Информационная безопасность сайта как обеспечить

= "SELECT * FROM users WHERE name = '" + userName + "';" 

Если пользователь указывает реальное имя, оператор будет работать так, как задумано. Однако злонамеренный пользователь может полностью изменить поведение этого оператора SQL на новый оператор в следующем примере, просто указав текст полужирным шрифтом для userName.

SELECT * FROM users WHERE name = 'a';DROP TABLE users; SELECT * FROM userinfo WHERE 't' = 't'; 

Модифицированный оператор создаёт действительный оператор SQL, который удаляет таблицу пользователей и выбирает все данные из таблицы userinfo (которая раскрывает информацию о каждом пользователе). Это работает, потому что первая часть введённого текста (a ';) завершает исходное утверждение.

Чтобы избежать такого рода атак, вы должны убедиться, что любые пользовательские данные, которые передаются в запрос SQL, не могут изменить природу запроса. Один из способов сделать это - экранировать все символы пользовательского ввода, которые имеют особое значение в SQL.

Примечание: Примечание. Инструкция SQL обрабатывает символ ' как начало и конец строкового литерала. Поместив обратную косую черту перед этим символом (\ '), мы экранируем символ и говорим SQL вместо этого трактовать его как символ (только часть строки).

В следующей инструкции мы экранируем символ '. Теперь SQL будет интерпретировать имя как всю строку, выделенную жирным шрифтом (это действительно очень странное имя, но безопасное).

SELECT * FROM users WHERE name = 'a\';DROP TABLE users; SELECT * FROM userinfo WHERE \'t\' = \'t'; 

Веб-фреймворки будут часто заботиться о зарезервированных символах для вас. Django, например, гарантирует, что любые пользовательские данные, передаваемые в наборы запросов (модельные запросы), будут экранируются.

**Примечание:**этот раздел в значительной степени основан на информации из Wikipedia.

Подделка межсайтовых запросов (CSRF)

CSRF-атаки позволяют злоумышленнику выполнять действия, используя учётные данные другого пользователя, без его ведома или согласия.

Этот тип атаки лучше всего пояснить на примере. Джон - злоумышленник, который знает, что определённый сайт позволяет пользователям, вошедшим в систему, отправлять деньги на указанную учётную запись, используя HTTP-запрос POST , который включает имя учётной записи и сумму денег. Джон создаёт форму, которая включает в себя его банковские реквизиты и сумму денег в виде скрытых полей, и отправляет её по электронной почте другим пользователям сайта (с кнопкой «Отправить», замаскированной под ссылку на сайт «быстрого обогащения»).

Если пользователь нажимает кнопку отправки, на сервер будет отправлен HTTP-запрос POST , содержащий сведения о транзакции и любые файлы cookie на стороне клиента, которые браузер связал с сайтом (добавление связанных файлов cookie сайта в запросы является нормальным поведением браузера). Сервер проверит файлы cookie и использует их, чтобы определить, вошёл ли пользователь в систему и имеет ли разрешение на совершение транзакции.

В результате любой пользователь, который нажимает кнопку Отправить во время входа на торговый сайт, совершает транзакцию. Джон становится богатым.

**Примечание:**Уловка здесь в том, что Джону не нужен доступ к файлам cookie пользователя (или учётным данным). Браузер пользователя сохраняет эту информацию и автоматически включает её во все запросы к соответствующему серверу.

Один из способов предотвратить этот тип атаки - запросить сервером запросы POST , содержащие секрет, созданный пользователем для конкретного сайта. Секрет будет предоставлен сервером при отправке веб-формы, используемой для переводов. Такой подход не позволяет Джону создать свою собственную форму, потому что он должен знать секрет, который сервер предоставляет пользователю. Даже если он узнает секрет и создаст форму для конкретного пользователя, он больше не сможет использовать ту же форму для атаки на каждого пользователя.

Веб-фреймворки часто включают такие механизмы предотвращения CSRF.

Прочие угрозы

Другие распространённые атаки / уязвимости включают:

• Clickjacking. В этой атаке злоумышленник перехватывает клики, предназначенные для видимого сайта верхнего уровня, и направляет их на скрытую ниже страницу. Этот метод можно использовать, например, для отображения законного сайта банка, но захвата учётных данных для входа в невидимый (en-US) , контролируемый злоумышленником. Clickjacking также можно использовать для того, чтобы заставить пользователя нажать кнопку на видимом сайте, но при этом на самом деле невольно нажимать совершенно другую кнопку. В качестве защиты ваш сайт может предотвратить встраивание себя в iframe на другом сайте, установив соответствующие заголовки HTTP.
• Denial of Service (en-US) (DoS). DoS обычно достигается за счёт наводнения целевого сайта поддельными запросами, так что доступ к сайту нарушается для законных пользователей. Запросы могут быть просто многочисленными или по отдельности потреблять большие объёмы ресурсов (например, медленное чтение или загрузка больших файлов). Защита от DoS обычно работает, выявляя и блокируя «плохой» трафик, пропуская при этом легитимные сообщения. Эти средства защиты обычно расположены перед веб-сервером или на нем (они не являются частью самого веб-приложения).
• Directory Traversal (Файл и раскрытие). В этой атаке злоумышленник пытается получить доступ к частям файловой системы веб-сервера, к которым у него не должно быть доступа. Эта уязвимость возникает, когда пользователь может передавать имена файлов, содержащие символы навигации файловой системы (например, ../../ ). Решение состоит в том, чтобы очищать ввод перед его использованием.
• File Inclusion. В этой атаке пользователь может "случайно" указать файл для отображения или выполнения в данных, передаваемых на сервер. После загрузки этот файл может выполняться на веб-сервере или на стороне клиента (что приводит к XSS-атаке). Решение состоит в том, чтобы дезинфицировать ввод перед его использованием.
• Внедрение команд. Атаки с внедрением команд позволяют злоумышленнику выполнять произвольные системные команды в операционной системе хоста. Решение состоит в том, чтобы дезинфицировать вводимые пользователем данные до того, как их можно будет использовать в системных вызовах.

Полный список угроз безопасности веб-сайтов см. Category: Web security exploits (Wikipedia) и Category: Attack (Open Web Application Security Project).

