Web безопасность: от уязвимостей до мониторинга / Хабр

Содержание

от уязвимостей до мониторинга / Хабр

Уязвимости веб-приложений возникают тогда, когда разработчики добавляют небезопасный код в веб-приложение. Это может происходить как на этапе разработки, так и на этапе доработки или исправления найденных ранее уязвимостей. Недостатки часто классифицируются по степени критичности и их распространенности. Объективной и наиболее популярной классификацией уязвимостей считается OWASP Top 10. Рейтинг составляется специалистами OWASP Project и актуализируется каждые 3-4 года. Текущий релиз выпущен в 2017 году, а следующий ожидается в 2020-2021.

OWASP TOP 10 (на всякий случай)

А1 Инъекции — Уязвимости, связанные с внедрением SQL, NoSQL, OS и LDAP. Возникают, когда непроверенные данные отправляются интерпретатору в составе команды или запроса. Вредоносные данные могут заставить интерпретатор выполнить непредусмотренные команды или обратиться к данным без прохождения соответствующей авторизации.

А2 Недостатки аутентификации — Функции приложений, связанные с аутентификацией и управлением сессиями, часто некорректно реализуются, позволяя злоумышленникам скомпрометировать пароли, ключи или сессионные токены, а также эксплуатировать другие ошибки реализации для временного или постоянного перехвата учетных записей пользователей.

А3 Разглашение конфиденциальных данных — Многие веб-приложения и API имеют плохую защиту критичных финансовых, медицинских или персональных данных. Злоумышленники могут похитить или изменить эти данные, а затем осуществить мошеннические действия с кредитными картами или персональными данными. Конфиденциальные данные требуют дополнительных мер защиты, например их шифрования при хранении или передаче, а также специальных мер предосторожности при работе с браузером.

А4 Внедрение внешних сущностей XML — Старые или плохо настроенные XML-процессоры обрабатывают ссылки на внешние сущности внутри документов. Эти сущности могут быть использованы для доступа к внутренним файлам через обработчики URI файлов, общие папки, сканирование портов, удаленное выполнения кода и отказ в обслуживании.

А5 Недостатки контроля доступа — Действия, разрешенные аутентифицированным пользователям, зачастую некорректно контролируются. Злоумышленники могут воспользоваться этими недостатками и получить несанкционированный доступ к учетным записям других пользователей или конфиденциальной информации, а также изменить пользовательские данные или права доступа.

А6 Некорректная настройка параметров безопасности — Некорректная настройка безопасности является распространенной ошибкой. Это происходит из-за использования стандартных параметров безопасности, неполной или специфичной настройки, открытого облачного хранения, некорректных HTTP-заголовков и подробных сообщений об ошибках, содержащих критичные данные. Все ОС, фреймворки, библиотеки и приложения должны быть не только настроены должным образом, но и своевременно корректироваться и обновляться.

А7 Межсайтовое выполнение сценариев — XSS имеет место, когда приложение добавляет непроверенные данные на новую вебстраницу без их соответствующей проверки или преобразования, или когда обновляет открытую страницу через API браузера, используя предоставленные пользователем данные, содержащие HTML- или JavaScript-код. С помощью XSS злоумышленники могут выполнять сценарии в браузере жертвы, позволяющие им перехватывать пользовательские сессии, подменять страницы сайта или перенаправлять пользователей на вредоносные сайты.

А8 Небезопасная десериализация — Небезопасная десериализация часто приводит к удаленному выполнению кода. Ошибки десериализации, не приводящие к удаленному выполнению кода, могут быть использованы для атак с повторным воспроизведением, внедрением и повышением привилегий.

А9 Использование компонентов с известными уязвимостями — Компоненты, такие как библиотеки, фреймворки и программные модули, запускаются с привилегиями приложения. Эксплуатация уязвимого компонента может привести к потере данных или перехвату контроля над сервером. Использование приложениями и API компонентов с известными уязвимостями может нарушить защиту приложения и привести к серьезным последствиям.

А10 Недостатки журналирования и мониторинга — Недостатки журналирования и мониторинга, а также отсутствие или неэффективное использование системы реагирования на инциденты, позволяет злоумышленникам развить атаку, скрыть свое присутствие и проникнуть в другие системы, а также изменить, извлечь или уничтожить данные. Проникновение в систему обычно обнаруживают только через 200 дней и, как правило, сторонние исследователи, а не в рамках внутренних проверок или мониторинга.

OWASP Top 10 в формате PDF.

Распространенные уязвимости

Для начала рассмотрим типовые уязвимости, которым подвержены многие веб-приложения.

Инъекции

Как и полагается, атаки класса «Инъекции» занимают лидирующую строчку рейтинга OWASP Top 10, встречаясь практически повсеместно и являясь крайне разнообразными в реализации. Уязвимости подобного класса начинаются SQL-инъекциями, в различных его вариациях, и заканчивая RCE — удаленным выполнением кода.

SQLi: http://example.com/?id=1' union select 1,2,version(),4
RCE: http://example.com/search.php?q=;+cat+/etc/passwd

XSS

Межсайтовый скриптинг — уязвимость, встречающаяся на данный момент куда реже, чем раньше, если верить рейтингу OWASP Top 10, но несмотря на это не стала менее опасной для веб-приложений и пользователей. Особенно для пользователей, ведь атака XSS нацелена именно на них. В общем случае злоумышленник внедряет скрипт в веб-приложение, который срабатывает для каждого пользователя, посетившего вредоносную страницу.

http://example.com/?search=<script>alert('xss')</script>

LFI/RFI

Уязвимости данного класса позволяют злоумышленникам через браузер включать локальные и удаленные файлы на сервере в ответ от веб-приложения. Эта брешь присутствует там, где отсутствует корректная обработка входных данных, которой может манипулировать злоумышленник, инжектировать символы типа path traversal и включать другие файлы с веб-сервера.

http://example.com/?search=/../../../../../../etc/passwd

Атаки через JSON и XML

Веб-приложения и API, обрабатывающие запросы в формате JSON или XML, также подвержены атакам, поскольку такие форматы имеют свои недостатки.

JSON

JSON (JavaScript Object Notation) — это облегченный формат обмена данными, используемый для связи между приложениями. Он похож на XML, но проще и лучше подходит для обработки с помощью JavaScript. Многие веб-приложения используют этот формат для обмена данными между собой и сериализации/десериализации данных. Некоторые веб-приложения также используют JSON для хранения важной информации, например, данных пользователя. Обычно используется в RESTful API и приложениях AJAX.

JSON чаще всего ассоциируется с API, тем не менее, часто используется даже в обычных и хорошо известных веб-приложениях. Например, редактирование материалов в WordPress производится именно через отправку запросов в формате JSON:

POST /index. php?rest_route=%2Fwp%2Fv2%2Fposts%2F12&_locale=user HTTP/1.1
Host: wordpress.example.com
...
%Другие заголовки%
...

{"id":12,"title":"test title","content":"test body","status":"publish"}

JSON Injection

Простая инъекция JSON на стороне сервера может быть выполнена в PHP следующим образом:

Сервер хранит пользовательские данные в виде строки JSON, включая тип учетной записи;

Имя пользователя и пароль берутся непосредственно из пользовательского ввода без очистки;

Строка JSON формируется с помощью простой конкатенации:

$json_string = '{"account":"user","user":"'.$_GET['user'].'","pass":"'.$_GET['pass'].'"}'</code>;</li>
	<li>Злоумышленник добавляет данные к своему имени пользователя: 
<code>john%22,%22account%22:%22administrator%22</code></li>
	<li>Результирующая строка JSON:
       <code>
       {
       "account":"user",
       "user":"john",
       "account":"administrator",
       "pass":"password"
       }

При чтении сохраненной строки парсер JSON (json_decode) обнаруживает две account-записи и берет последнюю, предоставляя права администратора пользователю john.

Простая инъекция JSON на стороне клиента может быть выполнена следующим образом:

JSON Hijacking

Захват JSON — атака, в некотором смысле похожая на подделку межсайтовых запросов (CSRF), при которой злоумышленник старается перехватить данные JSON, отправленные веб-приложению с веб-сервера:

Атакующий создает в

о технологиях веб-безопасности / Блог компании RUVDS.com / Хабр

Автор материала, перевод которого мы публикуем сегодня, говорит, что существует множество причин изучать веб-безопасность. Например, вопросами безопасности интересуются пользователи веб-сайтов, которых беспокоит возможность кражи их персональных данных. Безопасность заботит веб-разработчиков, которые стремятся к повышению уровня защиты создаваемых ими проектов. То же самое можно сказать и о начинающих программистах, которые ищут работу и готовятся к собеседованиям. Цель этой статьи заключается в том, чтобы понятным языком рассказать о некоторых важных технологиях веб-безопасности. Прежде чем приступить к разговору об этих технологиях, при упоминании которых обычно оперируют сокращениями вроде CORS, CSP и HSTS, рассмотрим пару базовых концепций безопасности.

Две базовых концепции веб-безопасности

▍100% защита — это миф

В мире безопасности нет такого понятия, как «100% защита от взлома». Если кто-нибудь когда-нибудь скажет вам о таком уровне защиты, знайте, что он ошибается.

▍Одного уровня защиты недостаточно

Предположим, некто полагает, что реализовав CSP, он полностью защитил свой проект от XSS-атак. Возможно, кто-то воспринимает то, что абсолютной защиты не существует, как данность, но мысли, подобные вышеописанной, могут посетить кого угодно. Если вести речь о программистах, которые решили разобраться в вопросах безопасности, то, возможно, причиной возникновения таких мыслей является тот факт, что, при написании программного кода, они, в основном, оперируют такими понятиями, как «чёрное» и «белое», 1 и 0, «истинно» и «ложно». Но в безопасности не всё так просто.

Технологии веб-безопасности

Начнём разговор о веб-безопасности с технологии, на которую разработчики обычно обращают внимание очень рано, скажем, в самом начале своего профессионального пути. Кстати, если задаться целью обхода этого метода защиты, на StackOverflow можно найти массу сведений о том, как это сделать. Речь идёт о CORS.

▍CORS

Видели когда-нибудь такую ошибку:

No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'null' is therefore not allowed access.

Встретившись с подобным, вы думаете, что вы, уж точно, не первый, с кем это случилось. Погуглив, вы выясняете, что, для того, чтобы эту проблему решить, достаточно установить некое расширение. Ну не замечательно ли? Однако технология CORS (Cross-Origin Resource Sharing, совместное использование ресурсов между разными источниками) существует не для того, чтобы мешать разработчикам, а для того, чтобы защищать их проекты.

Для того чтобы понять, как CORS позволяет защищать веб-проекты, сначала поговорим о куки-файлах, в частности — о куки, используемых для аутентификации пользователей. Подобные куки используются, при работе с неким веб-ресурсом, для того, чтобы сообщить серверу о том, что пользователь вошёл в систему. Они автоматически отправляются с запросами, выполняемыми к соответствующему серверу.

Предположим, вы вошли в свою учётную запись на Facebook, при этом Facebook использует аутентификационные куки. Работая в интернете, вы щёлкаете по ссылке bit.ly/r43nugi, вас перенаправляют на некий вредоносный сайт, скажем, на что-то вроде superevilwebsite.rocks. Скрипт, загруженный вместе со страницей этого сайта, выполняет клиентский запрос к facebook.com, используя ваш аутентификационный куки-файл.

В мире, где не было бы CORS, скрипт с superevilwebsite.rocks мог бы скрытно внести изменения в ваш FB-профиль, мог бы украсть какую-то информацию, со всеми вытекающими отсюда последствиями. В таком мире легко могла бы возникнуть «эпидемия superevilwebsite.rocks», когда скрипт, захватывающий управление аккаунтом пользователя, публикует на его странице ссылку, перейдя по которой друзья этого пользователя, «заражаются» сами, а через ссылки, опубликованные на их страницах, эпидемия, в итоге, охватывает весь Facebook.

Однако в мире, где есть CORS, Facebook разрешал бы только запросы на изменение данных учётных записей с источником facebook.com. Другими словами, администрация сайта ограничила бы совместное использование ресурсов между разными источниками.

Тут у вас может возникнуть следующий вопрос: «Но ведь superevilwebsite.rocks может просто изменить заголовок источника в своих запросах, и они будут выглядеть так, будто идут от facebook.com?».

Мошеннический сайт может попытаться это сделать, но у него ничего не получится, так как браузер будет игнорировать подобный заголовок и использовать реальные данные.

«А что если superevilwebsite.rocks выполнит подобный запрос с сервера?», — спросите вы.

В подобной ситуации CORS можно обойти, но никакого толку от этого не будет, так как, выполняя запрос с сервера, нельзя будет передать Facebook аутентификационный куки-файл. Поэтому скрипту, для успешного выполнения подобного запроса, необходимо выполняться на стороне клиента и иметь доступ к куки-файлам, хранящимся на клиенте.

▍CSP

Для того чтобы разобраться в том, что такое CSP (Content Security Policy, политика защиты контента), сначала надо поговорить об одной из самых распространённых веб-уязвимостей. Речь идёт о XSS (cross-site scripting, межсайтовый скриптинг).

При выполнении XSS-атаки злоумышленник внедряет специальный JavaScript-код в клиентскую часть некоего сайта. Можно подумать: «Ну и что будет делать этот скрипт? Менять цвета элементов страниц?».

Предположим, что некто успешно внедрил свой JS-скрипт в страницы сайта, на который вы зашли. Что опасного может сделать подобный скрипт? На самом деле, много всего:

Он может выполнять HTTP-запросы к другим сайтам, притворяясь, что делаете их вы.

Он может перенаправить вас на сайт, который выглядит точно так же как тот, на который вы вошли, но рассчитан, например, на кражу учётных данных.

Он способен добавлять на страницы теги <script>, содержащие некий JavaScript-код или рассчитанные на на загрузку каких-то JS-файлов.

Он может добавить на страницу элемент <iframe>, который будет, например, выглядеть в точности так же, как поля для ввода имени и пароля для входа на сайт. При этом настоящие поля для ввода таких данных будут скрыты.

На самом деле, возможности, открывающиеся перед злоумышленником при успешном выполнении XSS-атаки, безграничны.

Политика защиты контента пытается предотвратить подобное, применяя следующие ограничения:

Ограничения на то, что может быть открыто в <iframe>.

Ограничения на то, какие таблицы стилей могут быть загружены.

Ограничения на то, какие запросы можно выполнять.

Как же работает CSP?

Когда вы щелкаете по ссылке или вводите URL веб-сайта в адресной строке браузера, браузер выполняет GET-запрос. Запрос приходит на сервер, который передаёт браузеру некий HTML-код вместе с HTTP-заголовками. Если вам интересно посмотреть на эти заголовки — откройте, в инструментах разработчика браузера, вкладку Network, и посетите несколько сайтов. Заголовок ответа может выглядеть примерно так:

content-security-policy: default-src * data: blob:;script-src *.facebook.com *.fbcdn.net *.facebook.net *.google-analytics.com *.virtualearth.net *.google.com 127.0.0.1:* *.spotilocal.com:* 'unsafe-inline' 'unsafe-eval' *.atlassolutions.com blob: data: 'self';style-src data: blob: 'unsafe-inline' *;connect-src *.facebook.com facebook.com *.fbcdn.net *.facebook.net *.spotilocal.com:* wss://*.facebook.com:* https://fb.scanandcleanlocal.com:* *.atlassolutions.com attachment.fbsbx.com ws://localhost:* blob: *.cdninstagram.com 'self' chrome-extension://boadgeojelhgndaghljhdicfkmllpafd chrome-extension://dliochdbjfkdbacpmhlcpmleaejidimm;

Это — политика безопасности контента facebook. com. Преобразуем её к более удобному для чтения виду:

content-security-policy:
default-src * data: blob:;
script-src *.facebook.com *.fbcdn.net *.facebook.net *.google-analytics.com *.virtualearth.net *.google.com 127.0.0.1:* *.spotilocal.com:* 'unsafe-inline' 'unsafe-eval' *.atlassolutions.com blob: data: 'self';
style-src data: blob: 'unsafe-inline' *;
connect-src *.facebook.com facebook.com *.fbcdn.net *.facebook.net *.spotilocal.com:* wss://*.facebook.com:* https://fb.scanandcleanlocal.com:* *.atlassolutions.com attachment.fbsbx.com ws://localhost:* blob: *.cdninstagram.com 'self' chrome-extension://boadgeojelhgndaghljhdicfkmllpafd chrome-extension://dliochdbjfkdbacpmhlcpmleaejidimm;

Рассмотрим представленные здесь директивы CSP:

default-src — запрещает всё, что не задано в явном виде.

script-src — вводит ограничения на загружаемые скрипты.

style-src — вводит ограничения на загружаемые таблицы стилей.

connect-src — вводит ограничения на URL, ресурсы с которых которые могут быть загружены с использованием скриптовых интерфейсов, таких, как fetch, XHR, ajax, и так далее.

