Как обеспечить безопасность веб-приложений?

Последние исследования Ponemon Institute, Barracuda Networks и Cenzic показали, что почти три четверти взломов в бизнес-среде, произошедшие в последние два года, производились через веб-приложения. То есть веб-приложения можно назвать главным источником угрозы для безопасности данных корпораций. О чем же в деталях говорится в материалах исследования?
Оцените:

Материалы исследования


Атаки на сайты считаются самыми опасными. 74% опрошенных считают защиту веб-приложений самым важным делом или ставят ее наравне с другими проблемами в области обеспечения безопасности, с которыми сталкиваются компании. Тем не менее, оказывается, что 88% респондентов тратят больше средств на кофе, чем на защиту своих же сайтов. Но важно даже не это. Существует путаница вокруг методов, используемых для достижения безопасности веб-приложений, главным образом вокруг брандмауэров и оценки уязвимости.
«69% опрошенных полагаются на сетевые брандмауэры для защиты веб-приложений, и это напоминает ситуацию, когда картонный щит используется для защиты в сражении на мечах — в конечном счете, ваш щит окажется бесполезным и вас атакуют. Тоже самое происходит и с брандмауэром», — говорит Пол Джадж, главный исследователь и вице-президент компании Barracuda Networks



Многие компании не могут правильно оценить угрозу атаки на веб-приложения. Защита информации (62%) и выполнение условий лицензионного соглашения (51%) являлись основными причинами для защиты веб-приложений. Защита фирмы была важна для 15% опрошенных. При этом, как оказалось, компании используют достаточно большое число веб-приложений: 41% респондентов сообщили, что у них более 100 таких средств. К сожалению, часть компаний даже не могли представить список того, что они используют, говорится в исследовании компании Cenzic.

Интересно, что большинство опрошенных (66%) протестировали только 25% этих приложений на наличие уязвимостей. При этом 20% организаций совсем не проводят тестирование, а 40% тестируют всего лишь 5% своих веб-приложений. И большинство этих компаний было взломано неоднократно через такие ненадежные средства.



Кроме того, оказалось, что более половины респондентов (53%) считают, что их хостинг-провайдер должен обезопасить их веб-приложения. «Более половины опрошенных ИТ-специалистов полагают, что у них нет ресурсов для определения и исправления небезопасных веб-приложений, а 64 процента заявили, что, по их мнению, организации проводят неправильную политику в сферах управления и использования», — говорит Ларри Понемон, глава и основатель Ponemon Institute.

Таковы неутешительные итоги опроса, который показал, что невозможно обеспечить сотни тысяч организаций квалифицированными системными администраторами, способными качественно оттестировать веб-приложение перед использованием. Поэтому безопасность использования веб-приложений становится обязанностью самих  их разработчиков.


Десять уязвимостей веб-приложений, которые должен учитывать веб-разработчик


Организация Open Source Web Application Security Project (OWASP) постоянно работает в области безопасности Web-приложений и публикует непрерывно обновляемый список из 10 наиболее распространенных уязвимых мест в защите:
  • Информация из запросов не подтверждается перед использованием в веб-приложении.

  • Авторизованные пользователи имеют избыточные права для своей деятельности.

  • Авторизация и сессия не защищены надлежащим образом.

  • Веб-приложение может использоваться как механизм для перенесения атаки на браузер конечного пользователя через межсайтовые сценарии (Cross-site scripting).

  • В некоторых языках программирования компоненты веб-приложения, не подтверждающие соответствующим образом ввод данных, могут использоваться злоумышленниками для получения контроля над процессом.

  • Веб-приложения передают параметры при получении доступа к внешним системам или локальной операционной системе. Если злоумышленник может внедрить в данные параметры свои команды, то внешняя система выполнит эти команды от имени приложения.

  • Неправильно обрабатываются ошибочные условия, возникающие во время выполнения стандартных операций.

  • Для зашиты информации и учетных записей веб-приложения часто используют функции криптографии, которые довольно сложно запрограммировать должным образом, и это приводит к ослаблению зашиты.

  • Если злоумышленники полностью используют ресурсы веб-приложения, то законные пользователи не могут получить доступ к нему. Кроме того, злоумышленники могут блокировать учетные записи пользователей и даже вызвать аварийный сбой всего приложения.

  • Наличие жестких стандартов конфигурации сервера очень важно для защиты веб-приложения.


  • Основные принципы проектирования Веб-приложений


    Чтобы гарантировать безопасность создаваемого веб-приложения следует помнить об основных принципах проектирования и реализации:
  • Защита и тестирование защитных функций задаются во время разработки приложения. Наиболее важно определить потенциальные проблемы безопасности и уязвимые места, нуждающиеся в защите.

  • Использование учетных записей с высокими привилегиями для запуска веб-приложений считается плохим тоном программирования.

  • Система защиты складывается не только из контрмер. В нее следует еще добавить механизмы для обнаружения атак и внедрить стратегию реагирования.

  • Веб-приложение является последней преградой между злоумышленниками и внутренними ресурсами компании. Следует обязательно продумать защиту внутренних систем.

  • Во время работы приложение получает данные из различных источников: от пользователей, из баз данных и файлов конфигурации. Следует обеспечить гарантии того, что ввод некорректных данных не вызовет сбоя в работе приложения независимо от источника этих данных.

  • Следует внимательно относиться к каждому проявлению ошибки и предоставлять информацию о ней пользователям. Сообщения об ошибках могут быть представлены пользователям в виде каких-то общих фраз, но в журнал всегда нужно записывать подробную информацию об ошибке.

  • По традиции атаки DoS (Denial of Service) являются сетевыми. Но веб-приложение может невольно стать инициатором таких атак, например, в случае автоматической блокировки неудачных попыток регистрации, если не обеспечен механизм автоматического снятия блокировок.

  • Позиция защиты по умолчанию будет гораздо сильнее, если пользователь, устанавливающий приложение выберет новый пароль, вместо используемого по умолчанию.

  • При использовании криптографии необходимо учитывать алгоритм, как генерируются ключи, используются ли пароли с низкой энтропией, как хранятся и передаются пароли, как часто изменяются пароли.

  • Резюме


    Веб-приложение может быть безопасным. Но при этом никто не должен надеяться на другого - системный администратор – на разработчика, разработчик на системного администратора, а они вдвоем — на пользователя. Однако доля ответственности разработчика, на наш взгляд, все равно остается большой.
    Оцените:

    Комментарии Facebook

    Комментарии ВКонтакте