Несколько ключевых сообщений

Почти все эксплойты безопасности, описанные в предыдущих разделах, успешны, когда веб-приложение доверяет данным из браузера. Что бы вы ни делали для повышения безопасности своего веб-сайта, вы должны дезинфицировать все данные, исходящие от пользователей, прежде чем они будут отображаться в браузере, использоваться в запросах SQL или передаваться в вызов операционной системы или файловой системы.

Предупреждение: Внимание! Самый важный урок, который вы можете извлечь о безопасности веб-сайтов: никогда не доверяйте данным из браузера. Это включает, помимо прочего, данные в параметрах URL-адресов запросов GET , запросов POST , заголовков HTTP и файлов cookie, а также файлов, загруженных пользователем. Всегда проверяйте и дезинфицируйте все входящие данные. Всегда предполагайте худшее!

Вы можете предпринять ряд других конкретных шагов:

• Используйте более эффективное управление паролями. Поощряйте регулярную смену надёжных паролей. Рассмотрите возможность двухфакторной аутентификации для вашего сайта, чтобы в дополнение к паролю пользователь должен был ввести другой код аутентификации (обычно тот, который доставляется через какое-то физическое оборудование, которое будет иметь только пользователь, например, код в SMS, отправленном на его телефон).
• Настройте свой веб-сервер для использования HTTPS и HTTP Strict Transport Security (en-US) (HSTS). HTTPS шифрует данные, передаваемые между вашим клиентом и сервером. Это гарантирует, что учётные данные для входа, файлы cookie, данные запросов POST и информация заголовка не будут легко доступны для злоумышленников.
• Следите за наиболее популярными угрозами (текущий список OWASP находится здесь) и в первую очередь устраняйте наиболее распространённые уязвимости.
• Используйте инструменты сканирования уязвимостей, чтобы выполнить автоматическое тестирование безопасности на вашем сайте. Позже ваш очень успешный веб-сайт может также обнаруживать ошибки, предлагая вознаграждение за обнаружение ошибок, как это делает здесь Mozilla.
• Храните и отображайте только те данные, которые вам нужны. Например, если ваши пользователи должны хранить конфиденциальную информацию, такую как данные кредитной карты, отображайте часть номера карты только для того, чтобы он мог быть идентифицирован пользователем, и недостаточно, чтобы его мог скопировать злоумышленник и использовать на другом сайте. Самый распространённый шаблон в настоящее время - отображение только последних 4 цифр номера кредитной карты.

Веб-фреймворки могут помочь смягчить многие из наиболее распространённых уязвимостей.

Резюме

В этой статье объясняется концепция веб-безопасности и некоторые из наиболее распространённых угроз, от которых ваш веб-сайт должен пытаться защититься. Самое главное, вы должны понимать, что веб-приложение не может доверять никаким данным из веб-браузера. Все пользовательские данные должны быть очищены перед отображением или использованием в SQL-запросах и вызовах файловой системы.

Этой статьёй вы подошли к концу этого модуля, охватывающего ваши первые шаги в программировании на стороне сервера. Мы надеемся, что вам понравилось изучать эти фундаментальные концепции, и теперь вы готовы выбрать веб-платформу и начать программировать.

В этом модуле

• Введение в серверную часть
• Обзор технологии клиент-сервер
• Серверные веб-фреймворки
• Безопасность веб-сайта

Found a content problem with this page?

• Edit the page on GitHub.
• Report the content issue.
• View the source on GitHub.

This page was last modified on 3 авг. 2023 г. by MDN contributors.

Защита персонального веб-сайта: 9 шагов к безопасности

В статье даны рекомендации владельцу веб-сайта о том, как обеспечить работоспособность своего ресурса и безопасность содержащихся на нём конфиденциальных данных.

Защита персонального веб-сайта: 9 шагов к безопасности

Введение

Светлана создаёт авторские игрушки. Сначала она разместила фотографии своих изделий в социальных сетях, вскоре стали поступать заказы, количество подписчиков выросло в сотни раз, появились постоянные клиенты. Со временем хобби стало приносить прибыль и переросло в основную работу. Демонстрировать товар в ленте соцсети стало неудобно, поэтому для лучшей наглядности и простоты оформления заказов Светлана решила создать свой интернет-магазинчик на платформе управления контентом и дизайном сайта (CMS) WordPress. За основу она взяла шаблонный макет сайта, разместила там каталог своих изделий, добавила функционал онлайн-оплаты товара. За несколько лет сайт стал основным средством продаж, накопилась хорошая клиентская база, пока однажды ресурс не оказался заблокирован хостинг-провайдером. Выяснилось, что, создав сайт, Светлана ни разу не обновляла CMS-систему. В ней накопилось множество ошибок и неисправленных уязвимостей, через которые злоумышленники проникли в систему, внедрили вредоносный код, и сайт Светланы стал распространять вирусы. К тому же злоумышленники «покопались» в базе данных и часть информации оказалась повреждена. К несчастью, Светлана не делала резервных копий, поэтому потеряла клиентскую базу и информацию о заказах, что серьёзно подкосило её бизнес.

Кому нужен мой сайт?

На сегодняшний день любая компания малого или среднего бизнеса, как и большинство индивидуальных предпринимателей, создают свой сайт в сети Интернет. При этом часто владельцы таких сайтов попросту не задумываются об их защите и не предпринимают достаточных мер безопасности, чтобы минимизировать риски взлома. Конечно, для злоумышленников больший интерес представляют крупные интернет-ресурсы: сайты госорганов, СМИ, популярные интернет-магазины и веб-сервисы, например, СДЭК или Яндекс.Еда. Но атаки на них требуют от хакеров усилий и высокого уровня подготовки, тогда как менее защищенные сайты маленьких компаний являются лёгкой добычей и могут служить плацдармом для дальнейших кибератак на более крупные цели. Для проведения нецелевых атак используются специальные боты, которые сканируют веб-ресурсы наугад и ищут уязвимости на самом сайте, в сетевом оборудовании или на хостинге. Поэтому даже сайт маленького магазина сувениров или автомастерской представляет интерес для злоумышленников, ведь на нём содержится достаточное количество «чувствительной» информации: банковские реквизиты владельца, списки и контактные данные клиентов. Как правило, ущерб от компьютерной атаки для крупной компании не так существенен, как для маленького бизнеса, для которого взлом сайта и потеря данных может оказаться фатальными.