Обратите внимание на то, что, на самом деле, существует множество таких директив. Браузер читает CSP-заголовок и применяет соответствующие правила в пределах загруженного HTML-файла. Правильно настроенные директивы разрешают выполнение лишь тех действий, которые необходимы для правильной работы страницы.

Если CSP-заголовка у страницы нет, тогда никаких запретов к ней не применяется. Символы * в CSP-заголовке — это подстановочные знаки. Такой знак можно заменить чем угодно, и то, что получится, окажется разрешённым.

▍HTTPS

Наверняка вы слышали об HTTPS (HTTP Secure). Возможно, вам доводилось встречать примерно такие высказывания: «Зачем мне беспокоиться об HTTPS, если я просто играю в игру на сайте?». Или, возможно, вы сталкивались с такой идеей: «Если у вас нет HTTPS — то это просто безумие. На дворе 2018 год! Не верьте никому, кто говорит, что без HTTPS можно обойтись».

Возможно, вы слышали о том, что теперь Chrome маркирует сайт как небезопасный, если он не использует HTTPS.

Основное отличие HTTPS от HTTP заключается в том, что, при передаче данных по HTTPS они зашифровываются, а при передаче по HTTP — нет.

Почему на это стоит обращать внимание при передаче ценных данных? Всё дело в том, что при организации обмена данными по незащищённому каналу связи существует возможность MITM-атаки (Man In The Middle, атака посредника, или атака «человек посередине»).

Если вы, сидя в кафе, выходите в интернет через открытую точку доступа Wi-Fi, кто-то, довольно просто, может прикинуться маршрутизатором, через который идут все ваши запросы и ответы. Если ваши данные не зашифрованы, то посредник может сделать с ними всё, что ему вздумается. Скажем, он сможет редактировать HTML, CSS или JavaScript-код прежде чем он поступит с сервера в ваш браузер. Учитывая то, что мы уже знаем о XSS-атаках, вы можете представить, к каким последствиям это может привести.

«Как же это возможно: мой компьютер и сервер знают, как шифровать и дешифровать данные, которыми мы обмениваемся, а посредник-злоумышленник — нет?», — спросите вы. Это возможно благодаря использованию протокола SSL (Secure Sockets Layer) и более свежего протокола TLS (Transport Layer Security). TLS заменил SSL в 1999 году в качестве технологии шифрования, используемой в HTTPS. Обсуждение особенностей TLS выходит за рамки этого материала.

▍HSTS

Технология HSTS (HTTP Strict-Transport-Security, механизм принудительной активации защищённого соединения через протокол HTTPS) устроена довольно просто. В качестве примера снова рассмотрим соответствующий заголовок Facebook:

strict-transport-security: max-age=15552000; preload

Проанализируем его:

max-age задаёт время, в течение которого браузер должен принудительно переводить пользователя на работу с веб-сайтом по HTTPS.

preload — для наших целей это не важно.

Этот заголовок применяется только в том случае, если вы получаете доступ к сайту с использованием HTTPS. Если вы работаете с сайтом через HTTP, данный заголовок игнорируется. Причина этого весьма проста: обмен данными по HTTP защищён настолько слабо, что подобному заголовку нельзя доверять.

Снова прибегнем к примеру с Facebook для демонстрации практической полезности механизма HSTS. Предположим, вы в первый раз входите на facebook.com и при этом знаете, что HTTPS безопаснее, чем HTTP, поэтому вы используете такую ссылку: https://facebook.com. Когда ваш браузер получает HTML-код, он получает и заголовок, который сообщает браузеру о том, что он должен принудительно переводить вас на HTTPS при выполнении будущих запросов. Через месяц кто-то отправляет вам HTTP-ссылку на Facebook, http://facebook.com, и вы по ней щёлкаете. Так как месяц — это меньше, чем срок в 15552000 секунд, заданный директивой max-age, браузер отправит запрос по HTTPS, предотвращая потенциальную MITM-атаку.

Итоги

Сегодня мы обсудили некоторые технологии, которые повсеместно применяются для обеспечения безопасности веб-проектов. Полагаем, вопросы безопасности — это очень важно, так как они касаются абсолютно всех, кто связан с интернетом. Тема веб-безопасности огромна, поэтому нельзя говорить о том, что, после прочтения нескольких статей некто станет экспертом в этой области или хотя бы узнает достаточно для того, чтобы эффективно защитить свой веб-проект или свои личные данные. Но, как и в любой другой области, знания в сфере безопасности, при наличии желания их получать, накапливаются и их количество постепенно переходит в качество. Надеемся, этот материал сделал свой вклад в вашу систему знаний о веб-безопасности.

Уважаемые читатели! Сталкивались ли вы со случаями безответственного отношения к безопасности со стороны веб-разработчиков?

основы защиты сайтов, серверов и приложений

От автора: азы CORS, CSP, HSTS и всех акронимов веб-безопасности для веб-разработчиков!

Существует много причин узнать про веб безопасность больше:

Вы обеспокоенный пользователь, который боится кражи своих персональных данных

Вы заинтересованный веб-разработчик, который хочет сделать свои веб-приложения более безопасными

Вы — веб-разработчик, ищущий работу, и хотите быть готовым к тому, что ваши интервьюеры зададут вам вопросы о безопасности в Интернете.

JavaScript. Быстрый старт

Изучите основы JavaScript на практическом примере по созданию веб-приложения

Узнать подробнее

и так далее.

Ну, в этом посте мы объясним некоторые общие аббревиатуры веб-безопасности таким образом, который легко понять, но при этом точным.

Прежде чем мы это сделаем, давайте убедимся, что мы понимаем пару основных концепций безопасности.

Две основные концепции безопасности

Никто никогда не будет на 100% в безопасности.

Нет такого понятия, как 100-процентая защита от взлома. Если кто-нибудь когда-нибудь скажет вам это, они ошибаются.

Одного слоя защиты недостаточно.

Вы не можете просто сказать …

О, так как я реализовал CSP, я в безопасности. Я могу вычеркнуть межсайтовый скриптинг из списка уязвимостей своего сайта, потому что этого не может произойти сейчас.

Это вряд ли может быть, но легко поддаться искушению думать таким образом. Я думаю, что одна из причин, по которой программисты так думают заключается в том, что в кодировании все черно-белое, 0 или 1, истина или ложь. С безопасностью не все так просто.

Мы начнем с того, с чем все сталкиваются довольно рано в процессе веб-разработки.

Совместное использование ресурсов между разными источниками (Cross-Origin Resource Sharing — CORS)

Вы когда-нибудь получали ошибку, которая выглядела примерно так?

No ‘Access-Control-Allow-Origin’ header is present on the requested resource. Origin ‘null’ is therefore not allowed access.

Вы, конечно, в этом не одиноки. И тогда вы заходите в Google и ищете ответы, и кто-то говорит вам, что нужно установить это расширение, которое решит все ваши проблемы! Отлично, правда?

CORS предназначен для того, чтобы защитить вас, а не навредить вам!

Чтобы объяснить, как CORS помогает вам, давайте сначала поговорим о файлах cookie, в частности об аутентификационных файлах cookie. Аутентификационные файлы cookie используются, чтобы сообщить серверу, что вы вошли в систему, и они автоматически отправляются с любым запросом, который вы выполняете к этому серверу.

Допустим, вы вошли в систему Facebook, и они используют для аутентификации файлы cookie. Вы нажимаете на bit.ly/r43nugi, который перенаправляет вас на superevilwebsite.rocks. Скрипт в superevilwebsite.rocks выполняет клиентский запрос к facebook.com, который отправляет ваш файл cookie для аутентификации!

В мире без CORS они могут вносить изменения в ваш аккаунт, даже без вашего ведома. Затем они опубликуют bit.ly/r43nugi в вашей ленте, и все ваши друзья кликнут по этой ссылке, а затем bit.ly/r43nugi будет отправлено в ленты всех ваших друзей, и этот порочный круг расширится, пока весь мир не будет охвачен superevilwebsite.rocks.

Однако в мире CORS Facebook разрешает для редактирования данных на своем сервере только запросы с источником facebook.com. Другими словами, они ограничивают совместное использование ресурсов с помощью разных источников. Тогда вы можете спросить …

Ну может ли superevilwebsite.rocks просто изменить исходный заголовок на их запрос, чтобы он выглядело так, как будто он идет с facebook. com?

Они могут попробовать, но это не сработает, потому что браузер просто проигнорирует его и использует реальный источник.

Хорошо, но что, если superevilwebsite.rocks сделал запрос на стороне сервера?

В этом случае они могут обойти CORS, но они ничего не выиграют от этого, потому что не смогут отправить ваш cookie аутентификации. Скрипт должен выполняться на стороне клиента, чтобы получить доступ к вашим cookie на стороне клиента.

Политика безопасности контента (CSP)

Чтобы понять, что такое CSP, нам сначала нужно поговорить об одной из наиболее распространенных уязвимостей в Интернете: XSS, которая означает межсайтовый скриптинг (вау — еще одна аббревиатура).

XSS — это когда какой-то злой человек вводит JavaScript в ваш клиентский код. Вы можете подумать…

Что они собираются сделать? Изменить цвет с красного на синий?

Предположим, что кто-то успешно ввел JavaScript в клиентский код веб-сайта, который вы посещаете. Что они могут сделать, что навредит вам?

Они могут создать HTTP-запросы на другой сайт, притворяясь вами.

Они могут добавить тег ссылки, который отправляет вас на веб-сайт, который выглядит так же, как тот, с которым вы работаете, только его функции немного отличаются в худшую сторону.

Они могут добавить тег скрипта со встроенным JavaScript.

Они могут добавить тег скрипта, который откуда-то извлекает удаленный файл JavaScript.

Они могут добавить iframe, который перекрывает страницу и выглядит как часть веб-сайта, и в котором вам предлагается ввести пароль.

Возможности безграничны. CSP пытается предотвратить это, ограничивая:

JavaScript. Быстрый старт

Изучите основы JavaScript на практическом примере по созданию веб-приложения

Узнать подробнее

что можно открыть в iframe

какие таблицы стилей можно загрузить

к чему могут быть выполнены запросы и т. д.

Итак, как это работает?

Когда вы нажимаете на ссылку или набираете URL-адрес веб-сайта в адресной строке браузера, ваш браузер выполняет GET-запрос. Он в конечном итоге пробивается к серверу, который обслуживает HTML вместе с некоторыми HTTP-заголовками. Если вам интересно, какие заголовки вы получаете, откройте вкладку «Сеть» в консоли и посетите любые веб-сайты.

Вы можете увидеть заголовок ответа, который выглядит так:

content-security-policy: default-src * data: blob:;script-src *.facebook.com *.fbcdn.net *.facebook.net *.google-analytics.com *.virtualearth.net *.google.com 127.0.0.1:* *.spotilocal.com:* ‘unsafe-inline’ ‘unsafe-eval’ *.atlassolutions.com blob: data: ‘self’;style-src data: blob: ‘unsafe-inline’ *;connect-src *.facebook.com facebook.com *.fbcdn.net *.facebook.net *.spotilocal.com:* wss://*.facebook.com:* //fb.scanandcleanlocal.com:* *.atlassolutions.com attachment.fbsbx.com ws://localhost:* blob: *.cdninstagram.com ‘self’ chrome-extension://boadgeojelhgndaghljhdicfkmllpafd chrome-extension://dliochdbjfkdbacpmhlcpmleaejidimm;

content-security-policy: default-src * data: blob:;script-src *. facebook.com *.fbcdn.net *.facebook.net *.google-analytics.com *.virtualearth.net *.google.com 127.0.0.1:* *.spotilocal.com:* ‘unsafe-inline’ ‘unsafe-eval’ *.atlassolutions.com blob: data: ‘self’;style-src data: blob: ‘unsafe-inline’ *;connect-src *.facebook.com facebook.com *.fbcdn.net *.facebook.net *.spotilocal.com:* wss://*.facebook.com:* //fb.scanandcleanlocal.com:* *.atlassolutions.com attachment.fbsbx.com ws://localhost:* blob: *.cdninstagram.com ‘self’ chrome-extension://boadgeojelhgndaghljhdicfkmllpafd chrome-extension://dliochdbjfkdbacpmhlcpmleaejidimm;

Это политика безопасности контента на facebook.com. Давайте переформатируем этот код, чтобы его было легче читать:

content-security-policy:

default-src * data: blob:;

script-src *.facebook.com *.fbcdn.net *.facebook.net *.google-analytics.com *.virtualearth.net *.google.com 127.0.0.1:* *.spotilocal.com:* ‘unsafe-inline’ ‘unsafe-eval’ *.atlassolutions.com blob: data: ‘self’;

style-src data: blob: ‘unsafe-inline’ *;

connect-src *. facebook.com facebook.com *.fbcdn.net *.facebook.net *.spotilocal.com:* wss://*.facebook.com:* //fb.scanandcleanlocal.com:* *.atlassolutions.com attachment.fbsbx.com ws://localhost:* blob: *.cdninstagram.com ‘self’ chrome-extension://boadgeojelhgndaghljhdicfkmllpafd chrome-extension://dliochdbjfkdbacpmhlcpmleaejidimm;

content-security-policy:

default-src * data: blob:;

script-src *.facebook.com *.fbcdn.net *.facebook.net *.google-analytics.com *.virtualearth.net *.google.com 127.0.0.1:* *.spotilocal.com:* ‘unsafe-inline’ ‘unsafe-eval’ *.atlassolutions.com blob: data: ‘self’;

style-src data: blob: ‘unsafe-inline’ *;

connect-src *.facebook.com facebook.com *.fbcdn.net *.facebook.net *.spotilocal.com:* wss://*.facebook.com:* //fb.scanandcleanlocal.com:* *.atlassolutions.com attachment.fbsbx.com ws://localhost:* blob: *.cdninstagram.com ‘self’ chrome-extension://boadgeojelhgndaghljhdicfkmllpafd chrome-extension://dliochdbjfkdbacpmhlcpmleaejidimm;

Теперь давайте разложим директивы.

default-src ограничивает все другие директивы CSP, которые явно не указаны.

script-src ограничивает скрипты, которые могут быть загружены.

style-src ограничивает таблицы стилей, которые могут быть загружены.

connect-src ограничивает URL-адреса, которые могут быть загружены с использованием интерфейсов скриптов, XHR, ajax и т. д.

Обратите внимание, что здесь гораздо больше директив CSP, чем эти три. Браузер прочитает заголовок CSP и применит эти директивы ко всему в HTML-файлу, который был доставлен. Если директивы установлены надлежащим образом, они допускают только то, что необходимо.

Если заголовка CSP нет, тогда все разрешено, и ничего не ограничено. Везде, где вы видите *, это шаблон. Вы можете представить себе *, как замену на что угодно, и это будет разрешено.

HTTPS или HTTP Secure

Конечно, вы слышали о HTTPS. Возможно, вы слышали, как говорят некоторые люди …

Зачем мне обращать внимание на HTTPS, если я просто играю на сайте в игру.

Или, может быть, вы слышали другую сторону…

Вы сумасшедший, если на вашем сайте нет HTTPS. Это 2018 год! Не доверяйте никому, кто говорит иначе.

Возможно, вы слышали, что Chrome теперь будет помечать сайт как небезопасный, если на нем нет HTTPS.

По своей сути HTTPS довольно прост. HTTPS зашифрован, а HTTP — нет. Так почему это важно, если вы не отправляете конфиденциальные данные? Приготовьтесь к другому сокращению… MITM, что означает «Человек в середине».

Если вы используете в кафе общественный Wi-Fi без пароля, для кого-то очень просто сделать так, что он будет действовать, как ваш роутер, чтобы все запросы и ответы проходили через него. Если ваши данные не зашифрованы, они могут делать с ними все, что захотят. Они могут редактировать HTML, CSS или JavaScript, прежде чем те попадут в ваш браузер. Учитывая то, что мы знаем о XSS, вы можете себе представить, насколько это плохо.

Хорошо, но как получается, что мой компьютер и сервер знают, как шифровать / расшифровывать, а этот MITM не знает?

Вот где в дело вступает протокол SSL (Secure Sockets Layer), а в последнее время TLS (Transport Layer Security). TLS взяла на себя роль SSL в 1999 году в качестве технологии шифрования, используемой в HTTPS. Конкретно то, как работает TLS, выходит за рамки этой публикации.

