Уязвимости веб-систем (часть 6, заключительная)

Таксономия причин возникновения уязвимостей. Проведенный анализ статистики случаев нарушений безопасности Web-систем показывает, что все случаи произошли по одной из таких причин (табл.5): 1. Выбор модели безопасности, не соответствующей назначению или архитектуре Web-системы. Модель безопасности должна соответствовать как требованиям безопасности, так и принятой в ней технологии обработки информации. 2. Неправильное внедрение модели безопасности. Обычно неправильное внедрение…

Уязвимости веб-систем (часть 5)

Классификация уязвимостей по размещению в системе. Уязвимости можно классифицировать в зависимости от того, в каких компонентах системы они находятся. Так как Web-система является распределенной и функционирует на нескольких ВС, то соответственно наследует и все уязвимости внешних к себе компонентов ВС, таких как ОС, аппаратное обеспечение, сетевая среда и т.д. В этой статье рассматриваются только те…

Уязвимости веб-систем (часть 4)

Классификация уязвимостей по этапам внедрения. В отличие от исследования вопроса об источниках возникновения уязвимостей, анализу этапа появления ошибок уделяется недостаточное внимание. Результаты исследования этого вопроса подробно изложены в нескольких работах, наибольший интерес из которых представляет работа Лендвера, в которой проблема выявления этапа внедрения ошибок рассматривается по отношению к жизненному циклу программного обеспечения. Абстрактная схема, описывающая…

Уязвимости веб-систем (часть 3)

Таблица 3 Классы атак на Web-приложения Поскольку с точки зрения авторов причины успеха атак на системы обработки информации предопределены свойствами самих систем обработки информации, то анализ случаев нарушения безопасности должен основываться не столько на исследовании методов, используемых нарушителем, сколько на выявлении свойств системы, позволивших ему успешно осуществить атаку. Только знание природы этих свойств позволит оценить…

Уязвимости веб-систем (часть 2)

Исследование уязвимостей. Под уязвимостью в дальнейшем будет пониматься совокупность причин, условий и обстоятельств, наличие которых в конечном итоге может привести к нарушению безопасности (несанкционированный доступ, ознакомление, уничтожение или искажение данных). Исследованию ошибок, тем или иным образом связанных с безопасностью, всегда уделялось много внимания. Представим классификацию уязвимостей по источнику появления, приведенная в табл. 2. Таблица 2…

Уязвимости веб-систем (часть 1)

В настоящее время Web-системы все чаще используются для доступа к информационным ресурсам предприятий. Динамическое внедрение Интернет-технологий во все сферы деятельности человека ставит особые требования к обеспечению безопасности Web-систем. Построение защищенных Web-систем требует проведения анализа нарушения безопасности и выявления причин возникновения уязвимостей. Только знание природы этих причин позволяет оценить способность Web-систем противостоять атакам на ее безопасность,…

Уязвимости к переполнению буфера

BUFFER OVERFLOW. Данная уязвимость возникает, если существует возможность записи в буфер информации больше, чем позволяет область памяти, выделенная под буфер. Существует несколько вариантов переполнения буфера, все они потенциально опасны для приложения и могут привести к аварийному завершению приложения либо к выполнению злоумышленного кода в атакуемой системе. Если приложение выполняется от имени привилегированной учетной записи, такой…

Уязвимость к межсайтовому скриптингу

CROSS SITE SCRIPTING – XSS. Уязвимость XSS возникает, когда входные данные, получаемые Web-сервером от одного клиента, могут быть пересланы другому клиентскому браузеру через Web страницу. Эти данные могут содержать программный код, например на JavaScript, который будет выполнен браузером клиента. Поскольку система безопасности клиента считает, что код получен от Web-сервера, то злоумышленный код может получить доступ…

Уязвимости строк форматирования

Наличие данной уязвимости позволяет передать в качестве входного параметра функции ввода/вывода специальным образом сконструированную строку, что позволяет атакующему получить информацию об управлении приложением и даже изменить ход выполнения приложения. Многие функции ввода/вывода позволяют нужным образом отформатировать строку, переданную им в качестве входного параметра. Это означает, что входные параметры функции могут содержать специальные символы, определяющие формат…

Уязвимости целочисленного переполнения

Продолжаем тематику «Причины и виды уязвимости приложений». Уязвимость целочисленного переполнения возникает как результат некорректных операций над данными целого типа. Последствия целочисленного переполнения могут быть самыми разными — от некорректного результата до краха приложения. Данная уязвимость может быть использована для изменения значения критически важных данных — изменения размера буфера, значения индекса массива. При этом возникает возможность…