Материал: Аналіз методик та програмних засобів оцінки стану безпеки Web-сторінки
web сторінка безпека загроза
4.4 Узагальнені дані
Узагальнені результати за розподілом виявлених вразливостей
до різних типів і класів WSTCv2,
виявлених за допомогою детального аналізу Web-додатків і при автоматичному скануванні представлено в
Таблиці 5.3.
Таблиця 4.3. Статистика вразливостей Web-додатків (узагальнені дані)
|
Тип вразливості |
Автоматичне сканування |
Детальний аналіз |
||||||
|
|
% Вразливостей додатків |
% Вразливих сайтів |
% Вразливостей додатків |
% Вразливих сайтів |
30,08 |
50,1 |
41,75 |
61,0 |
|
SQL Injection |
7,95 |
15,50 |
17,69 |
67,79 |
||||
|
Information |
29,82 |
97,19 |
12,50 |
16,94 |
||||
|
Leakage |
|
|
|
|
||||
Якщо аналізувати поширеність вразливостей високого ступеня ризику, то тут найбільш часто зустрічаються помилки типу «Впровадження операторів SQL» (SQL Injection). Можливість несанкціонованого доступу до бази даних була виявлена в 67% випадків при детальному аналізі Web-додатки та 16% при автоматичному скануванні. Також широко поширені помилки «Читання довільних файлів» (Path Traversal), «Підбір пароля» (Brute Force) і помилки в реалізації і налаштування системи авторизації та аутентифікації. Тобто в 83% сайтів були виявлені критичні вразливості, і в 78% випадків зі ста в програмному забезпеченні Web-додатки містяться вразливості середнього ступеня ризику.
5. ОГЛЯД ЗАСОБІВ ТЕСТУВАННЯ БЕЗПЕКИ WEB-СТОРІНОК
5.1 Сканер вразливостей Nikto-online
Ефективність роботи будь-якого Internet-сайту визначається швидкістю реакції на середовище веб-технологій , яке динамічно розвивається. Сучасні технології створення веб-контенту в режимі реального часу дали професійному веб-майстру найпотужніші інструменти для управління потоками інформації в мережі Internet. Цілком природно, що такий ринок не залишився без уваги хакерів, які прагнуть завдати шкоди або заволодіти конфіденційною інформацією. У таких умовах актуальним завданням є мінімізація вразливостей web-серверів і сайтів задля уникнення витоку інформації.
Під час створення або внесення змін в структуру і скрипти сторінок сайту важко оцінити можливість такої вразливості і найбільш вразливу частину цілісної структури системи. Виявити «дірки» в скриптах можна за допомогою будь-якого сканера вразливостей. Для більш зручного використання була створена система Nikto-online, яка дозволяє скоротити час, необхідний на сканування, та автоматизувати процес пошуку слабкихмісць у безпеці веб-серверів і веб-сайтів.
Система Nikto-online була розроблена з метою підвищення безпеки web-сайтів і серверів, доступності для кожного і швидкого відстеження вразливостей web-сайтів. Nikto-online являє собою зручний і приємний у використанні web-інтерфейс до сканера вразливостей Nikto 2.03.
Для описів і методів розв'язання вразливостей за основу була взята відкрита база вразливостей OSVDB (#"792080.files/image007.gif">
Рис. 5.1. Головна сторінка сканера Nikto-Online
Праворуч знаходяться всі додані сайти, форма для додавання та пошуку сайту. У центральній частині знаходиться інформація про сайт, опис всіх вразливостей з можливістю перегляду опису і методів рішення. Для додавання сайту необхідно натиснути на кнопку «додати» у верхній частині всіх сайтів.
Якщо ви намагаєтеся додати сайт, який вже був доданий раніше,
то система автоматично перейде на перелік вразливостей сайту, що додається.
Інакше сайт буде додано і поставлено в чергу для сканування. Сканер
вразливостей запускається щохвилини і сканує сайти поставлені в чергу. Як вже
говорилося раніше, кожен сайт сканується в окремому потоці, що дозволяє
скоротити час сканування.
Рис. 5.2. Додавання сайту
Після чого відкриється форма для додавання сайту:
Рис. 5.3. Форма додавання сайту
У чергу сканування встановлюються не тільки нові сайти, але і
сайти, останнє сканування яких було пізніше 1 тижня. Тобто система автоматично
сканує всі сайти один раз на тиждень. Також в чергу сканування можна примусово
поставити будь-який сайт. Для цього необхідно натиснути на кнопку
«пересканувати» у блоці з інформацією про сайт:
Рис. 5.4. Блок з інформацією про сайт
Для навігації серед вразливостей сайтів необхідно
скористатися блоком ліворуч, показаному на рисунку , що надано нижче. Список
сайтів відсортований спочатку за рівнем небезпеки , а потім за датою додавання.