HTTP Strict-Transport-Security (HSTS)

Это довольно просто. Давайте снова используем заголовок Facebook:

strict-transport-security: max-age=15552000; preload

max-age указывает, как долго браузер должен помнить, что должен заставить пользователя получить доступ к веб-сайту через HTTPS.

preload не важен для наших целей. Это сервис, размещенный Google, а не часть спецификации HSTS.

Этот заголовок применяется только в том случае, если вы получили доступ к сайту с помощью HTTPS. Если вы получили доступ к сайту через HTTP, заголовок игнорируется. Причина в том, что HTTP настолько небезопасен, что ему нельзя доверять.

Давайте используем пример Facebook, чтобы еще раз пояснить, насколько это полезно на практике. Вы впервые заходите на facebook.com, и знаете, что HTTPS безопаснее, чем HTTP, поэтому вы обращаетесь к нему через HTTPS, //facebook.com. Когда ваш браузер получает HTML-код, он получает и заголовок, который указывает вашему браузеру принудительно перенаправить вас на HTTPS для будущих запросов. Через месяц кто-то отправит вам ссылку на Facebook с HTTP, //facebook.com, и вы нажмете на нее. Поскольку один месяц меньше, чем 15552000 секунд, указанных в директиве max-age, ваш браузер отправит запрос в виде HTTPS, предотвращая потенциальную MITM-атаку.

Заключение

Веб-безопасность важна независимо от того, на какой стадии процесса веб-разработки вы находитесь. Чем больше вы уделяете этому внимания, тем лучше. Безопасность — это то, что должно быть важно для всех, а не только для людей, у которых это явно указано в названии их должности!

Автор: Austin Tackaberry

Источник: //medium.freecodecamp.org/

Редакция: Команда webformyself.

JavaScript. Быстрый старт

Изучите основы JavaScript на практическом примере по созданию веб-приложения

Узнать подробнее

Безопасность и защита сайта от угроз и взлома

Прямо сейчас посмотрите видео

Смотреть

Безопасность сайтов и веб-приложений

Под безопасностью веб-сервисов, как правило, понимается обеспечение сохранности данных и их недоступность для посторонних лиц, а также способность приложения сохранять работоспособность при кибератаках и не подвергаться заражению вирусами.

Безопасность веб-приложений зависит от качества их программного кода, от квалификации системного администратора и от компетенций всех пользователей, имеющих доступ к чувствительной информации.

То есть причинами угроз безопасности — взломов и утечек данных — могут быть:

Уязвимости самого сайта / приложения перед кибератакой — например, отсутствие защиты от перебора паролей, возможность внедрения стороннего кода (XSS, SQL-инъекции, отсутствие защиты от CSRF)
Недостаточное быстродействие системы или повышенная ресурсоёмкость обработки запросов, что приводит к уязвимости к атакам типа «отказ в обслуживании» — (D)DoS
Ошибки, допущенные администратором веб-сервера — несвоевременное обновление ПО или небезопасное конфигурирование сервисов
Незнание или несоблюдение сотрудниками банальных правил безопасности — простые пароли, ввод данных на фишинговых сайтах, заражение вирусами ПК.

Спасите сайт! 10 советов по безопасности веб-приложений

Занимаетесь развитием своего или чужого сайта? Ваш ресурс под угрозой! В этой статье об улучшении безопасности веб-приложений.

Любой ответственный владелец сайта или его администратор знает об онлайн-безопасности. И даже если кажется, что сейчас всё в порядке, потому что вы позаботились об этом несколько лет назад, скорее всего, вы ошибаетесь. Технологии ушли далеко вперёд, а с ними и повысилась уязвимость веб-ресурсов.

К примеру, об этом свидетельствует факт атаки на крупного провайдера Dyn в октябре 2016 года. Тогда десятки крупных платформ и сервисов оказались недоступны. Как считают аналитики, количество DDoS-атак будет расти в течение следующих лет.

Тотальных способов защиты нет, но можно снизить риск. Здесь собрано 10 наиболее важных рекомендаций по безопасности веб-приложений. Обязательны к ознакомлению.

У вас вряд ли получится долгое время поддерживать безопасность ресурса, если вы не проработаете план обеспечения его защиты. Если у вас есть специалисты по безопасности, обсудите с ними наиболее приоритетные разделы защиты и займитесь устранением уязвимостей.

Следует определить, кто будет проверять исполнение плана, плюс методы обеспечения безопасности. Будет оно выполняться вручную, с помощью облачных решений, или стоит заняться разработкой собственной системы?

Единого плана не может быть, но если вы не знаете с чего начать, стоит опираться на чек-лист Synopsis. В нём рассказывается о шести ключевых этапах обеспечения безопасности.

Если план достаточно масштабный, не забудьте оценить затраты на его реализацию. Возможно, они слишком велики, и стоит придумать что-нибудь другое.

Как много инструментов используется в работе компании? Не знаете? А зря: вероятно, вы тоже используете не совсем «чистые» приложения. Они незаметны до тех пор, пока всё работает хорошо. Рассчитывать на эффективную защиту, не зная точно, какие приложения использует ваша компания, опасно.

На этот этап выделите время и сотрудников. Во-первых, программ может быть много. Во-вторых, некоторые из них работают скрыто. В-третьих, нужно разобраться, какие на самом деле можно использовать, а какие стоит сносить сразу. Советуем определить цель каждого приложения: так заодно можно почистить безопасные, но ненужные. Этот шаг важен ещё и тем, что другие будут в той или иной степени завязаны на него.

После инвентаризации существующих веб-приложений идет их сортировка в порядке важности. Разделите приложения на 3 категории: критические, важные, обычные.

Критические приложения − сюда входят те, что загружены извне и содержат информацию о клиентах. Ими нужно управлять в первую очередь, так как они наиболее интересны хакерам.

Важные приложения − приложения могут быть внутренними или внешними и содержат конфиденциальную информацию.

Обычные приложения − не подвержены серьёзным уязвимостям, но стоит иметь в виду как потенциальный источник утечки.

Распределив приложения по категориям, вы можете отправить на глубокое тестирование критические приложения и провести лёгкий анализ обычных. Если периодически повторять этот этап, то риск возникновения проблем значительно снизится.

Пока вы работаете со списком веб-приложений, ещё до их тестирования нужно решить, какие уязвимости стоит устранить в первую очередь, а какие подождут. Как правило, уязвимости есть всегда, но некоторые из них неспособны серьёзно навредить. Кстати, вот этот отчёт показывает, насколько часто взламывают сайты на той или иной платформе.

Устранить все уязвимости из всех веб-приложений нереально! Не тратьте на это время. Даже после классификации ваших приложений в соответствии с их важностью потребуется много времени для их тестирования.

Так на каких уязвимостях сосредоточиться? А это зависит от приложений, которые вы используете. Универсальных методов здесь тоже нет, но в следующих разделах мы расскажем о базовых принципах определения критических уязвимостей.

Если в процессе тестирования вы поняли, что упустили из виду определенные проблемы, не бойтесь останавливать тестирование, чтобы перегруппироваться и сосредоточиться на дополнительных уязвимостях. Наконец, помните, что в будущем эта работа будет намного проще, так как основной этап вы проводите сейчас.

Даже после того, как все ваши веб-приложения будут оценены, протестированы и очищены от наиболее проблемных уязвимостей, процесс обеспечения защиты ещё не будет окончен. Каждое веб-приложение имеет определенные разрешения как на локальных, так и на удаленных компьютерах. Они должны быть проанализированы и скорректированы для повышения безопасности.

Всегда ограничивайте приложения по максимуму, допуская их только к тем разделам, которые напрямую связаны с их областью работы. Скорее всего, нужно будет обратиться к администраторам сети, потому что вносить изменения в работу простые пользователи обычно не могут.

Что делать, если администратор заблокирует нужную функцию? Придётся сообщить ему об этом, объяснить, зачем функция нужна, подождать, пока он снова её активирует. Да, это долго, зато безопасно.

Даже если вы управляете небольшой организацией, могут потребоваться недели или месяцы на изменения. В течение этого времени веб-ресурс может стать уязвимым для атак. Поэтому важно иметь другие средства защиты, чтобы избежать серьезных проблем. Вот несколько способов:

Заблокируйте некоторые функции в отдельных приложениях. Если какая-то из функций делает приложение более уязвимым для атак, отключите её на время. Конечно, если она не является основной в приложении.
Используйте брандмауэр веб-приложений (WAF) для защиты от самых неприятных уязвимостей. WAF фильтрует и блокирует нежелательный HTTP-трафик, поступающий в веб-приложение, помогает защитить от XSS, внедрения SQL и многого другого.

Если в момент проведения мобилизации безопасности вы обнаружили, что происходит атака, займитесь ею в первую очередь. Нужно привыкнуть тщательно документировать такие уязвимости и способы их устранения, чтобы в будущем бороться с ними проверенными методами.

Момент, который организации пропускают при изучении рекомендаций по обеспечению безопасности веб-приложений, − использование файлов cookie. Они удобны как компаниям, так и пользователям, потому что позволяют запоминать пользователей по сайтам, которые они посещают. Но хакеры могут манипулировать такими файлами, чтобы получить доступ к защищенной информации.

Хотя вам, разумеется, не нужно прекращать использование файлов cookie. Просто измените настройки, чтобы минимизировать риск атак.

Во-первых, никогда не используйте куки для хранения конфиденциальной или критически важной информации − для запоминания паролей пользователей, так как это позволяет хакерам невероятно легко получить несанкционированный доступ.
Кроме того, следует ограничить срок действия файлов cookie. Месяца вполне достаточно.
Наконец, рассмотрите возможность шифрования информации, хранящейся в используемых вами файлах cookie.

Есть еще несколько советов по безопасности веб-приложений, которые стоит рассмотреть. Решите для себя, какие из мер ниже подходят вам, а какие не очень:

Реализуйте HTTPS и перенаправьте весь HTTP-трафик на HTTPS.
Предотвратите атаки межсайтовых скриптов, используя HTTP-заголовки − x-xss-protection.
Организуйте политику безопасной работы с контентом.
Активируйте HTTP Public Key Pinning.
Примените SRI к <script> или <link> элементам.
Используйте обновленную версию TLS. Чтобы узнать больше, почитайте статью TLS 1.2 против TLS 1.1 и перестаньте использовать SSL.
Это самое очевидное − используйте надежные пароли из разных символов. Для создания и хранения советуем использовать KeyPass.

Если вы управляете крупной компанией, вероятно, у вас должны быть те, кто разбираются в принципах обеспечения безопасности веб-приложений. Но у остальных есть только базовое понимание проблемы, и их действия могут нанести ущерб.

Обученные сотрудники смогут сами обнаруживать базовые уязвимости. Информирование всех о важности безопасности веб-приложений − это простой способ вовлечь всех в процесс поиска и устранения уязвимостей. Наймите специалиста или договоритесь с кем-нибудь внутри команды, чтобы разъяснить основные принципы безопасности.

Отличный спо

30 ресурсов по безопасности, которые точно пригодятся

По мере развития индустрии специалисты по безопасности черпают все новую и новую информацию. Но как понять, что знаний достаточно?

Приведенные ниже ресурсы являются своего рода стартовым набором для специалистов, которые хотят писать более безопасный код и научиться выявлять уязвимости, прежде чем код перейдет в продакшн.

В этой статье Кейд Кэрнс из ThoughtWorks и Дэниел Сомерфилд из New Relic описали восемь фишек безопасности при создании веб-приложений.

Эта статья поможет понять и разобраться в HTTPS и CSP, а также узнать, как определить, был ли взломан ваш сайт, и что с этим делать.

Ответ на этот вопрос размещен на Stack Overflow. Он дает хорошую базу знаний в области ключевых принципов безопасности. Это такие принципы, как: не доверять никакому входному сигналу, использовать глубокую защиту, придерживаться принципа наименьших привилегий и использовать моделирование угрозы. В ответах также есть списки книг и учебных курсов.

Сообщество Open Web Application Security Project (OWASP) создало этот ресурс, чтобы специалисты могли получить рекомендации, необходимые для создания безопасных приложений на этапе проектирования. Там можно найти ключевые принципы безопасности, их определения и примеры, узнать о десяти самых распространенных угрозах на сегодняшний день.

Эта часто рекомендуемая книга была написана специалистами по безопасности Microsoft Майклом Ховардом и Дэвидом Лебланом. Наряду с методами безопасного кодирования, книга охватывает следующие темы:

моделирование угроз
проектирование процесса безопасности
международные вопросы безопасности
вопросы файловой системы
добавление конфиденциальности к приложениям
исследование кода безопасности

Джим Берд, технический директор BIDS Trading Technologies, говорит, что хоть книге и 15 лет, но основы безопасности программного обеспечения остаются неизменными.

В OWASP Top 10 перечислены наиболее распространенные на сегодняшний день угрозы безопасности в веб-приложениях. Несмотря на то, что некоторые специалисты уже устали слышать о Топ 10, есть веская причина, по которой эксперты по безопасности считают его одним из самых важных ресурсов в области безопасного кодирования. OWASP Top 10 является самым фундаментальным ресурсом по безопасности приложений, поэтому каждый уважающий себя специалист должен напрямую с ним работать. Список был обновлен в 2017 году, но он не сильно изменился за последнее десятилетие.

В OWASP также есть список Топ-10 угроз безопасности мобильных устройств. Мобильная безопасность требует уникального направления исследований, поэтому в дополнение к чтению этих ресурсов, не забудьте закрепить пройденный материал.

Эта книга написана работниками Microsoft и генеральным директором Capsule 8. Она посвящена стандартным угрозам, когда дело доходит до недостатков безопасности в вашем коде. В ней можно найти и некоторые угрозы из OWASP, а также несколько других угроз, которые не входят в Top 10 OWASP.

Один из ключевых ресурсов по обучению. Большинство ресурсов и учебных курсов сосредоточены на том, чтобы показать, как ваш код может быть атакован, и рассказать, что нужно делать, чтобы этого не произошло. Здесь же можно найти список действий, которые необходимо выполнить непосредственно для защиты кода.

Это список наиболее распространенных угроз безопасности. Он включает в себя более 700 слабых мест, которые можно увидеть в исследованиях и разработках. Ресурс также полезен для разработчиков, которые хотят узнать о CVE.

Базовые знания безопасного кодирования безусловно важны, но также нужно знать, какие инструменты и процессы могут обеспечить безопасность кода на протяжении всего жизненного цикла разработки программного обеспечения. Эта книга от BIDS Trading Technologies’ Bird даст ясную практическую картину нескольких современных цепочек безопасного жизненного цикла и процессов, вдохновленных Etsy, Netflix и другими технически сильными, очень успешными компаниями.

Эта книга написана Лауром Белом, Ричем Смитом, Майклом Брунтоном-Споллом и Джимом Бердом. Она расширяет темы, описанные в книге DevSecOps, которая готовит специалистов ко многим техническим и организационным проблемам, с которыми они могут столкнуться при создании безопасного ПО.

Проверка кода — важный шаг в обнаружении уязвимостей системы безопасности. Изучение того, как искать эти самые уязвимости, повысит шансы разработчиков избегать подобных ошибок.

Моделирование угроз — это то, что могут понять даже гуманитарии, работающие в Вашей организации. Шон Галлахер, редактор по информационной безопасности в Ars Technica, написал эту статью, чтобы каждый мог смоделировать конкретные ситуации.

OWASP Application Threat Modeling — это ресурс моделирования угроз. Он работает в три этапа:

анализ приложения
определение степени угрозы
определение мер устранения или смягчения проблемы.

Джоанна Куриэль, специалист по безопасности приложений в банковской сфере, рекомендует OWASP, так как ресурс охватывает широкий спектр тем в области безопасности: безопасность PHP, защита iOS и Android, XML, saml и многое другое.

В статье Дэнни Диллона, главного специалиста по безопасности EMC, объясняется, почему разработчикам необходимо пользоваться моделированием угроз. Автор описывает уникальный подход EMC к этому делу и объясняет, почему этот процесс должен быть полезен даже инженерам-программистам, у которых нет опыта в области безопасности.

Адам Каудилл, консультант по безопасности, описывает упрощенный процесс моделирования угроз, который можно быстро и легко задокументировать.

Защитное программирование – методика разработки ПО, предотвращающая случайное внедрение уязвимостей и обеспечивающая устойчивость к воздействию вредоносных программ и несанкционированному доступу. Эта статья рассматривает историю этого термина и анализирует проблемы защитного программирования.

Гайд по защитному программированию с примерами на C, C++, Java, Python, Shell/Bash, Go и Vala. Руководство от Red Hat также включает в себя инструкции о том, как реализовать, например, аутентификацию и авторизацию.

Apple ориентирует этот ресурс на разработчиков iOS и mac OS. Тем не менее, здесь собрано довольно много универсальных советов. Некоторые из разделов акцентируют внимание на важности безопасности, избегании общих уязвимостей и проектировании безопасного пользовательского интерфейса.