К каким рискам приведет взлом сайта?

• Компрометация и утечка базы данных клиентов может привести к безвозвратной потере их доверия и подорвать вашу репутацию. Кроме того, практически любая организация так или иначе является оператором персональных данных – даже если это простой список имён и телефонов клиентов. В случае их утечки предпринимателю грозит штраф за несоблюдение условий хранения таких данных согласно ч. 6 ст. 13.11 КоАП РФ: от 20 до 40 тыс. руб. для индивидуальных предпринимателей, от 50 до 100 тыс. руб. для юрлиц.
• Фишинговые атаки и перенаправление трафика. Учитывая, что веб-сайт компании обычно интегрирован с другими информационными системами – например, с почтовым сервисом и системой управления взаимоотношениями с клиентом (CRM-системой), проникший в эту инфраструктуру злоумышленник сможет рассылать от имени компании фишинговые письма и спам или перенаправлять посетителей на сайт компании-конкурента.
• Кража домена, публикация на взломанном сайте контента неправомерного содержания, внедрение вредоносного кода или вируса-шифровальщика с последующим шантажом владельца и требованием выкупа может привести к потере всех данных. В случае если Яндекс или Google заподозрят компрометацию ресурса, может произойти исключение сайта из поисковой выдачи. Это повлечёт снижение трафика и потерю потенциальных клиентов.

Отметим, что ряд рисков связаны со скрытым использованием взломанного сайта. Владелец может даже не подозревать, что его ресурс используется для майнинга криптовалют или стал звеном бот-сети и участвует в проведении компьютерных атак на критическую информационную инфраструктуру. В последнем случае владелец окажется ещё и соучастником противоправной деятельности и может быть привлечён к ответственности.

Чтобы избежать перечисленных рисков, владельцам сайтов следует самостоятельно следить за их безопасностью, вовремя обновлять CMS-систему и другое используемое программное обеспечение, устаревшие версии которых могут содержать уязвимости – потенциальные лазейки для злоумышленников. Например, в 2020 году из-за уязвимости в популярных плагинах были взломаны тысячи российских сайтов, работающих на платформе WordPress. Совсем свежий пример – масштабная атака на клиентов платформы «1С-Битрикс»: пострадали владельцы ресурсов, которые не произвели своевременного обновления своих сайтов. Уязвимость позволяла злоумышленникам получать несанкционированный доступ к данным веб-ресурсов и удаленно управлять системой.

9 шагов: как уберечь сайт от взлома

В какой-то момент владелец сайта может столкнуться с отсутствием доступа к административной панели, заметить изменения в интерфейсе сайта, посторонние ссылки и баннеры, другие аномальные вещи – всё это очевидные признаки взлома. Свидетельствами скрытого проникновения злоумышленников в CMS-систему могут стать более медленная, чем обычно, загрузка страниц сайта, снижение посещаемости сайта и т. д. Минимизировать риски помогут следующие рекомендации:

Грамотная парольная политика. Откажитесь от логинов типа «admin», «(фамилия администратора)», «(публичный e-mail)», паролей типа «12345», «password». Применяйте к разным системам разные пароли, регулярно меняйте их. Не размещайте пароли в открытом доступе – например, на стикере, наклеенном на монитор. Надежный пароль – это не менее 14 знаков, среди которых есть строчные и заглавные буквы, цифры, специальные символы.

Применение указанных мер на практике не потребует от вас существенных затрат и специального уровня подготовки, но при этом позволит защитить ваш бизнес от убытков и серьёзных рисков.

Обеспечение безопасности Web-сайтов Текст научной статьи по специальности «Компьютерные и информационные науки»

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Матяш Екатерина Дмитриевна, Никонов Вячеслав Викторович, Иванова Ирина Алексеевна

В статье описаны самые распространенные виды атак и различные уязвимости , с помощью которых хакерам удается проникнуть и взломать программный продукт. Актуальность данной тематики обусловлена тем, что, не смотря на высокий прогресс в области безопасности систем, все равно многие системы, в том числе и сайты, могут быть подвергнуты взломам злоумышленников.В статье описаны самые распространенные виды атак и различные уязвимости , с помощью которых хакерам удается проникнуть и взломать программный продукт. Актуальность данной тематики обусловлена тем, что, не смотря на высокий прогресс в области безопасности систем, все равно многие системы, в том числе и сайты, могут быть подвергнуты взломам злоумышленников.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Матяш Екатерина Дмитриевна, Никонов Вячеслав Викторович, Иванова Ирина Алексеевна

Автоматизация процесса оценки заявок, окончательных предложений участников закупки товаров, работ, услуг для обеспечения государственных и муниципальных нужд

Анализ защищенности современных систем управления контентом
Межсайтовый скриптинг как актуальная угроза для современных веб-систем

Анализ веб-сервисов на наличие уязвимостей на примере сайта "XI Санкт-Петербургский конгресс "Профессиональное образование, наука и инновации в XXI веке“"

Отказ в обслуживании
i Не можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Обеспечение безопасности Web-сайтов»

контрактной службы, возникающим при оценке заявок, окончательных предложений участников закупки товаров, работ, услуг для обеспечения государственных и муниципальных нужд.

1. Федеральный закон от 5 апреля 2013 г № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальный нужд».

2. Постановление Правительства Российской Федерации от 28.11.2013 № 1085 «Об утверждении Правил оценки заявок, окончательных предложений участников закупки товаров, работ, услуг для обеспечения государственных и муниципальных нужд».

3. Богацкая С.Г. Новый порядок оценки заявок: юристам придется учить высшую математику [Текст] / С.Г. Богацкая // «Ценный совет», Москва, 2014.

4. Серажетдинов Р.Р. Порядок оценки заявок, окончательных предложений участников закупки [Текст] / Р.Р. Серажетдинов // «Госзаказ: управление, размещение, обеспечение», Москва, №37, 2014 - с.41 - 49.

5. Ясенев, В.Н. Информационные системы и технологии. / В.Н. Ясенев. - М.: ЮНИТИ-ДАНА, 2012. - 160 с.

