιτρέπουν σε έναν εισβολέα να αναλάβει τη συνεδρία ενός άλλου χρήστη.
• Αποτυχία παρεμπόδισης επιθέσεων scripting μεταξύ ιστοτόπων. Ιστοσελίδες που δεν εξετάζουν και απολυμαίνουν τα δεδομένα εισόδου. Ως αποτέλεσμα, οι επιτιθέμενοι μπορούν μερικές φορές να δημιουργούν επιθέσεις που αποστέλλουν κακόβουλο περιεχόμενο στον χρήστη.
• Αποτυχία παρεμπόδισης επιθέσεων πλαστογράφησης αίτησης μεταξύ ιστότοπων. Οι ιστότοποι που αποτυγχάνουν να χρησιμοποιήσουν την κατάλληλη διαχείριση περιβάλλοντος συσκέψεων και συνεδριών μπορεί να είναι ευάλωτες σε επιθέσεις στις οποίες οι χρήστες παραπλανούνται για την αποστολή εντολών σε ιστότοπους που ενδέχεται να τους προκαλέσουν βλάβη.

  Ένα παράδειγμα είναι το σημείο όπου ένας εισβολέας κόβει τον χρήστη να κάνει κλικ σε έναν σύνδεσμο που πραγματικά μεταφέρει τον χρήστη σε μια διεύθυνση URL όπως αυτή: // bank. com / μεταφορά; tohackeraccount: ποσό = 99999. 99 .

• Παράλειψη προστασίας άμεσων αναφορών αντικειμένων. Οι ιστοσελίδες μερικές φορές μπορούν να εξαπατηθούν για την πρόσβαση και την αποστολή δεδομένων σε έναν χρήστη που δεν έχει εξουσιοδότηση για να την δει ή να την τροποποιήσει.

Αυτά τα τρωτά σημεία μπορούν να μετριαστούν με τρεις βασικούς τρόπους:

• Κατάρτιση προγραμματιστών για τις τεχνικές ασφαλέστερης ανάπτυξης λογισμικού
• Συμπεριλαμβανομένης της ασφάλειας στον αναπτυξιακό κύκλο ζωής
• Χρήση δυναμικής και στατικής εφαρμογής εργαλεία σάρωσης