Диего Мариани – инженер-программист на сайте Busuu. Он совмещает несколько старых и современных идей о защитном программировании в короткую статью с примерами из PHP. В статье также рассматриваются ключевые моменты небезопасного защитного программирования.

Сто сокровищница знаний по безопасности, которая включает в себя бесплатное онлайн-обучение, руководство по моделированию угроз и рекомендации по безопасной разработке приложений. Это также множество бесплатных, высококачественных ресурсов, которые постоянно пополняются.

Бесплатный онлайн-курс, который отлично подходит для начала обучения безопасному кодированию. Он начинается с основ кибербезопасности и общих уязвимостей веб-приложений, а затем переходит к обнаружению, устранению и созданию уязвимостей. Далее курс затрагивает такие темы:

безопасная архитектура
сетевая безопасность
криптография
тестирование на проникновение
CTF

Есть тесты и задания для каждого раздела. Все примеры представлены на Java (но вы можете выполнять задания на любом языке).

Институт программной инженерии Карнеги-Меллон (SEI) собрал эти полезные правила и рекомендации по безопасному кодированию. Следует ознакомиться с безопасными стандартами кодирования для C, C++, Java, Perl и Android, а также прочитать о 10 лучших методах безопасного кодирования.

Cybrary – платформа с открытым исходным кодом, созданная для обучения безопасности и подготовки к сертификации. Контент бесплатный, но включает в себя бесценные материалы.

Сайт с открытым исходным кодом, наполненный учебными пособиями по различным темам компьютерной безопасности. Также здесь можно обучиться основам по стратегиям безопасного кодирования. Обучение включает в себя введение в оценку уязвимости, обзоры правильного кода, криптографию, эксплойты ПО и т. д.

Один из самых надежных способов изучить основы в области безопасности – пройти курс колледжа MIT. Учебный план охватывает:

моделирование угроз
ксплойты
сетевую безопасность
аутентификацию
мобильную безопасность
экономику безопасности и т. д.

Аналогичные курсы по безопасности есть в Harvard edX, Stanford Online и Coursera.

Институт SANS чем-то схож с OWASP. На сайте есть бесплатные ресурсы для разработчиков и платные учебные курсы, включая программу, направленную на повышение квалификации разработчиков.

Статья Роберта Оже расскажет вам о том, как отличить плохое обучение от хорошего и как построить такой план обучения, который будет удобен разработчикам.

Если вы ищете активные сообщества экспертов по безопасности, посетите подраздел NetSec. Там можно получить ответы на вопросы в области информационной безопасности. Если вы только начали разбираться, лучше всего подойдет подраздел NetSec students.

Оригинал

Веб-безопасность — Веб-технологии для разработчиков

Обеспечение безопасности вашего веб-сайта или открытого веб-приложения очень важно. Даже простые ошибки в вашем коде могут привести к утечке личной информации, а плохие люди пытаются найти способы украсть данные. Перечисленные здесь статьи, посвященные веб-безопасности, предоставляют информацию, которая может помочь вам защитить ваш сайт и его код от атак и кражи данных.

Безопасность контента

Политика безопасности контента (CSP): Политика безопасности содержимого (CSP) — это дополнительный уровень безопасности, который помогает обнаруживать и смягчать определенные типы атак, включая атаки с использованием межсайтовых сценариев (XSS) и инъекции данных.Эти атаки используются для всего, от кражи данных до искажения сайта и распространения вредоносного ПО.

Безопасность подключения

Безопасность транспортного уровня (TLS): Протокол безопасности транспортного уровня (TLS) — это стандарт, позволяющий двум сетевым приложениям или устройствам обмениваться информацией конфиденциально и надежно. Приложения, использующие TLS, могут выбирать свои параметры безопасности, которые могут существенно повлиять на безопасность и надежность данных.В этой статье представлен обзор TLS и тех решений, которые вам необходимо принять при защите вашего контента.
HTTPS: HTTPS ( HyperText Transfer Protocol Secure ) — это зашифрованная версия протокола HTTP. Он использует SSL или TLS для шифрования всего обмена данными между клиентом и сервером. Это безопасное соединение позволяет клиентам быть уверенными, что они подключены к предполагаемому серверу, и обмениваться конфиденциальными данными.
HTTP Строгая транспортная безопасность: HTTP-заголовок Strict-Transport-Security: позволяет веб-сайту указать, что к нему можно получить доступ только с помощью HTTPS.
Прозрачность сертификата: Прозрачность сертификатов — это открытая структура, предназначенная для защиты от неправильной выдачи сертификатов и контроля за ними. Недавно выпущенные сертификаты «регистрируются» для общедоступных, часто независимых журналов CT, которые поддерживают криптографически гарантированную запись выданных сертификатов TLS только для добавления.
Смешанное содержание: Страница HTTPS, которая включает содержимое, полученное с использованием открытого текста HTTP, называется страницей со смешанным содержимым .Такие страницы зашифрованы лишь частично, поэтому незашифрованный контент остается доступным для снифферов и злоумышленников.
Как исправить сайт с заблокированным смешанным контентом: Если ваш веб-сайт предоставляет страницы HTTPS, весь активный смешанный контент, доставляемый через HTTP на этих страницах, будет заблокирован по умолчанию. Следовательно, ваш сайт может показаться пользователям неработающим (если не загружаются фреймы или плагины и т. Д.). Пассивный смешанный контент отображается по умолчанию, но пользователи также могут настроить блокировку этого типа контента.На этой странице объясняется, что вам следует знать как веб-разработчику.
Безопасные контексты: Безопасный контекст — это Window или Worker , для которого есть разумная уверенность в том, что контент был доставлен безопасно (через HTTPS / TLS), и для которого есть потенциал для взаимодействия с контекстами, которые не являются безопасными ограничено. Многие веб-API и функции доступны только в безопасном контексте. Основная цель безопасных контекстов — предотвратить доступ злоумышленников по типу «злоумышленник в середине» к мощным API-интерфейсам, которые могут еще больше скомпрометировать жертву атаки.
Функции, ограниченные безопасным контекстом: В этом справочнике перечислены функции веб-платформы, доступные только в безопасных контекстах.
Алгоритмы слабой подписи: Сила алгоритма хеширования, используемого при подписании цифрового сертификата, является критическим элементом безопасности сертификата. В этой статье содержится некоторая информация об известных слабых алгоритмах подписи, поэтому вы можете избежать их, когда это необходимо.
Перенаправление с кодами ответа 301 и 302: записать

Безопасность данных

Использование файлов cookie HTTP: HTTP-куки (веб-куки, куки-файлы браузера) — это небольшой фрагмент данных, который сервер отправляет в веб-браузер пользователя.Браузер может сохранить его и отправить обратно с более поздними запросами на тот же сервер. Как правило, он используется, чтобы определить, поступили ли два запроса из одного и того же браузера, например, чтобы пользователь оставался в системе.
Локальное хранилище: Свойство Window.localStorage объекта Window — это способ для серверов хранить данные на клиенте, которые являются постоянными для всех сеансов.

Утечка информации

Политика заголовка Referer: вопросы конфиденциальности и безопасности: С HTTP-заголовком Referer связаны риски конфиденциальности и безопасности.В этой статье они описаны и даны советы по снижению этих рисков.
Robots.txt: записать
Карты сайта: записать

Целостность

Политика одинакового происхождения: Политика одинакового происхождения — это критический механизм безопасности, который ограничивает взаимодействие документа или сценария, загруженного из одного источника, с ресурсом из другого источника. Это помогает изолировать потенциально вредоносные документы, уменьшая возможные векторы атак.
Целостность подресурсов: Целостность подресурсов (SRI) — это функция безопасности, которая позволяет браузерам проверять, что ресурсы, которые они извлекают (например, из CDN), доставляются без неожиданных манипуляций. Он работает, позволяя вам предоставить криптографический хэш, которому должен соответствовать выбранный ресурс.
HTTP Access-Control-Allow-Origin: Заголовок ответа Access-Control-Allow-Origin указывает, может ли ответ использоваться совместно с запрашивающим кодом из данного источника.
Параметры HTTP X-Content-Type: X-Content-Type-Options HTTP-заголовок ответа — это маркер, используемый сервером, чтобы указать, что типы MIME, объявленные в заголовках Content-Type , не должны изменяться и соблюдаться. Это способ отказаться от прослушивания типов MIME или, другими словами, сказать, что типы MIME настроены намеренно.

Защита от щелчка

При кликджекинге пользователя обманывают, заставляя щелкнуть элемент пользовательского интерфейса, который выполняет какое-либо действие, отличное от ожидаемого пользователем.