6. Calafiore Giuseppe C. Optimization Models / Calafiore Giuseppe C. - Cambridge Academ, 2014, - p. 117-127.

7. Kendall Kenneth. Systems Analysis and Design / Kendall Kenneth - John Wiley & Sons, 2011, - p. 59-63.

ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ WEE-САЙТОВ

Матяш Екатерина Дмитриевна

магистр кафедры Автоматизированные системы управления МИРЭА, г. Москва

Никонов Вячеслав Викторович

кандидат технических наук, доцент кафедры Автоматизированные системы управления МИРЭА, г. Москва

Иванова Ирина Алексеевна

кандидат технических наук, доцент кафедры Автоматизированные системы управления МИРЭА, г. Москва

В статье описаны самые распространенные виды атак и различные уязвимости, с помощью которых хакерам удается проникнуть и взломать программный продукт. Актуальность данной тематики обусловлена тем, что, не смотря на высокий прогресс в области безопасности систем, все равно многие системы, в том числе и сайты, могут быть подвергнуты взломам злоумышленников.

В статье описаны самые распространенные виды атак и различные уязвимости, с помощью которых хакерам удается проникнуть и взломать программный продукт. Актуальность данной тематики обусловлена тем, что, не смотря на высокий прогресс в области безопасности систем, все равно многие системы, в том числе и сайты, могут быть подвергнуты взломам злоумышленников.

Ключевые слова: уязвимость, защита, защита информации, Dos-атака, сервер, информационная безопасность.

Keywords: Vulnerability, security, information security, Dos-attack server.

Большинство современных информационных систем создаются в виде Web-сайтов, поэтому безопасности необходимо уделить особое внимание.

Как только появляется устройство с операционной системой и программным приложением, оно сразу же привлекает интерес злоумышленников. Они начинают его изучать и взламывать. В последний год этой тенденции было посвящено много докладов на крупных хакерских конференциях.

Разработчики не всегда уделяют особое внимание полной защите и безопасности созданных сайтов, хотя она и играет очень важную роль, потому что каждый сайт так или иначе может быть подвергнут взлому хакеров, если учитывать то, что сайты могут быть, самые что ни на есть, разнообразные: электронные библиотеки, социальные сети, Web-порталы различных учебных заведений, онлайн-магазины, официальные сайты всяких организаций, банков и прочее.

В первую очередь, необходимо обратить внимание на безопасность веб-сервера, так как именно он отвечает за

прием и обработку НТТР-запросов от клиентов к веб-сайту. Именно он обеспечивает функционирование многочисленных веб-сайтов по всему миру, а так же отвечает за базовые услуги и хранит персональные данные, как пользователей, так и посетителей сайта. Необходимость защиты серверов -это одна из самых важных задач любой организации.

Даже во время появления первых Web-сайтов взломщики осуществляли атаки на сайты немаловажных организаций, например, такой как, американский СитиБанк (1994г.), в результате чего было украдено 12 млн. долларов, жертвой так же стали и сайты НАТО, ЦРУ, и Минюста США.

В настоящее время, казалось бы, таких угроз должно стать гораздо меньше или не быть совсем, но, увы, это далеко не так: как и прежде, сейчас производится достаточно большое количество кибератак, причем в основном на такие глобальные организации, как правительственные учреждения и банки. Это обуславливается тем, что на таких кон-тентах можно «заработать» большое количество денег или

же получить/изменить информацию, которая способна каким-то образом повлиять важные для государства события.

Достаточно важным моментом является то, что географическое местоположение сервера, отнюдь, никак не влияет на его защиту. Произвести атаку на него можно с любой точки доступа. Это связано с тем, что Web-серверы в силу своей открытости рассчитаны на передачу информации между пользователями и именно поэтому имеют множество уязви-мостей. К примеру, злоумышленник может внести какие-то изменения (модификации) в код HTTP сервера или сервера базы данных, либо самих страниц веб-сайта, поменяв его изначальную функциональность.

Наиболее распространенные действия правонарушителей кибератак над взломанными сайтами, которые зачастую применяются и по сей день:

• опубликовали ложную информацию на сайте;

• получили несанкционированный доступ к серверу, где были собраны очень стоящие сведения;

• атаковали базу данных о владельцах пластиковых карт банка; украли данные, касающиеся номеров счета основных держателей банковской карты, их имен, фамилий, контактной информации, а затем похитили крупное количество денег;

• создали вирусы, которые легко взламывали пароли, а после использовали зараженные машины для рассылки спама или как базы для хранения украденной информации;

• предприняли атаки на интернет-сайты официальных (правительственных) учреждений различных стран;

• распространили вирусы, которые привели к значительному замедлению скорости работы интернета (были

случаи, что в результате таких вирусов некоторые регионы оказались и вовсе отрезанными от сети);

• Dos-атаки (Denial of Service — "отказ в обслуживании") на сеть с целью переполнения ее дополнительными запросами так, чтобы полезный трафик либо снижался до минимума, либо вовсе прерывался;

• получили доступ к информации, связанной с технологией SecurlD, которая применяется для обеспечения безопасности корпоративных компьютерных сетей (утечка этих сведений может привести к «снижению эффективности» текущей реализации SecurlD, что, в свою очередь, может стать основой для осуществления атак на защищенные ресурсы).

Сейчас существуют различные программы, а так же специальное Web-тестирование, которые могут определить примерный коэффициент безопасности и надежности сайта. Благодаря такому тестированию можно заранее оценить безопасность сайта и его уязвимость.

Предполагается, что каждый третий сайт отслеживается сторонними людьми. Это довольно неприятный и настораживающий факт для Web-разработчиков. Имея всю необходимую информацию об уязвимостях сайта, можно с легкостью его взломать, поэтому главная задача разработчиков в вопросе о надежности и защите сайта состоит в том, чтобы предотвратить как можно больше этих уязвимостей или хотя бы как следует их спрятать.

Лаборатории по предотвращению различных вирусов больше всего стали уделять внимание разработке средств противодействия DDoS атакам (Denial of Service — «отказ в обслуживании»).

Рисунок 1. Принцип осуществления Dos-атаки

Так же существует кибершпионаж, т.е. когда злоумышленники не атакуют информационную систему (или сайт), а просто занимаются кражей всей необходимой информации для своей выгоды.

