Уязвимости веб-систем (часть 2)

Хотите приобрести ноутбук и использовать его на все 100? Тогда вам обязательно нужна стильная сумка для ноутбука на ваш вкус, размеры аппарата и финансовые возможности.

Исследование уязвимостей. Под уязвимостью в дальнейшем будет пониматься совокупность причин, условий и обстоятельств, наличие которых в конечном итоге может привести к нарушению безопасности (несанкционированный доступ, ознакомление, уничтожение или искажение данных).

Исследованию ошибок, тем или иным образом связанных с безопасностью, всегда уделялось много внимания. Представим классификацию уязвимостей по источнику появления, приведенная в табл. 2.

Таблица 2

Классификация источников появления ИЗ

Вместо термина «уязвимость» (vulnerability) использовал понятие «изъян защиты» (security flaw), определенный им как ошибка в программном продукте, позволяющая нарушителю обойти средства защиты.

Под источником появления в этой статье понимается основа существования ИЗ, т.е. либо характеристики ВС, которые обуславливают его существование, либо принцип функционирования средств, использующих ИЗ для осуществления атаки.

В этой статье классификация преднамеренных ИЗ фактически представляет собой классификацию разрушающих программных средств по принципам функционирования, а непреднамеренных – классификацию ошибок, возникающих в ходе программной реализации.

Для решения практических заданий и применительно к Web-системам наибольший интерес представляет классификация атак созданной в рамках проекта webappsec.org.

Авторы этой работы ставили перед собой такие цели:

• определение всех известных классов атак на Web-приложения;
• согласование названий для каждого из классов;
• разработка структурированного подхода к классификации атак;
• разработка документации, содержащей общее описание каждого из классов.

Эта классификация, представленная в табл. 3, содержит компиляцию известных классов атак, которые представляли угрозу для Web-приложений в прошлом и представляют сейчас. Каждому классу атак присвоено стандартное название и описаны его ключевые особенности. Классы организованы в иерархическую структуру.

Любая атака на вычислительную систему (подразумеваются успешные атаки, в результате которых происходит нарушение информационной безопасности), в том числе и на Web-систему опирается на определенные особенности построения и функционирования последней, иными словами — использует имеющиеся недостатки средств обеспечения безопасности.

Проведение анализа нарушений безопасности Web-систем позволяет при разработке и создании защищенных систем сконцентрировать основные усилия именно на устранении этих причин путем исправления в механизмах защиты выявленных недостатков, что позволяет эффективно противостоять угрозам безопасности. Очевидно, что основой этого подхода является глубокое исследование частных случаев нарушения безопасности и слабых сторон систем зашиты, сделавших возможным их осуществление.