Параметры HTTP X-Frame: X-Frame-Options HTTP-заголовок ответа может использоваться, чтобы указать, следует ли разрешить браузеру отображать страницу в , </code>, <code> <embed> </code> или <code> <объект> </code>. Сайты могут использовать это, чтобы избежать атак с использованием кликджекинга, гарантируя, что их контент не встроен в другие сайты. </dd> <dt> CSP: кадры-предки </dt> <dd> Директива HTTP <code> Content-Security-Policy </code> (CSP) <code> <strong> frame-ancestors </strong> </code> указывает действительных родителей, которые могут встраивать страницу, используя <code> <frame> </code>, <code> <iframe> </code>, <code> <object> </code>, <code> < embed> </code> или <code> <applet> </code>.</dd> </dl> <h3><span class="ez-toc-section" id="i-21"> Защита информации пользователей </span></h3> <dl> <dt> Небезопасные пароли </dt> <dd> Обслуживание форм входа по протоколу HTTP особенно опасно из-за большого количества различных атак, которые могут быть использованы против них для извлечения пароля пользователя. Сетевые перехватчики могут украсть пароль пользователя, прослушивая сеть или изменяя обслуживаемую страницу в пути. </dd> <dt> Конфиденциальность и селектор: посещено </dt> <dd> Примерно до 2010 года селектор CSS <code>: посещено </code> позволял веб-сайтам раскрывать историю просмотров пользователя и выяснять, какие сайты он посещал.Чтобы смягчить эту проблему, браузеры ограничили объем информации, которую можно получить по посещенным ссылкам. </dd> </dl> <h3><span class="ez-toc-section" id="i-22"> См. Также </span></h3> <h2><span class="ez-toc-section" id="i-23"> Безопасность веб-сайтов — Изучите веб-разработку </span></h2> <p> Безопасность веб-сайтов требует бдительности во всех аспектах дизайна и использования веб-сайтов. Эта вводная статья не сделает вас гуру безопасности веб-сайтов, но поможет понять, откуда берутся угрозы и что вы можете сделать, чтобы защитить свое веб-приложение от наиболее распространенных атак.</p> <table> <tbody> <tr> <th scope="row"> Предварительные требования: </th> <td> Базовая компьютерная грамотность. </td> </tr> <tr> <th scope="row"> Цель: </th> <td> Для понимания наиболее распространенных угроз безопасности веб-приложений и того, что вы можете сделать, чтобы снизить риск взлома вашего сайта. </td> </tr> </tbody> </table> <h3><span class="ez-toc-section" id="i-24"> Что такое безопасность веб-сайта? </span></h3> <p> Интернет — опасное место! С большой регулярностью мы слышим о том, что веб-сайты становятся недоступными из-за атак типа «отказ в обслуживании» или отображают измененную (и часто наносящую ущерб) информацию на своих домашних страницах.В других громких случаях миллионы паролей, адресов электронной почты и данных кредитных карт стали достоянием общественности, подвергая пользователей веб-сайта как личному затруднению, так и финансовому риску. </p> <p> Целью безопасности веб-сайтов является предотвращение подобных (или любых) атак. Более формальное определение безопасности веб-сайтов <em> — это действие / практика защиты веб-сайтов от несанкционированного доступа, использования, модификации, уничтожения или нарушения </em>. </p> <p> Эффективная безопасность веб-сайта требует усилий по проектированию всего веб-сайта: в вашем веб-приложении, конфигурации веб-сервера, ваших политик создания и обновления паролей и клиентского кода.Хотя все это звучит очень зловеще, хорошая новость заключается в том, что если вы используете веб-фреймворк на стороне сервера, он почти наверняка включит «по умолчанию» надежные и хорошо продуманные механизмы защиты от ряда наиболее распространенных атак. . Другие атаки можно уменьшить с помощью конфигурации вашего веб-сервера, например, путем включения HTTPS. Наконец, есть общедоступные инструменты сканера уязвимостей, которые могут помочь вам выяснить, сделали ли вы какие-либо очевидные ошибки. </p> <p> В оставшейся части статьи вы найдете более подробную информацию о нескольких распространенных угрозах и некоторых простых шагах, которые можно предпринять для защиты своего сайта.</p> <p> <strong> Примечание </strong>: Это вводная тема, призванная помочь вам начать думать о безопасности веб-сайтов, но она не является исчерпывающей. </p> <h3><span class="ez-toc-section" id="i-25"> Угрозы безопасности веб-сайтов </span></h3> <p> В этом разделе перечислены лишь некоторые из наиболее распространенных угроз для веб-сайтов и способы их устранения. По мере чтения обратите внимание на то, что угрозы наиболее успешны, когда веб-приложение либо доверяет, либо <em> недостаточно параноидально относится к данным, поступающим из браузера, </em>. </p> <h4><span class="ez-toc-section" id="_XSS"> Межсайтовый скриптинг (XSS) </span></h4> <p> XSS — это термин, используемый для описания класса атак, которые позволяют злоумышленнику внедрять клиентские скрипты с <em> по </em> веб-сайта в браузеры других пользователей.Поскольку внедренный код поступает в браузер с сайта, код <em> является доверенным </em> и может выполнять такие действия, как отправка файла cookie авторизации сайта пользователя злоумышленнику. Когда у злоумышленника есть файл cookie, он может войти на сайт, как если бы он был пользователем, и делать все, что может пользователь, например получать доступ к данным своей кредитной карты, просматривать контактные данные или изменять пароли. </p> <p> <strong> Примечание </strong>: Уязвимости XSS исторически встречаются чаще, чем любые другие типы угроз безопасности.</p> <p> XSS-уязвимости делятся на <em> отраженных </em> и <em> постоянных </em>, в зависимости от того, как сайт возвращает внедренные скрипты в браузер. </p> <ul> <li> A <em> отражает </em> XSS-уязвимость возникает, когда пользовательский контент, который передается на сервер, возвращается <em> немедленно </em> и <em> без изменений </em> для отображения в браузере. Любые сценарии в исходном пользовательском контенте будут запускаться при загрузке новой страницы. <br /> Например, рассмотрим функцию поиска по сайту, где условия поиска закодированы как параметры URL, и эти термины отображаются вместе с результатами.Злоумышленник может создать поисковую ссылку, содержащую вредоносный скрипт в качестве параметра (например, <code> http://mysite.com?q=beer<script%20src= "http://evilsite.com/tricky.js"> < / script> </code>) и отправьте его другому пользователю по электронной почте. Если целевой пользователь щелкает по этой «интересной ссылке», скрипт будет выполнен при отображении результатов поиска. Как обсуждалось ранее, это дает злоумышленнику всю информацию, необходимую ему для входа на сайт в качестве целевого пользователя, потенциально делая покупки в качестве пользователя или передавая свою контактную информацию.</li> <li> <p> Устойчивая </em> XSS-уязвимость <em> возникает, когда вредоносный сценарий <em> хранится </em> на веб-сайте, а затем повторно отображается в неизмененном виде, чтобы другие пользователи могли выполнить его непреднамеренно. <br /> Например, доска обсуждений, которая принимает комментарии, содержащие неизмененный HTML, может хранить вредоносный скрипт от злоумышленника. Когда отображаются комментарии, сценарий выполняется и может отправить злоумышленнику информацию, необходимую для доступа к учетной записи пользователя. Этот вид атак чрезвычайно популярен и мощен, потому что злоумышленник может даже не иметь прямого взаимодействия с жертвами.</p> </li> </ul> <p> Хотя данные из запросов <code> POST </code> или <code> GET </code> являются наиболее распространенным источником уязвимостей XSS, любые данные из браузера потенциально уязвимы, например данные файлов cookie, отображаемые браузером, или загружаемые и отображаемые файлы пользователей. </p> <p> Лучшая защита от уязвимостей XSS — удаление или отключение любой разметки, которая потенциально может содержать инструкции для запуска кода. Для HTML это включает такие элементы, как <code> <script> </code>, <code> <object> </code>, <code> <embed> </code> и <code> <link> </code>.</p> <p> Процесс изменения пользовательских данных таким образом, чтобы их нельзя было использовать для запуска сценариев или иным образом повлиять на выполнение серверного кода, известен как очистка ввода. Многие веб-фреймворки автоматически очищают вводимые пользователем данные из HTML-форм по умолчанию. </p> <h4><span class="ez-toc-section" id="SQL"> SQL-инъекция </span></h4> <p> Уязвимости </p> <p> SQL-инъекций позволяют злоумышленникам выполнять произвольный код SQL в базе данных, обеспечивая доступ к данным, их изменение или удаление независимо от прав пользователя. Успешная атака с использованием инъекций может подделать личность, создать новую личность с правами администратора, получить доступ ко всем данным на сервере или уничтожить / изменить данные, чтобы сделать их непригодными для использования.</p> <p> Типы </p> <p> SQL-инъекций включают SQL-инъекцию на основе ошибок, SQL-инъекцию на основе логических ошибок и SQL-инъекцию на основе времени. </p> <p> Эта уязвимость присутствует, если пользовательский ввод, переданный в базовый оператор SQL, может изменить смысл оператора. Например, следующий код предназначен для перечисления всех пользователей с определенным именем (<code> userName </code>), которое было предоставлено из HTML-формы: </p> <pre> statement = "ВЫБРАТЬ * ИЗ пользователей WHERE name = '" + <strong> userName </strong> + "';" </pre> <p> Если пользователь указывает настоящее имя, оператор будет работать, как задумано.Однако злоумышленник может полностью изменить поведение этого оператора SQL на новый оператор в следующем примере, просто указав текст полужирным шрифтом для <code> userName </code>. </p> <pre> ВЫБРАТЬ * ИЗ пользователей WHERE name = '<strong> a'; DROP TABLE users; ВЫБРАТЬ * ОТ userinfo WHERE 't' = 't </strong>'; </pre> <p> Измененный оператор создает допустимый оператор SQL, который удаляет таблицу <code> пользователей, </code> и выбирает все данные из таблицы <code> userinfo </code> (которая раскрывает информацию о каждом пользователе).Это работает, потому что первая часть введенного текста (<code> a '; </code>) завершает исходное утверждение. </p> <p> Чтобы избежать такого рода атак, необходимо убедиться, что любые пользовательские данные, передаваемые в запрос SQL, не могут изменить характер запроса. Один из способов сделать это - экранировать все символы пользовательского ввода, которые имеют особое значение в SQL. </p> <p> <strong> Примечание </strong>: оператор SQL обрабатывает символ <strong> '</strong> как начало и конец строкового литерала.Помещая обратную косую черту перед этим символом (<strong> \ '</strong>), мы экранируем символ и говорим SQL вместо этого рассматривать его как символ (просто часть строки). </p> <p> В следующем операторе мы экранируем символ <strong> '</strong>. Теперь SQL будет интерпретировать имя как всю строку, выделенную жирным шрифтом (это действительно очень странное имя, но не опасно). </p> <pre> SELECT * FROM users WHERE name = '<strong> a \'; УДАЛИТЬ ТАБЛИЦУ пользователей; ВЫБРАТЬ * ИЗ информации пользователя ГДЕ \ 'т \' = \ 'т' </strong>; </pre> <p> Веб-фреймворки </p> <p> часто позаботятся о побеге персонажа за вас.Django, например, гарантирует, что любые пользовательские данные, передаваемые в наборы запросов (модельные запросы), экранируются. </p> <p> <strong> Примечание </strong>: Этот раздел во многом основан на информации из Википедии. </p> <h4><span class="ez-toc-section" id="_CSRF"> Подделка межсайтовых запросов (CSRF) </span></h4> <p> CSRF-атаки позволяют злоумышленнику выполнять действия, используя учетные данные другого пользователя, без его ведома или согласия. </p> <p> Этот тип атаки лучше всего пояснить на примере. Джон - злоумышленник, который знает, что определенный сайт позволяет пользователям, вошедшим в систему, отправлять деньги на указанную учетную запись, используя запрос HTTP <code> POST </code>, который включает имя учетной записи и сумму денег.Джон создает форму, которая включает в себя его банковские реквизиты и сумму денег в виде скрытых полей, и отправляет ее по электронной почте другим пользователям сайта (с помощью кнопки <em> «Отправить» </em>, замаскированной под ссылку на сайт «быстрого обогащения»). </p> <p> Если пользователь нажимает кнопку отправки, на сервер будет отправлен запрос HTTP <code> POST </code>, содержащий сведения о транзакции и любые файлы cookie на стороне клиента, которые браузер связал с сайтом (добавление связанных файлов cookie сайта в запросы является нормальным поведением браузера) .Сервер проверит файлы cookie и использует их, чтобы определить, вошел ли пользователь в систему и имеет ли разрешение на совершение транзакции. </p> <p> В результате любой пользователь, который нажимает кнопку <em> Отправить </em> во время входа на торговый сайт, совершит транзакцию. Джон становится богатым. </p> <p> <strong> Примечание </strong>: Уловка здесь в том, что Джону не нужен доступ к файлам cookie пользователя (или учетным данным). Браузер пользователя сохраняет эту информацию и автоматически включает ее во все запросы к соответствующему серверу.</p> <p> Одним из способов предотвращения атак этого типа является требование сервера, чтобы запросы <code> POST </code> включали в себя секрет, созданный для конкретного сайта. Секрет будет предоставлен сервером при отправке веб-формы, используемой для переводов. Такой подход не позволяет Джону создать свою собственную форму, потому что он должен знать секрет, который сервер предоставляет пользователю. Даже если он узнает секрет и создаст форму для конкретного пользователя, он больше не сможет использовать ту же форму для атаки на каждого пользователя.</p> <p> Веб-фреймворки </p> <p> часто включают такие механизмы предотвращения CSRF. </p> <h4><span class="ez-toc-section" id="i-26"> Прочие угрозы </span></h4> <p> Другие распространенные атаки / уязвимости включают: </p> <ul> <li> Clickjacking. В этой атаке злоумышленник перехватывает клики, предназначенные для видимого сайта верхнего уровня, и направляет их на скрытую ниже страницу. Этот метод можно использовать, например, для отображения законного сайта банка, но захвата учетных данных для входа в невидимый <code> <iframe> </code>, контролируемый злоумышленником.Clickjacking также можно использовать для того, чтобы заставить пользователя нажать кнопку на видимом сайте, но при этом фактически невольно нажимает совершенно другую кнопку. В качестве защиты ваш сайт может предотвратить встраивание себя в iframe на другом сайте, установив соответствующие заголовки HTTP. </li> <li> Отказ в обслуживании (DoS). DoS обычно достигается за счет наводнения целевого сайта поддельными запросами, так что доступ к сайту нарушается для законных пользователей. Запросы могут быть просто многочисленными или индивидуально потреблять большие объемы ресурсов (например,g., медленное чтение или загрузка больших файлов). Защита от DoS обычно работает, выявляя и блокируя «плохой» трафик, пропуская при этом легитимные сообщения. Эти средства защиты обычно расположены перед веб-сервером или на нем (они не являются частью самого веб-приложения). </li> <li> Directory Traversal (Файл и раскрытие). В этой атаке злоумышленник пытается получить доступ к частям файловой системы веб-сервера, к которым у них не должно быть доступа. Эта уязвимость возникает, когда пользователь может передать имена файлов, содержащие символы навигации файловой системы (например, <code>../../ </code>). Решение состоит в том, чтобы дезинфицировать ввод перед его использованием. </li> <li> Включение файла. В этой атаке пользователь может указать «непреднамеренный» файл для отображения или выполнения в данных, передаваемых на сервер. После загрузки этот файл может быть выполнен на веб-сервере или на стороне клиента (что приведет к XSS-атаке). Решение состоит в том, чтобы дезинфицировать ввод перед его использованием. </li> <li> Внедрение команд. Атаки с внедрением команд позволяют злоумышленнику выполнять произвольные системные команды в операционной системе хоста.Решение состоит в том, чтобы дезинфицировать вводимые пользователем данные до того, как их можно будет использовать в системных вызовах. </li> </ul> <p> Полный список угроз безопасности веб-сайтов см. В разделах «Категория: эксплойты веб-безопасности» (Википедия) и «Категория: атаки» (Open Web Application Security Project). </p> <h3><span class="ez-toc-section" id="i-27"> Несколько ключевых сообщений </span></h3> <p> Почти все эксплойты безопасности, описанные в предыдущих разделах, успешны, когда веб-приложение доверяет данным из браузера. Что бы вы ни делали для повышения безопасности своего веб-сайта, вы должны дезинфицировать все данные, исходящие от пользователей, прежде чем они будут отображаться в браузере, использоваться в запросах SQL или передаваться в вызов операционной системы или файловой системы.</p> <p> Важно: Самый важный урок, который вы можете извлечь о безопасности веб-сайтов, - это <strong> никогда не доверять данным из браузера </strong>. Это включает, но не ограничивается данными в параметрах URL-адресов <code> запросов GET </code>, <code> запросов POST </code>, HTTP-заголовков и файлов cookie, а также файлов, загруженных пользователем. Всегда проверяйте и дезинфицируйте все входящие данные. Всегда предполагайте худшее. </p> <p> Ряд других конкретных шагов, которые вы можете предпринять: </p> <ul> <li> Используйте более эффективное управление паролями.Поощряйте регулярную смену надежных паролей. Рассмотрите возможность двухфакторной аутентификации для вашего сайта, чтобы в дополнение к паролю пользователь должен был ввести другой код аутентификации (обычно тот, который доставляется через какое-то физическое оборудование, которое будет иметь только пользователь, например, код в SMS, отправленном на его адрес). Телефон). </li> <li> Настройте свой веб-сервер для использования HTTPS и HTTP Strict Transport Security (HSTS). HTTPS шифрует данные, передаваемые между вашим клиентом и сервером. Это гарантирует, что учетные данные для входа, файлы cookie, данные запросов <code> POST </code> и информация заголовка будут недоступны для злоумышленников.