Более крупные предприятия подходят к информационной безопасности (ИБ) с гораздо большей ответственно-

стью, нежели компании малого и среднего бизнеса (СМБ), отчего эти компании и страдают больше всех. По статистике, именно у них возникает больше инцидентов в контексте информационной безопасности.

Главными жертвами DDoS-атак в основном остаются интернет-магазины и торговые площадки (рисунок 2) [2].

Рисунок 2 - Жертвы DDoS-атак

Интернет-торговля Торговые площадки Игровые сайты Банки

Прочие бизнес-сайты Бпоги и форумы Порносайты СМИ

Государственные ресурсы П рочее

В соответствии с исследованиями, проведенными Лабораторией Касперского [4], около 90% выявленных вредоносных программ - это банковские трояны, которые воруют информацию о банковских картах.

Так же существуют специальные программы, которые блокируют содержимое устройства (в данном контексте -конкретно сайта), пока не будет выплачен «выкуп».

При создании нового сайта разработчики могут воспользоваться либо уже существующими платформами, а точнее CMS (система управления контентом), либо написать все с нуля, но чаще всего малые компании предпочитают пользоваться готовыми инструментами.

Основные функции CMS:

• предоставление инструментов для создания содержимого, организация совместной работы над содержимым;

• управление содержимым: хранение, контроль версий, соблюдение режима доступа, управление потоком документов и т. п.;

• представление информации в виде, удобном для навигации, поиска.

Главный минус CMS-ок - это то, что у них так же есть свои уязвимости, которые обычно можно найти в интернете.

С каждым годом выходят все новые и новые обновления CMS-ок, а вместе с тем появляются новые уязвимости: хотя необходимо так же (отметить) обратить внимание и на то, что какие-то старые уязвимости предотвращаются.

Но, несмотря на все опасения, не следует считать, что защитить веб-сервер совсем невозможно, нужно лишь приложить некие усилия для обеспечения его безопасности. Для этого потребуются совместные действия администраторов веб-сайтов, программистов и проектировщиков, а так же необходимо учитывать, что антивирусное ПО, операционные системы и права доступа постоянно требуют к себе особого внимания.

Самые популярные способы защиты CMS-ок от различных атак:

1. Защита от XSS-инъекций;

2. Скрытие лишней информации;

3. Принудительное использование SSL;

4. Защиты корневого файла;

5. Методы предотвращение спамеров и ботов;

6. Использование различных плагинов для защиты от зловредных url-запросов;

7. Применение методов предотвращения личеров;

8. "Уничтожение" админа;

9. Защита директорий на сервере от просмотра.

Внедрение современных средств защиты является неотъемлемой частью мероприятий по обеспечению информационной безопасности [6].

Защищать свой сайт - это одна из самых важных задач Web-разработчиков. Если не уделять ей особого внимания - можно приобрести (создать) множество убытков, как в материальном плане, так и в политическом. В связи с тем, что интерес злоумышленников к атакам на Web-сайты не умолкает даже сейчас (если учесть то, что все злонамеренные деяния караются законом), разработчикам необходимо в первую очередь задуматься о его безопасности. Существует множество средств защиты Web-сайтов, но какими бы они не были эффективными все равно необходимо периодически тестировать Web-сайты на уязвимости, которыми в любой момент может воспользоваться взломщик.

Таким образом, главный совет разработчикам и администраторам Web-сайов - неоднократно проверять уровень его надежности и безопасности.

1. Крис Митчелл. Артем Конев. Обеспечение безопасности веб-сайтов. // Australia: SophosLabs. [Электронный ресурс]. URL: http://help.yandex.ru/webmaster/protecting-sites/ contents.xml (дата обращения: 15.02.2016).

2. Смирнов С.Н. Безопасность систем баз данных -М.: Гелиос АРВ, 2007.-352с., ил.

3. «Лаборатория Касперского»: Сложные кибе-ратаки пришли на смену массовым эпидемиям [Электронный ресурс]. URL: http://pda.cnews.ru/reviews/index. shtml?2014/12/24/591211 (дата обращения: 15.02.2016).

4. DDoS атаки и малый бизнес (Saturday, February 22, 2014) [Электронный ресурс]. URL: http://bezshablona. ospfmon.com/2014/02/ddos_4866.html?m=0 (дата обраще-

5. Бирюков А.А. Информационная безопасность: защита и нападение - М.:ДМК Пресс, 2012.-474.: ил.

6. Сумкин К.С., Никонов В.В., Иванова И.А. Использование беспроводных систем при мониторинге объектов, находящихся под воздействием сетевых угроз // Естествен-

ные и технические науки. 2014. № 3 (71). С. 155-157.

7. Сумкин К.С., Иванова И.А., Никонов В.В., Тере-хин И.В. Нечеткие гибридные системы в задачах защиты, анализа и управления разграничением прав доступа в компьютерных сетях // Актуальные проблемы гуманитарных и естественных наук. 2014. № 6-1. С. 145-150.

АСПЕКТЫ УПРАВЛЕНИЯ ВОДНЫМИ РЕСУРСАМИ В УСЛОВИЯХ КОМПЛЕКСНОГО ВОДОПОЛЬЗОВАНИЯ

Раткович Лев Данилович

профессор, канд. тех. наук, зав. кафедрой комплексного использования водных ресурсов и гидравлики ФГБОУ ВО «Российский государственный аграрный университет -МСХА имени К.А. Тимирязева», г. Москва, Россия

Рассматриваются актуальные проблемы водного хозяйства, связанные с разными способами управления водными ресурсами в интересах комплексного водопользования. Затрагиваются положения государственной водной политики РФ. В частности анализируются водохозяйственные проблемы нескольких речных бассейнов России, связанные с количеством и качеством водных ресурсов. Отмечается низкий уровень водообеспеченности ряда стран и приводится прогноз Института стратегических исследований об ухудшении ситуации к 2025 году. Декларируется необходимость дальнейших научных исследований для совершенствования методики обоснования проектных решений в области водного хозяйства. Рассматриваются инженерно-гидрологические и водохозяйственные задачи и методика их решения. Водохозяйственные балансы представлены как инструмент планирования мероприятий по управлению водными ресурсами. Дается оценка необходимой исходной информации. Рекомендуется методика моделирования речного стока с использованием бета - распределения. Приводится последовательность практического моделирования многолетних рядов годового стока на основе авторегрессии первого порядка. При этом предпочтение отдается простоте и надежности методики. Рассматриваются критерии удовлетворения требований к воде, поскольку именно они определяют масштабы водохозяйственной деятельности. Представлены подходы к обоснованию данных критериев посредством минимизации экономических ущербов. Уделяется внимание методике имитационного моделирования водохозяйственных систем, показана необходимость применения имитационных моделей.