Знак оклику праворуч означає, що даний сайт має небезпечні вразливості, які
рекомендується усунути. Знак лінзи означає, що сайт на даний момент в процесі
сканування.
Рис. 5.5. Блок навигації по сайтам
Для зручності навігації існує пошук по сайтам, де необхідно
вказати або повну назву сайту, або його частину. У другому випадку буде обраний
перший-ліпший сайт, який задовольняє умову запиту.
Рис. 5.6. Пошук сайту
Перегляд результату сканування. Тут першими в списку показані більш небезпечні вразливості і відзначені знаком оклику ліворуч. Тут є можливість подивитися опис і методи рішення вразливості по кожній з помилок. Якщо в базі даних є дані російською мовою, то користувач побачить їх. Інакше опис відображається англійською мовою.
Під вразливими місцями знаходяться 3 кнопки:
. Видалити. З назви стає ясно, що натиснувши на цю кнопку даний сайт буде видалений з бази сканування Nikto-Online.
. Завантажити без опису. Ця кнопку дає можливість скачати
результат, який повернув сканер Nikto 2.03 в оригінальному вигляді:
Nikto v2.03/2.04
--------------------------------------------------------------------------
+ Target IP: 77.47.179.253
+ Target Hostname: nikto.kedya.org.ua
+ Target Port: 80
+ Start Time: 2010-03-02 10:54:02
+ Server: Apache/2.2.13 (FreeBSD) mod_ssl/2.2.13 OpenSSL/0.9.8e/2 SVN/1.6.6 mod_python/3.3.1 Python/2.5.4
+ No CGI Directories found (use '-C all' to force check all possible dirs)
Allowed HTTP Methods: GET, HEAD, POST, OPTIONS
+ OSVDB-0: Non-standard header x-pad returned by server, with: avoid browser bug
+ mod_ssl/2.2.13 appears to be outdated (current is at least 2.8.31) (mayon server version)
+ OpenSSL/0.9.8e appears to be outdated (current is at least 0.9.8g) (mayon server version)
+ mod_ssl/2.2.13 OpenSSL/0.9.8e DAV/2 SVN/1.6.6 mod_python/3.3.1/2.5.4 - mod_ssl 2.8.7 and lower are vulnerable to a remote bufferwhich may allow a remote shell (difficult to exploit).://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0082.
+ OSVDB-3092: GET //files/ : This might be interesting...
+ 3577 items checked: 6 item(s) reported on remote host
+ End Time: 2010-03-02 10:54:17 (15 seconds)
--------------------------------------------------------------------------
+ 1 host(s) testedOptions: -h #"792080.files/image013.gif">
Рис. 5.7. Результат сканування сайту
3. Завантажити з описом. Під цим посиланням ховається
pdf-файл у якому розписана кожна вразливість з описом і методами рішення. Цей
файл необхідно передати адміністратору сайту, щоб він мав можливість більш
детально дізнатися про вразливість і спосіб її усунення.
ВИСНОВОК
У даній курсовій роботі я дав визначення, термінологію та принципи оцінки стану безпеки web-сторінки. Проаналізував найбільш поширені загрози та вразливості web-сторінки. Зробив огляд методологій тестування безпеки web-сторінок. А також зробив огляд засобів тестування безпеки web-сторінок на прикладі програми Nikto-Online.
В результаті проведеної роботи можна зробити висновок, що майже всі
сайти недостатньо захищені і мають вразливості, як власного програмного
забезпечення так і вразливості конфігурації, на що вказує статистика в розділі
3 даної курсової роботи.
СПИСОК ЛІТЕРАТУРИ
1. Спецвыпуск журнала «Хакер» № (2)75, февраль 2007 г. Издательский дом ООО «Гейм Лэнд».
2. Девід А. Вайз, Марк Малсід. Google. Прорив в дусі часу. Видавництво «Ексмо», Москва, 2007.
3. Закон України "Про електронні документи та електронний документообіг" від 22 травня 2003 p. № 851-IV;
. Закон України "Про захист інформації в автоматизованих системах";
. Закон України "Про цифровий підпис" від 22 травня 2003 p. № 852-IV;
7. <http://ru.wikipedia.org/wiki/PHP-инъекция>
8. Nikto v2.1.3 - The Manual - Режим доступа: <http://cirt.net/nikto2-docs/>
9. SQL Injection. - Режим доступа.
10. http://www.owasp.org/index.php/SQL_Injection.