</li> <li> Следите за наиболее популярными угрозами (текущий список OWASP находится здесь) и устраняйте в первую очередь наиболее распространенные уязвимости. </li> <li> Используйте инструменты сканирования уязвимостей для автоматического тестирования безопасности вашего сайта. Позже ваш очень успешный веб-сайт может также обнаруживать ошибки, предлагая вознаграждение за обнаружение ошибок, как это делает здесь Mozilla. </li> <li> Храните и отображайте только те данные, которые вам нужны. Например, если ваши пользователи должны хранить конфиденциальную информацию, такую как данные кредитной карты, отображать номер карты только для того, чтобы он мог быть идентифицирован пользователем, и недостаточно, чтобы он мог быть скопирован злоумышленником и использован на другом сайте.Самый распространенный шаблон в настоящее время - отображение только последних 4 цифр номера кредитной карты. </li> </ul> <p> Веб-платформы могут помочь уменьшить многие из наиболее распространенных уязвимостей. </p> <h3><span class="ez-toc-section" id="i-28"> Сводка </span></h3> <p> В этой статье объясняется концепция веб-безопасности и некоторые из наиболее распространенных угроз, от которых ваш веб-сайт должен пытаться защитить. Самое главное, вы должны понимать, что веб-приложение не может доверять никаким данным из веб-браузера. Все пользовательские данные должны быть очищены перед их отображением или использованием в запросах SQL и вызовах файловой системы.</p> <p> Этой статьей вы подошли к концу этого модуля, охватывающего ваши первые шаги в программировании на стороне сервера. Мы надеемся, что вам понравилось изучать эти фундаментальные концепции, и теперь вы готовы выбрать веб-платформу и начать программировать. </p> <h3><span class="ez-toc-section" id="i-29"> В этом модуле </span></h3> <h2><span class="ez-toc-section" id="_-_PortSwigger"> Бесплатное онлайн-обучение от PortSwigger </span></h2> <p> Академия веб-безопасности: бесплатное онлайн-обучение от PortSwigger</p> <p> Сделайте карьеру выше </p> <p> The Web Security Academy - серьезный шаг к карьере в области кибербезопасности.</p> <p> Гибкое обучение </p> <p> Учитесь где угодно и когда угодно с помощью бесплатных интерактивных лабораторных работ и отслеживания прогресса. </p> <p> Учитесь у экспертов </p> <p> Разработано командой мирового уровня под руководством автора «Справочника хакера веб-приложений».</p> <h3><span class="ez-toc-section" id="i-30"> Самые свежие учебные ресурсы </span></h3> <p> The Web Security Academy - это бесплатный онлайн-центр обучения безопасности веб-приложений. Он включает в себя материалы от собственной исследовательской группы PortSwigger, опытных ученых и нашего основателя Дэфидда Статтарда - автора «Справочника хакера веб-приложений». </p> <p> В отличие от учебника, Академия постоянно обновляется. Он также включает интерактивные лабораторные работы, где вы можете проверить полученные знания.Если вы хотите улучшить свои знания о взломе или стать наемным убийцей или пентестером, вы попали в нужное место. </p> <h3><span class="ez-toc-section" id="i-31"> Удовлетворите свое любопытство - безопасно и законно </span></h3> <p> Мы делаем Burp Suite - ведущее программное обеспечение для тестирования веб-безопасности. И мы любим наших пользователей (потому что именно они делают Burp тем, чем он является). Вот почему мы создали Академию веб-безопасности. Вот почему Академия на 100% бесплатна. </p> <p> Академия веб-безопасности существует, чтобы помочь всем, кто хочет узнать о веб-безопасности безопасным и законным способом.Вы можете получить доступ ко всему (бесплатно) и отслеживать свой прогресс, создав учетную запись. Пожалуйста, смотрите боковую панель для получения дополнительной информации. </p> <h3><span class="ez-toc-section" id="i-32"> Взламывайте, как делают профессионалы </span></h3> <p> Веб-безопасность и этический взлом - прибыльная карьера, но ее часто считают темным и таинственным искусством. Академия веб-безопасности разрушает этот стереотип. Мы делаем новейшие знания о безопасности приложений доступными каждому.</p> <p> Некоторые из наших интерактивных лабораторий по своей природе требуют от вас использования инструментов для их решения. Но не бойтесь. Если у вас нет доступа к Burp Suite Professional, Burp Suite Community Edition позволяет экспериментировать бесплатно. Загрузите Burp Suite здесь. </p> <h3><span class="ez-toc-section" id="i-33"> Тренинг по веб-безопасности для людей, а не роботов </span></h3> <p> Посмотрим правде в глаза, некоторые занятия по обучению работе с веб-приложениями могут быть немного скучными.И разве взлом не должен быть развлечением? Мы, конечно, так думаем. Вот почему мы выбрали полностью интерактивный подход, когда дело доходит до разработки нашего тренинга по веб-безопасности. </p> <p> Хотя каждая тема в Академии полностью объяснена в тексте, многие также включают видеоконтент для обобщения ключевых моментов. Затем есть интерактивные лаборатории - реалистичные головоломки, предназначенные для проверки ваших навыков хакера. Они переходят непосредственно в реальные ситуации кибербезопасности. </p> <h3><span class="ez-toc-section" id="i-34"> Отслеживайте свой прогресс, выигрывайте крутые подарки </span></h3> <p> Несмотря на то, что мы разработали лаборатории для развлечения, это не обязательно означает, что они просты (ведь где же в этом веселья, верно?).Нам также нравится немного соревноваться здесь, в Академии веб-безопасности - именно так мы пришли к идее Зала славы. </p> <p> Каждый раз, когда мы выпускаем новую лабораторию, мы сообщаем об этом в Twitter. Первые пользователи Академии веб-безопасности, которые решат эту задачу, получат награду Burp Suite, а также попадут в Зал славы на всеобщее обозрение. Конечно, вы можете оставаться анонимным, если хотите. </p> <h2><span class="ez-toc-section" id="-_-_Windows"> Веб-защита - Безопасность Windows </span></h2> <ul data-bi-name="page info" lang="en-us" dir="ltr"> <li> <time data-article-date="" aria-label="Article review date" datetime="2020-09-22T15:03:27.460Z" data-article-date-source="git"> 22.09.2020 </time> </li> <li> 2 минуты на чтение </li> <li> </li> </ul> <h4><span class="ez-toc-section" id="i-35"> В этой статье </span></h4> <p> Важно </p> <p> Добро пожаловать в <strong> Microsoft Defender for Endpoint </strong>, новое имя для <strong> Microsoft Defender Advanced Threat Protection </strong>.Подробнее об этом и других обновлениях читайте здесь. В ближайшем будущем мы обновим названия продуктов и документов. </p> <blockquote> <p> Хотите испытать Microsoft Defender ATP? Подпишитесь на бесплатную пробную версию. </p> </blockquote> <p> Веб-защита в Microsoft Defender ATP - это возможность, состоящая из защиты от веб-угроз и фильтрации веб-содержимого. Веб-защита позволяет защитить ваши устройства от веб-угроз и помогает контролировать нежелательное содержимое. Вы можете найти отчеты о веб-защите в Центре безопасности Microsoft Defender, выбрав <strong> Отчеты> Веб-защита </strong>.</p> </p> <h3><span class="ez-toc-section" id="i-36"> Защита от веб-угроз </span></h3> <p> Карты, составляющие защиту от веб-угроз: <strong> Обнаружение веб-угроз во времени </strong> и <strong> Сводка веб-угроз </strong>. </p> <p> Защита от веб-угроз включает: </p> <ul> <li> Полная видимость веб-угроз, влияющих на вашу организацию </li> <li> Возможности расследования связанных с Интернетом угроз с помощью предупреждений и подробных профилей URL-адресов и устройств, которые обращаются к этим URL-адресам </li> <li> Полный набор функций безопасности, отслеживающих общие тенденции доступа к вредоносным и нежелательным веб-сайтам </li> </ul> <h3><span class="ez-toc-section" id="i-37"> Фильтрация веб-содержимого </span></h3> <p> Карточки, составляющие фильтрацию веб-контента: <strong> Веб-активность по категориям </strong>, <strong> Сводка фильтрации веб-контента </strong> и <strong> Сводка веб-активности </strong>.</p> <p> Фильтрация веб-содержимого включает: </p> <ul> <li> Пользователям запрещен доступ к веб-сайтам в заблокированных категориях, независимо от того, просматривают ли они локальные или удаленные сайты </li> <li> Вы можете удобно развернуть различные политики для различных наборов пользователей, используя группы устройств, определенные в параметрах управления доступом на основе ролей ATP в Microsoft Defender </li> <li> Вы можете получить доступ к веб-отчетам в том же центральном месте с возможностью просмотра фактических блоков и использования Интернета </li> </ul> <h3><span class="ez-toc-section" id="i-38"> В этом разделе </span></h3> <table> <thead> <tr> <th> Тема </th> <th> Описание </th> </tr> </thead> <tbody> <tr> <td> Защита от веб-угроз </td> <td> Остановите доступ к фишинговым сайтам, векторам вредоносных программ, сайтам с эксплойтами, ненадежным сайтам или сайтам с низкой репутацией, а также сайтам, которые вы заблокировали.</td> </tr> <tr> <td> Фильтрация веб-содержимого </td> <td> Отслеживайте и регулируйте доступ к веб-сайтам на основе их категорий контента. </td> </tr> </tbody> </table> <h2><span class="ez-toc-section" id="i-39"> Безопасность веб-приложений: полное руководство для начинающих </span></h2> <p> Развитие веб-приложений, веб-сервисов и других технологий изменило способ ведения бизнеса, доступа к информации и обмена ею. Многие компании перенесли большую часть своих операций в онлайн, поэтому сотрудники из удаленных офисов и бизнес-партнеры из разных стран могут обмениваться конфиденциальными данными в режиме реального времени и сотрудничать для достижения общей цели.</p> </p> <p> С появлением современных веб-приложений Web 2.0 и HTML5 наши требования как клиентов изменились; мы хотим иметь доступ к любым данным, которые нам нужны, к двадцати четырем семи. Такие требования также подталкивают компании к тому, чтобы такие данные были доступны в Интернете через веб-приложения. Прекрасным примером этого являются системы онлайн-банкинга и интернет-магазины. </p> <p> Все эти достижения в области веб-приложений также привлекли злонамеренных хакеров и мошенников, которые всегда придумывают новые направления атак, потому что, как и в любой другой отрасли, есть деньги, которые можно получить незаконным путем.И это привело к рождению новой молодой индустрии; Безопасность веб-приложений. </p> <p> В этой статье рассказывается об основах и мифах о безопасности веб-приложений, а также о том, как компании могут улучшить безопасность своих веб-сайтов и веб-приложений и удержать злоумышленников от хакеров. </p> <p> <strong> Содержание </strong> </p> <ol> <li> У нас есть безопасный сетевой брандмауэр </li> <li> Мы сканируем наши серверы и сеть с помощью сканера сетевой безопасности </li> <li> Как насчет брандмауэра веб-приложений? </li> <li> Как я могу защитить свои веб-приложения? </li> <li> Сканеры веб-уязвимостей </li> <li> Выбор подходящего сканера безопасности веб-приложений <ol> <li> Коммерческий и бесплатный сканер уязвимостей </li> </ol> </li> <li> Как проверить сканер веб-уязвимостей <ol> <li> Способность определять поверхности атаки веб-приложений </li> <li> Простой в использовании сканер веб-уязвимостей </li> <li> Способность определять уязвимости веб-приложений </li> <li> Автоматизация процесса </li> </ol> </li> <li> Когда использовать сканер безопасности веб-приложений </li> <li> Полное руководство по обеспечению безопасности среды веб-приложений <ol> <li> Выявление логических уязвимостей </li> <li> Пример логической уязвимости </li> </ol> </li> <li> Защита веб-сервера и других компонентов <ol> <li> Отключить ненужные функции </li> <li> Ограничение и безопасный удаленный доступ </li> <li> Используйте учетные записи с ограниченными правами </li> <li> Разрешения и привилегии </li> <li> Разделение сред разработки, тестирования и эксплуатации </li> <li> Разделить данные </li> <li> Всегда устанавливайте исправления безопасности </li> <li> Мониторинг и аудит серверов и журналов </li> <li> Используйте средства безопасности </li> </ol> </li> <li> Будьте в курсе </li> </ol> <h3><span class="ez-toc-section" id="i-40"> У нас есть безопасный сетевой брандмауэр </span></h3> <p> Скорее всего, это наиболее распространенные мифы о безопасности веб-приложений.Многие думают, что сетевой брандмауэр, который они используют для защиты своей сети, также защищает веб-сайты и веб-приложения, находящиеся за ним. </p> <p> Сетевая безопасность отличается от безопасности веб-приложений. В сетевой безопасности периметр защиты, такой как брандмауэры, используются, чтобы блокировать плохих парней и разрешать хорошим парням войти. Например, администраторы могут настроить брандмауэры, чтобы разрешить определенным IP-адресам или пользователям доступ к определенным службам и заблокировать остальные. </p> <p> Но защита периметра сети не подходит для защиты веб-приложений от вредоносных атак.Бизнес-сайты и веб-приложения должны быть доступны всем, поэтому администраторы должны разрешить весь входящий трафик на порты 80 (HTTP) и 443 (HTPS) и надеяться, что все будут играть по правилам. </p> <p> Сетевые брандмауэры </p> <p> не могут анализировать веб-трафик, отправляемый в веб-приложения и из них, поэтому он никогда не может блокировать вредоносные запросы, отправленные кем-то, кто пытается использовать уязвимость, такую как SQL-инъекция или межсайтовый скриптинг. </p> <h3><span class="ez-toc-section" id="i-41"> Мы сканируем наши серверы и сеть с помощью сканера сетевой безопасности </span></h3> <p> Сканеры сетевой безопасности </p> <p> предназначены для выявления небезопасных конфигураций серверов и сетевых устройств и уязвимостей безопасности, а не для выявления уязвимостей веб-приложений (например, SQL-инъекций).Например, если FTP-сервер позволяет анонимным пользователям писать на сервер, сетевой сканер определит такую проблему как угрозу безопасности. Сканеры сетевой безопасности также можно использовать для проверки того, все ли сканируемые компоненты, в основном серверы и сетевые серверы, такие как FTP, DNS, SMTP и т. Д., Полностью исправлены. </p> <h3><span class="ez-toc-section" id="i-42"> Как насчет брандмауэра веб-приложений? </span></h3> <p> Брандмауэр веб-приложений, также известный как WAF, анализирует веб-трафик HTTP и HTTPS, поэтому он может идентифицировать злонамеренные хакерские атаки, поскольку работает на уровне приложений.Например, если злоумышленник пытается использовать ряд известных уязвимостей веб-приложений на веб-сайте, он может заблокировать такое соединение, не позволяя злоумышленнику успешно взломать веб-сайт. Но у такого подхода есть ряд недостатков: </p> <h4><span class="ez-toc-section" id="i-43"> Обнаруживает только известные уязвимости безопасности </span></h4> <p> Брандмауэр веб-приложения может определить, является ли запрос вредоносным, сравнивая шаблон запроса с уже предварительно настроенным шаблоном. Поэтому в большинстве случаев брандмауэр веб-приложений не может защитить вас от новых уязвимостей нулевого дня и векторов атак.Однако некоторые из них могут защитить вас от атак типа «отказ в обслуживании». </p> <h4><span class="ez-toc-section" id="i-44"> На уровне администратора </span></h4> <p> Брандмауэр веб-приложений - это настраиваемое пользователем программное обеспечение или устройство, что означает, что оно зависит от одного из самых слабых звеньев в цепочке безопасности веб-приложений - пользователя. Поэтому при неправильной настройке брандмауэр веб-приложения не сможет полностью защитить веб-приложение. </p> <h4><span class="ez-toc-section" id="i-45"> Не устраняет дыры в безопасности в веб-приложениях </span></h4> <p> Брандмауэр безопасности веб-приложений не исправляет и не закрывает дыры в безопасности в веб-приложении, он только скрывает их от злоумышленника, блокируя запросы, пытающиеся их использовать.Следовательно, если у брандмауэра веб-приложения есть проблема с безопасностью и его можно обойти, как показано в следующем пункте, уязвимость веб-приложения также будет использована. </p> <h4><span class="ez-toc-section" id="WAF"> WAF - это обычное приложение, которое может иметь уязвимости </span></h4> <p> Брандмауэр веб-приложений - это обычное программное приложение, которое может иметь собственные уязвимости и проблемы с безопасностью. Со временем многие исследователи безопасности выявили несколько уязвимостей в брандмауэрах веб-приложений, которые позволяют хакерам получить доступ к консоли администратора брандмауэра, отключить брандмауэр и даже обойти брандмауэр.</p> <p> В целом брандмауэры веб-приложений - это дополнительный уровень защиты, но не решение проблемы. Другими словами, если позволяет бюджет, рекомендуется добавить WAF после аудита веб-приложения с помощью веб-сканера уязвимостей. Дополнительные уровни безопасности всегда приветствуются! </p> <p> Уязвимости веб-приложений следует рассматривать как обычные функциональные ошибки, поэтому их следует всегда исправлять, неважно, если перед приложением установлен брандмауэр или любой другой тип механизма защиты.Фактически, тестирование безопасности веб-приложений должно быть частью обычных тестов QA. </p> <h3><span class="ez-toc-section" id="i-46"> Как я могу защитить свои веб-приложения? </span></h3> <p> Чтобы гарантировать безопасность веб-приложения, вы должны выявить все проблемы безопасности и уязвимости в самом веб-приложении, прежде чем злонамеренный хакер обнаружит и воспользуется ими. Вот почему очень важно, чтобы процесс обнаружения уязвимостей веб-приложения выполнялся на всех этапах SDLC, а не после запуска веб-приложения.</p> <p> Существует несколько различных способов обнаружения уязвимостей в веб-приложениях. Вы можете сканировать веб-приложение с помощью сканера черного ящика, выполнять аудит исходного кода вручную, использовать автоматический сканер белого ящика для выявления проблем с кодированием или выполнять аудит безопасности и тест на проникновение вручную. </p> <p> Какой метод лучше? Не существует единого надежного метода, который можно было бы использовать для выявления всех уязвимостей в веб-приложении. У каждого из вышеперечисленных методов есть свои плюсы и минусы.</p> <p> Например, хотя автоматизированный инструмент обнаруживает почти все технические уязвимости, в большей степени, чем опытный тестер на проникновение, он не может идентифицировать логические уязвимости. Логические уязвимости можно выявить только с помощью ручного аудита. С другой стороны, ручной аудит неэффективен, может занять много времени и стоить целое состояние. При ручном аудите также есть риски оставить неопознанные уязвимости. Тестирование методом белого ящика усложняет процедуры разработки и может выполняться только разработчиками, имеющими доступ к коду.