This article concerns actual water problems connected with different ways of water management for them effective use. Main positions of the state water policy of the Russian Federation are mentioned. In particular we give short analyze of quantity and quality of water resources of some rivers. Marked the low level of water supply in the several countries. Discussed the water situation in 2025 year in connection with forecast of science. Indicates the need for further scientific researches for perfection of design decisions in the area of a water management. Engineering-hydrological both water-economic tasks with their methods decision are considered. Water economic balances are presented as the tool of planning of actions on water resources management. The technique of modeling of long-term ranks of a river drain with beta distribution use is given. The sequence of practical modeling is based on auto regression of the first order. Thus the preference is given to simplicity and reliability of a technique. Discusses the criteria to meet water requirements, since they determine the cost of water management. Presented some ways to give justification to the criteria by minimizing the economic damage. We say the simulation modeling method is necessary tool to adopt cost effective decisions.

Ключевые слова: управление водными ресурсами, режим водопотребления, критерии удовлетворения требований к воде, моделирование стока, имитационное моделирование водохозяйственных систем.

Keywords: Water management, water consumption, criteria to meet water requirements, modeling of a river flow, simulation modeling of water systems.

i Не можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Проблемы комплексного водопользования, актуальные уже на протяжении многих десятилетий, сводятся к созданию эффективных локальных или масштабных водохозяйственных систем, гарантирующих водообеспеченность хозяйственных планов и способствующих улучшению экологического состояния водных объектов.

Водная стратегии РФ [6] указывает на максимально возможное сохранение ресурсов речных водосборов наряду с пополнением запасов подземных вод. Значительное удорожание любых материалов и работ по созданию крупных очистных сооружений стимулирует более широкое применение недорогих, но достаточно эффективных методов очищения воды. В связи с этим большее внимание должно

Как защитить сайт? Обеспечение информационной безопасности сайта

В статье рассмотрим такую важную составляющую работы сайта как информационная безопасность. Определим основные принципы, угрозы и рекомендации по повышению уровня защищенности сайта.

Введение

• основные принципы информационной безопасности;
• угрозы для веб-сайтов;
• рекомендации по повышению уровня защищенности сайта.

Также коснемся нашей веб-платформы Falcon Space в контексте вопросов информационной безопасности.

Принципы. Что учесть при обеспечении информационной безопасности сайта

Безопасность веб-сайтов определяется слабейшим звеном в защите. Если в вашем доме массивная стальная дверь, но окна при этом всегда открыты, общее состояние защищенности будет невысоким. Вы можете ставить различные антивирусы, закрыть все порты на сервере, но если при этом ваши пользовали ставят пароли 123456 и пишут их на бумажке на рабочем столе на ПК, то риски быть взломанным очень высоки.

Поэтому фокус внимания всегда должен быть на наиболее слабом на данный момент звене.

Экономическое обоснование взлома. Зачем взламывают какую-либо систему? Для получения некой выгоды. Если взлом стоит дешевле этой выгоды, то игра стоит свеч. Задача защиты сделать взлом невыгодным.

Необходимо максимально повысить стоимость взлома. Это в первую очередь время на взлом и аппаратные/программные ресурсы взломщика.

Что защищать на сайте? КЦД. Что может плохого случиться с информацией на сайте?

• Может возникнуть утечка данных — будет потеряна конфиденциальность информации.
• Данные могут повредиться — информация потеряет целостность.
• Информация может стать недоступна пользователю — потеряна доступность.

Все меры по безопасности так или иначе направлены на обеспечение конфиденциальности, целостности или доступности информации.

Человеческий фактор в информационной безопасности — самый тонкий момент. Человек слаб. У него есть множество соблазнов и уязвимых мест. Кого-то можно подкупить, кого-то запугать, а кто-то может по простоте дать доступ злоумышленнику по телефону.

Более опасен для системы внутренний человек (инсайдер), а не человек с улицы. У него может быть много причин для помощи злоумышленнику: обидели на работе, не дают повышения, «подработка», компромат на него и т.д. Имея доступ во внутреннюю часть систем человек становится точкой входа в систему для злоумышленника.

Угрозы для сайта и адекватные им меры. Не нужно стрелять из пушки по воробьям. Ваша защита должна соответствовать уровню угроз и модели злоумышленника. Если против вас работает АНБ, то ресурсов на защиту, вероятно, потребуется много (но, наверняка, в этом случае вам есть, что защищать).

Важно представлять себе примерный портрет злоумышленника и его возможности.

Это позволит вам понять, что может сделать злоумышленник, какие цели преследует (что он сможет с вас получить в случае успешного взлома) и какие варианты атаки он может реализовать.

Непрерывность состояния защищенности. Система безопасности должна работать непрерывно во времени. Странно будет выглядеть инкассаторы, которые при перевозке денег в 13:00 все разом поехали в кафе обедать, оставив деньги в машине.

Необходимо предусмотреть факторы, которые могут «оборвать» эту непрерывность состояния защищенности: выключили свет, уволился системный администратор, необходимо обновить какой-то ПО или ключ шифрования.

Подход риск менеджмента — риски информационной безопасности сайта. Информационная безопасность — это та же работа с рисками. Риск — это вероятность и критичность для бизнеса.

Оцените свои риски информационной безопасности в плане вероятности возникновения негативного события и степени критичности. Далее продумайте меры, которые могут снизить вероятность возникновения риска и меры по снижению критичности. Статья про риски веб-сайта.

Угрозы информационной безопасности для сайта по КЦД и меры противодействия угрозам безопасности

Первый вопрос — откуда ноги растут? Кто злоумышленник, и зачем ему нужно взламывать наш сайт?

