Уязвимости веб-систем (часть 1)

Покупайте в зарубежных Интернет магазинах со скидками! Получайте miniinthebox купоны, которые дают вам ценовые преимущество при покупках различных групп товаров.

В настоящее время Web-системы все чаще используются для доступа к информационным ресурсам предприятий. Динамическое внедрение Интернет-технологий во все сферы деятельности человека ставит особые требования к обеспечению безопасности Web-систем.

Построение защищенных Web-систем требует проведения анализа нарушения безопасности и выявления причин возникновения уязвимостей. Только знание природы этих причин позволяет оценить способность Web-систем противостоять атакам на ее безопасность, а также понять природу недостатков существующих средств обеспечения безопасности.

Концептуальное определение Web-систем

Под Web-системой понимается распределенная информационная система, владеющая такими свойствами:

• построение из компонентов, которые могут иметь разных владельцев;
• независимость одних компонентов от других;
• имеет способность использовать Web-системы и быть использованной другими Web-системами (быть компонентом иной системы);
• предполагает возможность появления в системе новых (прежде не определенных) пользователей, анонимных пользователей и доступ других систем как пользователей;
• физической и логической способностью функционировать как в глобальной, так и в локальной сетевой среде;
• базируется на использовании технологий гипертекста, мультимедиа, кроссплат-форменных вычислений, распределенных объектных вычислений;
• является кроссплатформенной относительно использования аппаратных, сетевых и клиентских программных продуктов;
• является ориентированной на сетевые технологии относительно программных и информационных ресурсов.

Анализ существующих программных продуктов позволяет выделить как наиболее распространенные такие три группы Web-систем:

1. Статические Web-системы. Эти системы предоставляют доступ на чтение пользователям к информационным ресурсам, но при этом не участвуют в процессе обработки информации, делегируя эти функции другим компонентам ВС.

2.Прокси-системы. Обеспечивают доступ пользователей к другим Web-системам, выступая посредником между пользователями и удаленными Web-системами, с целью повышения производительности, уменьшения нагрузки на сеть и обеспечения безопасности.

3. Динамические Web-системы. Представляют собой полноценные системы обработки информации, участвуя в процессе обработки информации на всех этапах ее жизненного цикла.

Наименее не исследованной в области информационной безопасности и подверженной уязвимостям является динамическая Web-система.

В последнее время динамические системы все чаще вытесняют статические. Web-браузер перестал быть просто средством просмотра гипертекста, превратившись в универсальный инструмент обработки информации.

Архитектура построения динамических Web-систем носит индивидуальный характер и зависит от задач, стоящих перед системой, а также технологий, применяемых при ее реализации. В свою очередь можно выделить основные компоненты, присущие большинству существующих систем (табл. 1).

Таблица 1

Компоненты динамической Web-системы

С появлением приложений класса CMS (content management system) Web-приложения престали быть просто оболочками к информационным ресурсам, превратившись в самостоятельные системы обработки информации, реализующие практически все функции, присущие ВС. Но как показывает произведенный анализ существующих систем, в большинстве из них требования к обеспечению безопасности не являются базовыми, а в некоторых просто отсутствуют.

В дальнейшем в качестве Web-системы будет рассматриваться Web-приложение, реализующее функции обработки информации, присущие вычислительным системам, и являющееся Web-системой более низкого уровня абстракции.