</p> <p> Если позволяют бюджет и время, рекомендуется использовать множество всех доступных инструментов и методологий тестирования, но в действительности ни у кого нет времени и средств, чтобы позволить это. Следовательно, необходимо выбрать наиболее экономичное решение, которое может реалистично имитировать злонамеренного хакера, пытающегося взломать веб-сайт; используйте сканер черного ящика, также известный как сканер безопасности веб-приложений или сканер веб-уязвимостей. Конечно, автоматическое сканирование безопасности веб-приложений всегда должно сопровождаться аудитом вручную.Только используя обе методологии, вы можете выявить все типы уязвимостей, то есть логические и технические уязвимости. </p> <h3><span class="ez-toc-section" id="i-47"> Сканеры веб-уязвимостей </span></h3> <p> Сканер веб-уязвимостей «черный ящик», также известный как сканер безопасности веб-приложений, - это программное обеспечение, которое может автоматически сканировать веб-сайты и веб-приложения и выявлять в них уязвимости и проблемы безопасности. Сканеры безопасности веб-приложений стали действительно популярными, потому что они автоматизируют большую часть процесса обнаружения уязвимостей и, как правило, очень просты в использовании.Например, чтобы использовать сканер белого ящика, нужно быть разработчиком и иметь доступ к исходному коду, в то время как сканер черного ящика может использоваться практически любым членом технических групп, например, членами группы QA, тестировщиками программного обеспечения, продуктами и руководители проектов и др. </p> <h3><span class="ez-toc-section" id="i-48"> Выбор подходящего сканера веб-уязвимостей </span></h3> <p> В Интернете доступно несколько коммерческих и некоммерческих веб-сканеров уязвимостей, и выбрать тот, который соответствует всем вашим требованиям, - непростая задача.Лучший способ выяснить, какой из сканеров вам подходит, - это протестировать их все. Ниже приведены некоторые рекомендации, которые помогут вам спланировать тестирование и определить подходящий сканер безопасности веб-приложений. </p> <h4><span class="ez-toc-section" id="i-49"> Коммерческий и бесплатный сканер уязвимостей в Интернете </span></h4> <p> Существует множество факторов, которые повлияют на ваше решение при выборе сканера безопасности веб-приложений. Первый очевидный: мне следует использовать коммерческое программное обеспечение или использовать бесплатное некоммерческое решение? Я рекомендую и всегда предпочитаю коммерческое программное обеспечение.На это есть несколько причин, например частые обновления самого программного обеспечения и проверки веб-безопасности, простота использования, профессиональная поддержка и ряд других. Для получения дополнительной информации и подробного объяснения преимуществ использования коммерческого решения по сравнению с бесплатным, обратитесь к статье Стоит ли платить за сканер безопасности веб-приложений? </p> <h3><span class="ez-toc-section" id="i-50"> Как проверить сканер веб-уязвимостей </span></h3> <p> Будете ли вы сканировать пользовательское веб-приложение, созданное с помощью .NET, или известное веб-приложение, созданное на PHP, например WordPress? Какое бы веб-приложение вы ни сканировали, выбранный вами сканер безопасности должен иметь возможность сканировать и сканировать ваш веб-сайт.Хотя это кажется очевидным, на практике это не кажется очевидным. </p> <p> Например, многие выбирают сканер веб-уязвимостей на основании результатов ряда сравнительных отчетов, выпущенных за несколько лет, или на основании того, что говорят евангелисты веб-безопасности. Хотя такая информация может указывать на основные игроки, ваше решение о покупке не должно полностью основываться на ней. </p> <p> Многие другие используют другой неправильный подход к тестированию при сравнении сканеров веб-уязвимостей; они сканируют популярные уязвимые веб-приложения, такие как DVWA, bWAPP или другие приложения из проекта сломанных веб-приложений OWASP.Это неправильный подход, потому что если веб-приложения, которые вы хотите сканировать, не идентичны (с точки зрения кода и технологии) этим сломанным веб-приложениям, в чем я очень сомневаюсь, вы просто зря теряете время. Такие уязвимые веб-приложения созданы для образовательных целей и никоим образом не похожи на настоящие живые веб-приложения. </p> <p> Лучший подход к определению правильного сканера безопасности веб-приложений - это запустить несколько проверок безопасности с использованием разных сканеров для веб-приложения или ряда веб-приложений, которые использует ваша компания.Обратите внимание, что рекомендуется запускать сканирование веб-безопасности для проверки и тестирования веб-приложений, если вы действительно не знаете, что делаете. </p> <h4><span class="ez-toc-section" id="i-51"> Способность определять поверхности атаки веб-приложений </span></h4> <p> Во время тестового сканирования проверьте, какой из автоматических сканеров черного ящика имеет лучший сканер; компонент, который используется для определения всех точек входа и поверхностей атаки в веб-приложении до начала атаки. Скорее всего, поисковый робот является наиболее важным компонентом, поскольку уязвимость не может быть обнаружена, если уязвимая точка входа в веб-приложение не будет идентифицирована поисковым роботом.</p> <p> Чтобы идентифицировать сканер, который может идентифицировать все поверхности атаки, сравните список страниц, каталогов, файлов и входных параметров, идентифицированных каждым сканером, и посмотрите, какой из них идентифицировал больше всего или в идеале все параметры. Если конкретный сканер не смог правильно сканировать веб-приложение, это также может означать, что его необходимо настроить, что подводит нас к следующему пункту; простое в использовании программное обеспечение. </p> <h4><span class="ez-toc-section" id="i-52"> Простой в использовании сканер веб-уязвимостей </span></h4> <p> Хотя некоторые сканеры черного ящика могут автоматически сканировать практически любой тип веб-сайтов, используя готовую конфигурацию, некоторые другие, возможно, потребуется настроить перед запуском сканирования.</p> <p> Поскольку безопасность веб-приложений - это нишевая отрасль, не на всех предприятиях есть специалисты по веб-безопасности, способные понять и настроить сканер безопасности веб-приложений. Поэтому выберите простой в использовании сканер, который может автоматически обнаруживать и адаптироваться к большинству распространенных сценариев, таких как настраиваемые страницы ошибок 404, защита от CSRF на веб-сайте, правила перезаписи URL и т. Д. </p> <p> Простые в использовании сканеры безопасности веб-приложений будут иметь более высокую окупаемость инвестиций, поскольку вам не нужно нанимать специалистов или обучать членов команды их использованию.</p> <h4><span class="ez-toc-section" id="i-53"> Способность определять уязвимости веб-приложений </span></h4> <p> Следующим фактором, который используется при сравнении сканеров безопасности веб-приложений, является то, какой из сканеров может определить наибольшее количество уязвимостей, которые, конечно, не являются ложными срабатываниями. Я видел, как сканеры уязвимостей выявляли сотни уязвимостей на веб-сайтах, но более 70% из них были ложными. </p> <p> Если сканер сообщает о большом количестве ложных срабатываний, разработчики, специалисты по контролю качества и специалисты по безопасности будут тратить больше времени на проверку результатов, а не на исправления, поэтому постараются этого избежать.Дополнительные сведения о ложных срабатываниях и их негативном влиянии на безопасность веб-приложений см. В статье Проблема ложных срабатываний в безопасности веб-приложений и способы их решения. </p> <h4><span class="ez-toc-section" id="i-54"> Автоматизация безопасности веб-приложений </span></h4> <p> Чем больше возможностей для автоматизации сканера безопасности веб-приложений, тем лучше. Например, представьте себе веб-приложение со 100 видимыми полями ввода, которое по сегодняшним стандартам представляет собой небольшое приложение. Если бы тестировщику на проникновение пришлось вручную тестировать каждый ввод в веб-приложении на все известные варианты уязвимостей межсайтового скриптинга (xss), ему нужно было бы запустить около 800 различных тестов.</p> <p> Если на выполнение каждого теста уходит около 2 минут, и если все работает без сбоев, то такой тест займет около 12 дней, если тестер на проникновение работает 24 часа в сутки. И это как раз о видимых параметрах. А как насчет параметров под капотом? </p> <p> Обычно в веб-приложении скрыто гораздо больше, чем то, что можно увидеть. Поэтому тестеру на проникновение сложно быстро идентифицировать все поверхности атаки веб-приложения, в то время как автоматический сканер безопасности веб-приложения может провести такой же тест и определить все «невидимые» параметры примерно за 2 или 3 часа.</p> <p> Но дело не только в времени и деньгах. При приеме на работу специалиста по безопасности для теста на проникновение веб-приложения он будет ограничен знаниями профессионала, в то время как, с другой стороны, типичный коммерческий сканер безопасности веб-приложения содержит большое количество проверок безопасности и вариантов, подтвержденных годами исследований и опытом. </p> <p> Следовательно, автоматизация - еще одна важная функция, на которую следует обратить внимание. За счет автоматизации проверка безопасности обойдется дешевле и проводится более эффективно.Дополнительные сведения о преимуществах автоматизации обнаружения уязвимостей веб-приложений см. В статье «Почему необходимо автоматизировать тестирование уязвимостей в Интернете». </p> <h3><span class="ez-toc-section" id="i-55"> Когда использовать сканер веб-уязвимостей </span></h3> <p> Безопасность веб-приложений - это то, что необходимо учитывать на каждом этапе разработки и проектирования веб-приложений. Чем раньше в проект будет включена система безопасности веб-приложения, тем более защищенным будет веб-приложение и тем дешевле и проще будет исправить выявленные проблемы на более позднем этапе.</p> <p> Например, автоматический сканер безопасности веб-приложений можно использовать на всех этапах жизненного цикла разработки программного обеспечения (SDLC). Даже когда веб-приложение находится на ранней стадии разработки, когда у него всего пара невидимых входных данных. Тестирование на ранних стадиях разработки имеет первостепенное значение, потому что, если такие входные данные являются основой всех других входных данных, в дальнейшем будет очень сложно, если не невозможно, защитить их, если не будет переписано все веб-приложение.</p> <p> Есть также несколько других преимуществ использования сканера уязвимостей на каждом этапе SDLC. Например, разработчики автоматически обучаются написанию более безопасного кода, потому что помимо простого выявления уязвимостей большинство коммерческих сканеров также предоставляют практическое решение для устранения уязвимости. Это помогает разработчикам понять и узнать больше о безопасности веб-приложений. </p> <h3><span class="ez-toc-section" id="i-56"> Полное руководство по обеспечению безопасности среды веб-приложений </span></h3> <p> Сканирование веб-приложения с помощью автоматического сканера безопасности веб-приложений поможет вам выявить технические уязвимости и защитить части самого веб-приложения.Но как насчет логических уязвимостей и всех других компонентов, составляющих среду веб-приложений? </p> <h4><span class="ez-toc-section" id="i-57"> Выявление логических уязвимостей </span></h4> <p> Сканеры безопасности веб-приложений </p> <p> могут определять только технические уязвимости, такие как внедрение SQL, межсайтовые сценарии, удаленное выполнение кода и т. Д. Поэтому автоматическое сканирование безопасности веб-приложений всегда должно сопровождаться ручным аудитом для выявления логических уязвимостей. </p> <p> Логические уязвимости также могут серьезно повлиять на бизнес-операции, поэтому очень важно провести ручной анализ веб-приложения, протестировав несколько комбинаций, и убедиться, что веб-приложение работает так, как задумано.</p> <h4><span class="ez-toc-section" id="i-58"> Пример логической уязвимости </span></h4> <p> Представьте себе корзину покупок, цена которой указана в URL-адресе, как в примере ниже: </p> <pre> <code> /shoppingcart/index.php?price=250 </code> </pre> <p> Что произойдет, если пользователь изменит цену с 250 до 30 долларов в URL? Сможет ли пользователь продолжить оформление заказа и заплатить всего 30 долларов за товар, который стоит 250 долларов? Если да, то это логическая уязвимость, которая может серьезно повлиять на ваш бизнес. </p> <p> Эти типы уязвимостей никогда не могут быть идентифицированы автоматическим инструментом, потому что инструменты не обладают интеллектом, который позволяет им определять влияние, которое такой параметр может иметь на операции бизнеса.</p> <h3><span class="ez-toc-section" id="i-59"> Защита веб-сервера и других компонентов </span></h3> <p> В ферме веб-приложений есть несколько других компонентов, которые делают возможным размещение и запуск веб-приложения. По крайней мере, в самой базовой среде есть программное обеспечение веб-сервера (например, Apache или IIS), операционная система веб-сервера (например, Windows или Linux), сервер базы данных (например, MySQL или MS SQL) и сетевая служба, которая позволяет администраторы для обновления веб-сайта, например FTP или SFTP. </p> <p> Все эти компоненты, составляющие веб-сервер, также должны быть безопасными, потому что в случае взлома любого из них злоумышленники по-прежнему могут получить доступ к веб-приложению и получить данные из базы данных или подделать их.Поэтому рекомендуется обратиться к руководствам по безопасности и документации по передовому опыту для программного обеспечения, которое вы используете на своем веб-сервере. Ниже также приведены некоторые основные рекомендации по безопасности, которые могут применяться к любому типу серверов и сетевых служб: </p> <h4><span class="ez-toc-section" id="i-60"> Отключить ненужные функции </span></h4> <p> Чем больше функциональных возможностей имеет сетевая служба или операционная система, тем больше шансов получить доступную точку входа. Поэтому отключите и отключите любые функции, службы или демоны, которые не используются в среде вашего веб-приложения.Например, обычно в операционной системе веб-сервера работает служба SMTP. Если вы не пользуетесь такой услугой, выключите ее и убедитесь, что она отключена навсегда. </p> <h4><span class="ez-toc-section" id="i-61"> Ограничение и безопасный удаленный доступ </span></h4> <p> В идеале администраторы должны иметь возможность подключаться к веб-серверу локально. Если это невозможно, убедитесь, что любой тип трафика удаленного доступа, такой как RDP и SSH, туннелируется и зашифрован. Также было бы полезно, если бы вы могли ограничить удаленный доступ определенным количеством IP-адресов, например IP-адресами офиса.</p> <h4><span class="ez-toc-section" id="i-62"> Использование учетных записей с ограниченными правами </span></h4> <p> Администраторы обычно не любят никаких ограничений для своих учетных записей, потому что иногда ограниченные привилегии могут быть немного обременительными для выполнения конкретной задачи. Поэтому, если вы работаете над поиском правильного баланса между безопасностью и практичностью, у вас может быть безопасный веб-сервер, в то время как администраторы могут выполнять свою работу. Например, у администратора могут быть разные учетные записи для выполнения разных задач; учетная запись, которая специально используется для резервного копирования, учетная запись, которая используется для общих операций, таких как удаление файлов журнала, учетная запись, которая используется исключительно для изменения конфигурации таких служб, как FTP, DNS, SMTP и т. д.</p> <p> Используя такой подход, вы ограничиваете ущерб, который может быть нанесен, если одна из учетных записей администратора будет взломана злоумышленником. </p> <h4><span class="ez-toc-section" id="i-63"> Разрешения и привилегии </span></h4> <p> Помимо учетных записей пользователей, то же самое относится ко всем другим типам услуг и приложений. Например, большую часть времени пользователь базы данных, используемого вашим веб-приложением для подключения к базе данных, должен только читать и записывать данные в базу данных и из нее и не нуждается в привилегиях для создания или удаления таблиц.Но в большинстве случаев администраторы предоставляют учетной записи все возможные привилегии, потому что она «всегда будет работать». </p> <p> Другой типичный сценарий для этого типа проблем - пользователи ftp. Пользователи FTP, которые используются для обновления файлов веб-приложения, должны иметь доступ только к этим файлам и ни к чему другому. Найдите время, чтобы проанализировать каждое приложение, службу и веб-приложение, которое вы запускаете, и убедитесь, что пользователю, приложению и службе предоставлены минимально возможные привилегии. </p> <h4><span class="ez-toc-section" id="i-64"> Разделение сред разработки, тестирования и эксплуатации </span></h4> <p> Крайне важно всегда отделять живые среды от сред разработки и тестирования.Смешивая такие среды, вы приглашаете хакеров в свое веб-приложение. </p> <p> При разработке или устранении неполадок веб-приложения разработчики оставляют за собой следы, которые могут помочь злонамеренному хакеру организовать атаку на веб-приложение. Например, отладка, которую можно использовать для раскрытия конфиденциальной информации о среде веб-приложения, остается включенной. Файлы журнала, содержащие конфиденциальную информацию о настройке базы данных, могут быть оставлены на веб-сайте и могут быть доступны злоумышленникам.</p> <p> Следовательно, важно, чтобы любая разработка и устранение неполадок выполнялись в промежуточной среде. После завершения разработки и тестирования веб-приложения администратор должен применить изменения к реальной среде, а также убедиться, что любые из примененных изменений не представляют угрозы безопасности и что нет файлов, таких как файлы журналов или файлы исходного кода. с деликатными техническими комментариями загружаются на сервер. </p> <h4><span class="ez-toc-section" id="i-65"> Разделить данные </span></h4> <p> Аналогично предыдущему, то же самое относится к самим данным.