Что он получит? Какие возможности для взлома у него есть? Какой бюджет на взлом он может выделить? Понимая эти вопросы, вы сможете более адекватно выработать ряд мер для защиты своего сайта.

Разберем основные меры защиты сайта по угрозам для конфиденциальности, целостности и доступности информации на сайте. Некоторые из мер относятся сразу к нескольким типам.

Меры по обеспечению конфиденциальности

Протокол SSL (HTTPS). HTTPS соединение шифрует трафик между браузером и сервером. Это усложняет для злоумышленника получение данных в промежуточных узлах (например, извлечение пароля пользователя при входе).

Также SSL дает некую гарантию пользователю, что он взаимодействует именно с нужным сайтом (в браузере видна информация чей это сертификат).

Защита от разных атак на веб приложение (XSS, SQL инъекции). Пользователь может ввести некий код через поля форм и этот код может негативно сказаться на работе системе.

Например, XSS атака подразумевает ввод JS кода, который сохранится в базе сайта (например, в виде тикета в службу поддержки), затем другой пользователь запросит эти данные из базы и этот вредоносный код JS выполнится от имени этого пользователя.

В Falcon Space мы производим защиту от XSS на уровне ролей. Только некоторые определенные в настройках роли могут сохранять HTML разметку в системе. Для всех других разметка сохраняется в кодированном виде (что не позволяет внедрить JS код).

Атака SQL Injection — вводится код SQL, который видоизменяет SQL выполняемый на сервере. Это очень опасная штука, т.к. позволяет вводить прямые команды в БД (например, удалять данные или считывать данные из таблиц). Защита от SQL инъекций — весь код sql выполнять в хранимых процедурах с параметрами без использования динамически генерируемых процедур.

В Falcon Space вся обработка построена на хранимых процедурах с параметрами.

Обновление ПО. Периодически разработчики находят уязвимости в ПО и выпускают обновления. Если не делать обновления, то есть риск, что этой уязвимостью воспользуются злоумышленники. Необходимо проводить профилактику сервера и ПО на нем.

Организационные меры и обучение сотрудников. Можно так построить бизнес-процесс, чтобы снизить вероятность утечки конфиденциальности и целостности. Пример — создание и и подпись платежных документов разными людьми. Снижается вероятность злоупотреблений со стороны кассира и контроллера.

Второе направление — это обучение. Люди должны хорошо знать свой участок и роль в процессах. Что они могут, а что делать нельзя. Знать, какие бывают ситуации и как они должны реагировать на них.

Меры по обеспечению целостности информации на сайте. Безопасность веб-сайтов

Транзакции. Если ряд операций должны быть выполнены как единое целое, то они должны быть заключены в единую транзакцию, которая либо полностью выполнится, либо откатится.

Это имеет важное значение для таких случаев как пополнение баланса. В рамках одной транзакции происходит изменение статусов платежей, изменение баланса пользователя и логирование этой операции. В случае возникновения проблем система будет всегда оставаться в целостном состоянии, т.к. не будет такой ситуации, что статус мы изменили, а пополнение баланса и логирования не произошло.

Платформа Falcon Space позволяет менять SQL скрипты, т.к. вы можете самостоятельно задать транзакции в системе под свои нужды.

Контроль целостности данных через скрипты. Данные в системе нужно периодически проверять. Код сайта может содержать ошибки, которые будут приводить к нарушению целостности. В этом случае необходимо создать ряд скриптов, которые будут проверять по бизнес-логике целостность данных в таблицах. Можно запускать подобные скрипты ежедневно для нахождения коллизий в данных, после чего выдавать отчет на почту.

В платформе Falcon Space есть подобный отчет для поиска медленных запросов. Ежедневно выполняется скрипт поиска проблемных запросов и отправляется краткий отчет на почту.

Правильная структура данных в базе данных. Если структура базы данных имеет проблемы, то при частичном обновлении данных может нарушиться целостность данных. Необходимо использовать нормализацию базы данных достаточного уровня, вводить ограничения, устанавливать внешние ключи и т.д.

Поиск и исправление ошибок в ПО (профилактика, обслуживание).

Глупо думать, что вы разработали 1 раз сайт, и он будет теперь работать бесперебойно без обслуживания, без администрирования хостинга и т.д.

Если сайт разрабатывался, а не просто был сделан на из готовых блоков, то в нем могут быть ошибки. И вылезти они могут не сразу, а в ходе эксплуатации. Необходимо проводить профилактику приложения — смотреть логи, анализировать быстродействие, искать проблемные точки.

Это сказывается как на качестве сайта, так и на состоянии защищенности. В ходе таких обзоров могут быть обнаружены бреши, которые на стадии разработки сайта никак себя не проявляли.

Меры по обеспечению доступности сайта

Защита от DOS. DOS атака — это организация множества запросов на сайт с целью его перегрузки. Происходит отказ в обслуживании — сервер просто начинает не справляться с возникшей нагрузкой.

Защита от DOS атаки лежит в первую очередь на хостере. Задайте вопросы по поводу защиты от DOS атак своему хостеру.

Также вы можете блокировать подозрительные IP адреса, т.к. ваш сервер просто не будет обрабатывать некоторые запросы. Тут главное не перестараться, т.к. таким образом, можно отсеять реальных пользователей вместе с ботами (программы, заходящие на сайт).

Нагрузочное тестирование. Проводите нагрузочные тесты, находите проблемные места в своем сайте про производительности. То, что хорошо работает на малом объеме, может очень тормозить на больших оборотах.

Резервный сервер. Если будет полный трабл с основным сервером, хорошо бы иметь возможность быстро восстановить работу приложения на резервном сервере. В идеале сделать работу несколько серверов в связке, чтобы при выходе из строя одного сервера, запросы шли на другой сервер.

Мониторинг доступности и оповещения. Если возникла остановка работы сайта, то необходимо узнать об этом как можно раньше, чтобы сразу принять все меры по восстановлению сайта. Для этого используются средства мониторинга, которые опрашивают сайт. В случае падения они сообщают через email или sms о проблеме. Пример бесплатного сервиса по мониторингу доступности сайта.

