Уязвимости веб-систем (часть 6, заключительная)

Таксономия причин возникновения уязвимостей. Проведенный анализ статистики случаев нарушений безопасности Web-систем показывает, что все случаи произошли по одной из таких причин (табл.5): 1. Выбор модели безопасности, не соответствующей назначению или архитектуре Web-системы. Модель безопасности должна соответствовать как требованиям безопасности, так и принятой в ней технологии обработки информации. 2. Неправильное внедрение модели безопасности. Обычно неправильное внедрение…

Уязвимости веб-систем (часть 5)

Классификация уязвимостей по размещению в системе. Уязвимости можно классифицировать в зависимости от того, в каких компонентах системы они находятся. Так как Web-система является распределенной и функционирует на нескольких ВС, то соответственно наследует и все уязвимости внешних к себе компонентов ВС, таких как ОС, аппаратное обеспечение, сетевая среда и т.д. В этой статье рассматриваются только те…

Уязвимости веб-систем (часть 4)

Классификация уязвимостей по этапам внедрения. В отличие от исследования вопроса об источниках возникновения уязвимостей, анализу этапа появления ошибок уделяется недостаточное внимание. Результаты исследования этого вопроса подробно изложены в нескольких работах, наибольший интерес из которых представляет работа Лендвера, в которой проблема выявления этапа внедрения ошибок рассматривается по отношению к жизненному циклу программного обеспечения. Абстрактная схема, описывающая…

Уязвимости веб-систем (часть 3)

Таблица 3 Классы атак на Web-приложения Поскольку с точки зрения авторов причины успеха атак на системы обработки информации предопределены свойствами самих систем обработки информации, то анализ случаев нарушения безопасности должен основываться не столько на исследовании методов, используемых нарушителем, сколько на выявлении свойств системы, позволивших ему успешно осуществить атаку. Только знание природы этих свойств позволит оценить…

Уязвимости веб-систем (часть 2)

Исследование уязвимостей. Под уязвимостью в дальнейшем будет пониматься совокупность причин, условий и обстоятельств, наличие которых в конечном итоге может привести к нарушению безопасности (несанкционированный доступ, ознакомление, уничтожение или искажение данных). Исследованию ошибок, тем или иным образом связанных с безопасностью, всегда уделялось много внимания. Представим классификацию уязвимостей по источнику появления, приведенная в табл. 2. Таблица 2…

Уязвимости веб-систем (часть 1)

В настоящее время Web-системы все чаще используются для доступа к информационным ресурсам предприятий. Динамическое внедрение Интернет-технологий во все сферы деятельности человека ставит особые требования к обеспечению безопасности Web-систем. Построение защищенных Web-систем требует проведения анализа нарушения безопасности и выявления причин возникновения уязвимостей. Только знание природы этих причин позволяет оценить способность Web-систем противостоять атакам на ее безопасность,…