Не храните в одной базе данных не относящуюся к делу информацию, такую как номера кредитных карт клиентов и активность пользователей веб-сайта. Храните такие данные в разных базах данных с использованием разных пользователей базы данных. </p> <p> Примените ту же концепцию разделения к файлам операционной системы и веб-приложений. В идеале файлы веб-приложения, то есть каталог, который публикуется на веб-сервере, должны находиться на отдельном диске от операционной системы и файлов журнала. Тем самым вы не подвергаете файлы операционной системы злоумышленнику в случае, если он или она воспользуется уязвимостью на веб-сервере.</p> <h4><span class="ez-toc-section" id="i-66"> Всегда устанавливайте исправления безопасности </span></h4> <p> Несмотря на то, что это один из самых важных шагов в любом типе безопасности, к сожалению, это все еще самая упускаемая из виду задача. Невозможно переоценить, насколько важно всегда использовать самую последнюю и самую последнюю версию конкретного программного обеспечения, которое вы используете, и всегда применять исправления безопасности поставщика. Таким образом вы гарантируете, что злоумышленники не смогут найти и использовать какие-либо известные уязвимости безопасности в используемом вами программном обеспечении.</p> <h4><span class="ez-toc-section" id="i-67"> Мониторинг и аудит серверов и журналов </span></h4> <p> Как следует из названия, файлы журналов используются для ведения журнала всего, что происходит на сервере, а не просто для использования бесконечного количества места на жестком диске. Время от времени каждый администратор должен анализировать файлы журналов сервера. Таким образом администраторы могут раскрыть много информации, например, о подозрительном поведении на сервере, и, следовательно, лучше защитить веб-сервер или в случае атаки легко отследить, что произошло и что было использовано во время атаки.</p> <h4><span class="ez-toc-section" id="i-68"> Используйте средства безопасности </span></h4> <p> Помимо сканера безопасности веб-приложений, вам также следует использовать сканер сетевой безопасности и другие соответствующие инструменты для сканирования веб-сервера и обеспечения безопасности всех служб, работающих на сервере. Инструменты безопасности должны быть включены в набор инструментов каждого администратора. </p> <h3><span class="ez-toc-section" id="i-69"> Будьте в курсе </span></h3> <p> И последнее, но не менее важное: будьте в курсе! Сегодня вы можете бесплатно найти много информации в Интернете в ряде блогов и веб-сайтов по безопасности веб-приложений.Держа себя в курсе того, что происходит в индустрии безопасности веб-приложений или любой другой отрасли, связанной с вашей работой, вы вооружаетесь и обучаете себя, чтобы вы могли лучше защищать и защищать веб-серверы и веб-приложения.</p> <div class='yarpp-related yarpp-related-none'> <p>No related posts.</p> </div> </div> <div class="entry-footer is-start"> <b>Share :</b> <ul class="post-share"> <li><a target="_blank" href="https://www.facebook.com/sharer/sharer.php?u=https://wwwoldi.ru/raznoe/web-bezopasnost-ot-uyazvimostej-do-monitoringa-habr.html"><i class="fab fa-facebook-f"></i></a></li> <li><a target="_blank" href="http://twitter.com/share?text=Web%20безопасность:%20от%20уязвимостей%20до%20мониторинга%20/%20Хабр&url=https://wwwoldi.ru/raznoe/web-bezopasnost-ot-uyazvimostej-do-monitoringa-habr.html"><i class="fab fa-twitter"></i></a></li> <li><a target="_blank" href="http://pinterest.com/pin/create/button/?url=https://wwwoldi.ru/raznoe/web-bezopasnost-ot-uyazvimostej-do-monitoringa-habr.html&media=&description=Web%20безопасность:%20от%20уязвимостей%20до%20мониторинга%20/%20Хабр"><i class="fab fa-pinterest"></i></a></li> <li> <a target="_blank" href="http://www.linkedin.com/shareArticle?mini=true&title=Web%20безопасность:%20от%20уязвимостей%20до%20мониторинга%20/%20Хабр&url=https://wwwoldi.ru/raznoe/web-bezopasnost-ot-uyazvimostej-do-monitoringa-habr.html"><i class="fab fa-linkedin"></i></a></li> </ul> </div> </div> </article> </div> <nav class="navigation post-navigation" aria-label="Записи"> <h2 class="screen-reader-text">Навигация по записям</h2> <div class="nav-links"><div class="nav-previous"><a href="https://wwwoldi.ru/raznoe/rb-eto-chto-oznachaet-rb-opredeleniya-rb.html" rel="prev"><span class="nav-subtitle">Previous:</span> <span class="nav-title">Rb это: Что означает RB? -определения RB</span></a></div><div class="nav-next"><a href="https://wwwoldi.ru/raznoe/chto-mozhno-udalit-v-miui-8-kak-otklyuchit-optimizacziyu-miui-i-vklyuchit-eyo.html" rel="next"><span class="nav-subtitle">Next:</span> <span class="nav-title">Что можно удалить в miui 8: Как отключить оптимизацию MIUI и включить её</span></a></div></div> </nav> <aside class="related-posts"> <h2 class="section-heading">Related Post</h2> <div class="row"> <div class="rpl-xl-4 rpl lg-6"> <article class="related-post hentry post"> <div class="post-wrapper"> <div class="main-entry-content"> <header class="entry-header"> <h4><a href="https://wwwoldi.ru/raznoe/opredelenie-linejnyj-algoritm-ponyatie-algoritma.html">Определение линейный алгоритм: Понятие алгоритма</a></h4> </header> </div> </div> </article> </div> <div class="rpl-xl-4 rpl lg-6"> <article class="related-post hentry post"> <div class="post-wrapper"> <div class="main-entry-content"> <header class="entry-header"> <h4><a href="https://wwwoldi.ru/raznoe/r-lang-the-r-project-for-statistical-computing.html">R lang: The R Project for Statistical Computing</a></h4> </header> </div> </div> </article> </div> <div class="rpl-xl-4 rpl lg-6"> <article class="related-post hentry post"> <div class="post-wrapper"> <div class="main-entry-content"> <header class="entry-header"> <h4><a href="https://wwwoldi.ru/raznoe/gde-hranyatsya-kartinki-rabochego-stola-windows-10-oboi-windows-10-remontka-pro.html">Где хранятся картинки рабочего стола windows 10: Обои Windows 10 | remontka.pro</a></h4> </header> </div> </div> </article> </div> </div> </aside> </main> <div id="comments" class="comments-area"> <div id="respond" class="comment-respond"> <h3 id="reply-title" class="comment-reply-title">Добавить комментарий <small><a rel="nofollow" id="cancel-comment-reply-link" href="/raznoe/web-bezopasnost-ot-uyazvimostej-do-monitoringa-habr.html#respond" style="display:none;">Отменить ответ</a></small></h3><form action="https://wwwoldi.ru/wp-comments-post.php" method="post" id="commentform" class="comment-form" novalidate><p class="comment-notes"><span id="email-notes">Ваш адрес email не будет опубликован.</span> <span class="required-field-message">Обязательные поля помечены <span class="required">*</span></span></p><p class="comment-form-comment"><label for="comment">Комментарий <span class="required">*</span></label> <textarea id="comment" name="comment" cols="45" rows="8" maxlength="65525" required></textarea></p><p class="comment-form-author"><label for="author">Имя <span class="required">*</span></label> <input id="author" name="author" type="text" value="" size="30" maxlength="245" autocomplete="name" required /></p> <p class="comment-form-email"><label for="email">Email <span class="required">*</span></label> <input id="email" name="email" type="email" value="" size="30" maxlength="100" aria-describedby="email-notes" autocomplete="email" required /></p> <p class="comment-form-url"><label for="url">Сайт</label> <input id="url" name="url" type="url" value="" size="30" maxlength="200" autocomplete="url" /></p> <p class="form-submit"><input name="submit" type="submit" id="submit" class="submit" value="Отправить комментарий" /> <input type='hidden' name='comment_post_ID' value='10954' id='comment_post_ID' /> <input type='hidden' name='comment_parent' id='comment_parent' value='0' /> </p></form> </div> </div> </div> <div class="rpl-lg-4 secondary" id="sidebar-secondary"> <aside id="secondary" class="sidebar"> <section id="categories-3" class="widget sidebar-widget widget_categories"><div class="sidebar-title"><h3 class="widget-title">Рубрики</h3></div> <ul> <li class="cat-item cat-item-8"><a href="https://wwwoldi.ru/category/jquery">Jquery</a> </li> <li class="cat-item cat-item-5"><a href="https://wwwoldi.ru/category/mysql">Mysql</a> </li> <li class="cat-item cat-item-4"><a href="https://wwwoldi.ru/category/php">Php</a> </li> <li class="cat-item cat-item-9"><a href="https://wwwoldi.ru/category/dlya-chajnikov">Для чайников</a> </li> <li class="cat-item cat-item-3"><a href="https://wwwoldi.ru/category/raznoe">Разное</a> </li> <li class="cat-item cat-item-7"><a href="https://wwwoldi.ru/category/server">Сервер</a> </li> <li class="cat-item cat-item-1"><a href="https://wwwoldi.ru/category/sovety">Советы</a> </li> <li class="cat-item cat-item-6"><a href="https://wwwoldi.ru/category/ustanovka">Установка</a> </li> </ul> </section><section id="calendar-5" class="widget sidebar-widget widget_calendar"><div id="calendar_wrap" class="calendar_wrap"><table id="wp-calendar" class="wp-calendar-table"> <caption>Апрель 2024</caption> <thead> <tr> <th scope="col" title="Понедельник">Пн</th> <th scope="col" title="Вторник">Вт</th> <th scope="col" title="Среда">Ср</th> <th scope="col" title="Четверг">Чт</th> <th scope="col" title="Пятница">Пт</th> <th scope="col" title="Суббота">Сб</th> <th scope="col" title="Воскресенье">Вс</th> </tr> </thead> <tbody> <tr><td>1</td><td>2</td><td>3</td><td>4</td><td>5</td><td>6</td><td>7</td> </tr> <tr> <td>8</td><td>9</td><td>10</td><td>11</td><td>12</td><td>13</td><td>14</td> </tr> <tr> <td>15</td><td>16</td><td>17</td><td>18</td><td>19</td><td>20</td><td>21</td> </tr> <tr> <td>22</td><td>23</td><td>24</td><td>25</td><td id="today">26</td><td>27</td><td>28</td> </tr> <tr> <td>29</td><td>30</td> <td class="pad" colspan="5"> </td> </tr> </tbody> </table><nav aria-label="Предыдущий и следующий месяцы" class="wp-calendar-nav"> <span class="wp-calendar-nav-prev"><a href="https://wwwoldi.ru/2021/11">« Ноя</a></span> <span class="pad"> </span> <span class="wp-calendar-nav-next"> </span> </nav></div></section><section id="archives-11" class="widget sidebar-widget widget_archive"><div class="sidebar-title"><h3 class="widget-title">Архивы</h3></div> <ul> <li><a href='https://wwwoldi.ru/2021/11'>Ноябрь 2021</a></li> <li><a href='https://wwwoldi.ru/2021/10'>Октябрь 2021</a></li> <li><a href='https://wwwoldi.ru/2021/09'>Сентябрь 2021</a></li> <li><a href='https://wwwoldi.ru/2021/08'>Август 2021</a></li> <li><a href='https://wwwoldi.ru/2021/07'>Июль 2021</a></li> <li><a href='https://wwwoldi.ru/2021/06'>Июнь 2021</a></li> <li><a href='https://wwwoldi.ru/2021/05'>Май 2021</a></li> <li><a href='https://wwwoldi.ru/2021/04'>Апрель 2021</a></li> <li><a href='https://wwwoldi.ru/2021/03'>Март 2021</a></li> <li><a href='https://wwwoldi.ru/2021/02'>Февраль 2021</a></li> <li><a href='https://wwwoldi.ru/2021/01'>Январь 2021</a></li> <li><a href='https://wwwoldi.ru/2020/12'>Декабрь 2020</a></li> <li><a href='https://wwwoldi.ru/2020/11'>Ноябрь 2020</a></li> <li><a href='https://wwwoldi.ru/2020/10'>Октябрь 2020</a></li> <li><a href='https://wwwoldi.ru/2020/09'>Сентябрь 2020</a></li> <li><a href='https://wwwoldi.ru/2020/08'>Август 2020</a></li> <li><a href='https://wwwoldi.ru/2020/07'>Июль 2020</a></li> <li><a href='https://wwwoldi.ru/2020/06'>Июнь 2020</a></li> <li><a href='https://wwwoldi.ru/2020/05'>Май 2020</a></li> <li><a href='https://wwwoldi.ru/2020/04'>Апрель 2020</a></li> <li><a href='https://wwwoldi.ru/2020/03'>Март 2020</a></li> <li><a href='https://wwwoldi.ru/2020/02'>Февраль 2020</a></li> <li><a href='https://wwwoldi.ru/2020/01'>Январь 2020</a></li> <li><a href='https://wwwoldi.ru/2019/12'>Декабрь 2019</a></li> <li><a href='https://wwwoldi.ru/2019/11'>Ноябрь 2019</a></li> <li><a href='https://wwwoldi.ru/2019/10'>Октябрь 2019</a></li> <li><a href='https://wwwoldi.ru/2019/09'>Сентябрь 2019</a></li> <li><a href='https://wwwoldi.ru/2019/08'>Август 2019</a></li> <li><a href='https://wwwoldi.ru/2019/07'>Июль 2019</a></li> <li><a href='https://wwwoldi.ru/2019/06'>Июнь 2019</a></li> <li><a href='https://wwwoldi.ru/2019/05'>Май 2019</a></li> <li><a href='https://wwwoldi.ru/2019/04'>Апрель 2019</a></li> <li><a href='https://wwwoldi.ru/2019/03'>Март 2019</a></li> <li><a href='https://wwwoldi.ru/2019/02'>Февраль 2019</a></li> <li><a href='https://wwwoldi.ru/2019/01'>Январь 2019</a></li> <li><a href='https://wwwoldi.ru/2018/12'>Декабрь 2018</a></li> <li><a href='https://wwwoldi.ru/2018/11'>Ноябрь 2018</a></li> <li><a href='https://wwwoldi.ru/2018/10'>Октябрь 2018</a></li> <li><a href='https://wwwoldi.ru/2018/09'>Сентябрь 2018</a></li> <li><a href='https://wwwoldi.ru/2018/08'>Август 2018</a></li> <li><a href='https://wwwoldi.ru/2018/07'>Июль 2018</a></li> <li><a href='https://wwwoldi.ru/2018/06'>Июнь 2018</a></li> <li><a href='https://wwwoldi.ru/2018/05'>Май 2018</a></li> <li><a href='https://wwwoldi.ru/2018/04'>Апрель 2018</a></li> <li><a href='https://wwwoldi.ru/2018/03'>Март 2018</a></li> <li><a href='https://wwwoldi.ru/2018/02'>Февраль 2018</a></li> <li><a href='https://wwwoldi.ru/2018/01'>Январь 2018</a></li> <li><a href='https://wwwoldi.ru/1970/02'>Февраль 1970</a></li> <li><a href='https://wwwoldi.ru/1970/01'>Январь 1970</a></li> </ul> </section> </aside> </div> </div> </div> </div> <footer class="site-footer is-bg"> <div class="footer-in"> <div class="container"> <div class='row'> <div class="rpl-xl-12 rpl-md-6 rpl-sm-12 footer-widget-item"> </div> </div> </div> </div> <div class="site-info"> <div class="container"> <div class="siteinfo-text"> 2024 © Все права защищены. Карта сайта </div> </div> </div> </footer> <style type="text/css"> .archive #nav-above, .archive #nav-below, .search #nav-above, .search #nav-below, .blog #nav-below, .blog #nav-above, .navigation.paging-navigation, .navigation.pagination, .pagination.paging-pagination, .pagination.pagination, .pagination.loop-pagination, .bicubic-nav-link, #page-nav, .camp-paging, #reposter_nav-pages, .unity-post-pagination, .wordpost_content .nav_post_link,.page-link, .page-links,#comments .navigation, #comment-nav-above, #comment-nav-below, #nav-single, .navigation.comment-navigation, comment-pagination { display: none !important; } .single-gallery .pagination.gllrpr_pagination { display: block !important; } </style> <noscript><style>.lazyload{display:none;}</style></noscript><script data-noptimize="1">window.lazySizesConfig=window.lazySizesConfig||{};window.lazySizesConfig.loadMode=1;</script><script async data-noptimize="1" src='https://wwwoldi.ru/wp-content/plugins/autoptimize/classes/external/js/lazysizes.min.js'></script><link rel='stylesheet' id='pgntn_stylesheet-css' href='https://wwwoldi.ru/wp-content/plugins/pagination/css/nav-style.css' media='all' /> <script src="https://wwwoldi.ru/wp-content/themes/dashy1/assets/js/all.min.js" id="dashy-allmin-js"></script> <script src="https://wwwoldi.ru/wp-content/themes/dashy1/assets/js/navigation.js" id="dashy-navigation-js"></script> <script src="https://wwwoldi.ru/wp-content/themes/dashy1/assets/js/script.js" id="dashy-script-js"></script> <script src="https://wwwoldi.ru/wp-includes/js/comment-reply.min.js" id="comment-reply-js" async data-wp-strategy="async"></script> <script id="jquery-lazyloadxt-js-extra"> var a3_lazyload_params = {"apply_images":"1","apply_videos":"1"}; </script> <script src="//wwwoldi.ru/wp-content/plugins/a3-lazy-load/assets/js/jquery.lazyloadxt.extra.min.js" id="jquery-lazyloadxt-js"></script> <script src="//wwwoldi.ru/wp-content/plugins/a3-lazy-load/assets/js/jquery.lazyloadxt.srcset.min.js" id="jquery-lazyloadxt-srcset-js"></script> <script id="jquery-lazyloadxt-extend-js-extra"> var a3_lazyload_extend_params = {"edgeY":"0","horizontal_container_classnames":""}; </script> <script src="//wwwoldi.ru/wp-content/plugins/a3-lazy-load/assets/js/jquery.lazyloadxt.extend.js" id="jquery-lazyloadxt-extend-js"></script> <script src="https://wwwoldi.ru/wp-content/plugins/easy-table-of-contents/vendor/smooth-scroll/jquery.smooth-scroll.min.js" id="jquery-smooth-scroll-js"></script> <script src="https://wwwoldi.ru/wp-content/plugins/easy-table-of-contents/vendor/js-cookie/js.cookie.min.js" id="js-cookie-js"></script> <script src="https://wwwoldi.ru/wp-content/plugins/easy-table-of-contents/vendor/sticky-kit/jquery.sticky-kit.min.js" id="jquery-sticky-kit-js"></script> <script src="https://wwwoldi.ru/wp-content/plugins/easy-table-of-contents/vendor/waypoints/jquery.waypoints.min.js" id="jquery-waypoints-js"></script> <script id="ez-toc-js-js-extra"> var ezTOC = {"smooth_scroll":"1","visibility_hide_by_default":"","width":"auto","scroll_offset":"30"}; </script> <script src="https://wwwoldi.ru/wp-content/plugins/easy-table-of-contents/assets/js/front.min.js" id="ez-toc-js-js"></script> <style>iframe,object{width:100%;height:480px}img{max-width:100%}</style><script type="text/javascript">jQuery(document).ready(function($){$('.mylink').replaceWith(function(){return'<a href="'+$(this).attr('data-url')+'" title="'+$(this).attr('title')+'">'+$(this).html()+'</a>'})});new Image().src="//counter.yadro.ru/hit?r"+escape(document.referrer)+((typeof(screen)=="undefined")?"":";s"+screen.width+"*"+screen.height+"*"+(screen.colorDepth?screen.colorDepth:screen.pixelDepth))+";u"+escape(document.URL)+";h"+escape(document.title.substring(0,150))+";"+Math.random();</script> </div> </body> </html><script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="f9a14a209a764bf6403b9d87-|49" defer></script>

Web безопасность: от уязвимостей до мониторинга / Хабр

от уязвимостей до мониторинга / Хабр

Распространенные уязвимости

Инъекции

XSS

LFI/RFI

Атаки через JSON и XML

JSON

JSON Injection

JSON Hijacking

о технологиях веб-безопасности / Блог компании RUVDS.com / Хабр

Две базовых концепции веб-безопасности

▍100% защита — это миф

▍Одного уровня защиты недостаточно

Технологии веб-безопасности

▍CORS

▍CSP

▍HTTPS

▍HSTS

Итоги

основы защиты сайтов, серверов и приложений

Две основные концепции безопасности

Совместное использование ресурсов между разными источниками (Cross-Origin Resource Sharing — CORS)

Политика безопасности контента (CSP)

HTTPS или HTTP Secure

HTTP Strict-Transport-Security (HSTS)

Заключение

Безопасность и защита сайта от угроз и взлома

Безопасность сайтов и веб-приложений

Рекомендации

Спасите сайт! 10 советов по безопасности веб-приложений

30 ресурсов по безопасности, которые точно пригодятся

Веб-безопасность — Веб-технологии для разработчиков

Безопасность контента

Безопасность подключения

Безопасность данных

Утечка информации

Целостность

Защита от щелчка