Рекомендации по обеспечению информационной безопасности сайта

Пароли. Используйте сложные пароли, но которые реально запомнить. В этом случае пользователь не будет записывать их на бумажку. Пример: Kata007pulta* Пароль содержит спецсимволы, цифры, верхний регистр, более 8 символов. Такой пароль сложно подобрать, но легко запомнить пользователю.

Периодически меняйте важные пароли. Если храните пароли, то сделайте архив с паролем, и храните в нем Excel с паролями локально на своем ПК.

Минимальный доступ и убрать все ненужные элементы. У каждого пользователя должен быть минимальный уровень доступа, достаточный для его работы. Не нужно давать больше, чем ему нужно для выполнения служебных обязанностей. Атаке извне может быть подвергнут любой элемент вашей системы, и чем меньше возможностей у этого элемента, тем лучше.

Закрывайте доступ через неиспользуемые порты на сервере. Каждый порт — потенциальная точка входа для злоумышленника.

Обновления. Ставьте обновления своевременно. Заведите регламент работ по обновлению основного ПО — ПО сервера, CMS сайта, антивирус и т.д.

Инсайдеры. Инсайдер гораздо опаснее внешнего злоумышленника. У него уже есть доступ в системе. К нему есть некоторое доверие со стороны других людей в системе. Он может долгое время незаметно пакостить в системе. Создайте условия для максимальной удовлетворенности людей в системе, со всеми расставайтесь полюбовно, не оставляя долгов перед другими (особенно перед программистами и системными администраторами).

Чем сложнее решение, тем больше дыр и ошибок.

Сложность программы идет рука об руку с ошибками. Чем больше кода, чем больше возможностей в нем, тем больше может быть багов в нем.

А баги — это риск-фактор для взлома системы. Уменьшайте сложность системы. По мере развития она и так будет усложняться по естественным причинам (много данных, обязательные хотелки пользователей и т.д.) — не стоит все усложнять на первых этапах своими же руками.

Используйте основы риск менеджмента. Проводите пересмотр рисков и мер по уменьшению критичности и вероятности возникновения риска.

Риски — это не что-то, что высечено на камне. Вы провели некие работы по снижению рисков, и необходимо пересмотреть их, сделать акцент на другие риски.

Не публикуйте в общий доступ лишней информации. Внешний злоумышленник собирает информацию сначала из открытых источников. По крупицам ищет уязвимости системы, изучает структуру системы и возможные точки входа в него.

Не публикуйте в общий доступ информацию, чувствительную ко взлому. Тем самым вы уменьшите вероятность взлома внешним злоумышленником.

Не ставьте ничего на телефон и ПК. На рабочих станциях (и тем более на серверах) не должно быть ненужного ПО. Любое дополнительное — потенциальный риск получить вирус или другое вредоносное ПО.

Уязвимости в ПО также могут быть точкой входа в систему.

Поэтому ставьте приложения только из проверенных источников и давайте этим приложениям минимум необходимых прав.

Для программистов — не доверять вводу юзера. Когда сайт обрабатывает запрос от браузера, нельзя доверять введенным данным от пользователя.

В платформе Falcon Space практически любая процедура принимает параметр @username, который находится внутри системы, а не получен от браузера. Именно на него мы ориентируемся при авторизации доступа к определенным ресурсам.

К примеру, пришел запрос GetOrder и передан параметр orderID — можем ли бы просто выдать заказ по orderID. Нет, т.к. юзер мог указать чужой orderID. Мы должны проверить сначала (по @username) имеет ли текущий пользователь доступ к этому объекту.

Бекапы, бекапы, бекапы! Делайте бекапы базы данных и файлов сайта. Ежедневно должны создаваться бекапы. Их нужно копировать на удаленное хранилище (яндекс диск или dropbox). В случае, если сгорит сервер, ваши бекапы будут в сохранности.

Периодически проверяйте, что ваши бекапы делаются и они пригодны для использования (может случиться так, что бекапы делаются, но они повреждены и не могут быть использованы; либо делаются сильно усеченные и не позволяют полностью восстановить информацию).

Регламент обслуживания и контроля

Нет смысла описывать угрозы, считать риски без проведения работ по повышению уровня защищенности сайта. Реализовывать эти работы можно в виде регламентов обслуживания системы — т.е. это совокупность неких периодических действий, направленных на реализацию мер по обеспечению безопасности сайта.

Регламенты могут разниться и будут зависеть от специфики, масштаба вашего проекта, модели угроз и ваших возможностей/приоритетов.

Регламент обслуживания сервера. Выполняет системный администратор, проверяет критичные параметры сервера (память, место на диске, процессор), изучает системные логи, проводит обновление ПО, смотрит за бекапами сайта и базы данных.

Регламент профилактики по приложению. Выполнять данную процедуру может разработчик на поддержке. Необходимо изучать лог ошибок приложения, делать диагностику ошибок и заносить в баг трекер, что необходимо поправить.

Также имеет смысл проводить диагностику быстродействия, искать слабые запросы и оптимизировать их.

Плановое обновление паролей. Вы можете проводить процедуру изменения пароля для важных точек входа — соединение с базой данных, доступ к хостинг панелям, доступ к серверу, доступ к платежным аккаунтам и т.д.

Регламент пересмотра состава угроз и соответствующих мер (риск менеджмент). Хотя бы раз полгода имеет смысл возвращаться к рискам информационной безопасности и обновлять меры, регламенты для более адекватной защиты от вновь выявленных угроз.

Заключение

Информационная безопасность веб-сайтов требует времени и средств. А видимой отдачи от нее нет. Что-то сделали, внедрили, а прямой выгоды от этого нет.

Но есть риски, которые могут в итоге принести колоссальный ущерб. Сделав небольшие усилия (20% по Парето), вы можете обеспечить значительную степень защищенности сайта и усложнить взлом для злоумышленника (т.е. защититься от 80% атак).

Начните с минимальных базовых моментов по обеспечению безопасности, итеративно добавляя новые элементы по мере необходимости. Есть прекрасный закон Мерфи: «Если что-то может пойти не так, оно пойдёт не так». Смысл его не в том, что вас обязательно взломают, но смысл в том, что кого-то когда-то непременно взломают. Будет ли это ваш сайт или чужой, завтра или через год, но это точно произойдет.

Также смотрите статьи:

• Почему закрываются сайты
• Ошибки владельцев сайтов