Безпека web-серверів
Класифікація вразливості атак Складається з дев'яти класів: 1. Аутентифікація (Authentication) 2. Авторизація (Authorization) 3. Атаки на клієнтів (Client-side Attacks) 4. Виконання коду (Command Execution) 5. Розголошення інформації (Information Disclosure) 6. Логічні недоліки (Logical Flaws) 7. Не безпечні конфігурації (Misconfiguration) 8. Недоліки протоколу (Protocol Abuse) 9. Інші (Miscellaneous)
1.Аутентифікація (Authentication) Аутентифікація - процедура перевірки особистості вхідного в систему суб'єкта, що пред'явив свій ідентифікатор. Аутентифікацію не слід плутати з авторизацією (процедурою надання суб'єкту певних прав).
1.Аутентифікація (Authentication) Аутентифікація використовує як мінімум один з трьох механізмів (факторів): «щось, що ми маємо» ( магнітна карта, генератор паролів ) «щось, що ми знаємо» ( пароль, персональний індефікаційний номер) «щось, що ми є» ( голос, відбиток пальця, розпізнавання обличчя)
1.Аутентифікація (Authentication) До основних атак парольної аутентифікації відносять 1.Підбір 2.Недостатня аутентифікація 3.Небезпечне відновлення паролів
1.Підбір - автоматизований процес проб і помилок, що використовується для того, щоб вгадати ім'я користувача, пароль, номер кредитної картки, ключ шифрування і т.д. прямийзворотний. Підбір може бути прямий та зворотний. Приклад Имя користувача = Jon Пароли = smith, michael-jordan, [pet names], [birthdays], [car names], Имена користувачів = Jon, Dan, Ed, Sara, Barbara,..... Пароль = Для повного перебора можна використати такі програми як PasswordsPro, MD5 BFCPF, John the Ripper. вики
скорости перебора паролей паролей/сек
2.Недостатня аутентифікація Ця уразливість виникає, коли Web-сервер дозволяє атакуючому отримувати доступ до важливої інформації або функцій сервера без належної аутентифікації. Інтерфейси адміністрування через Web - яскравий приклад критичних систем. Необхідний URL може бути знайдений перебором типових файлів і директорій (таких як / admin /), з використанням повідомлень про помилки, журналів перехресних посилань або шляхом простого читання документації. Подібні ресурси повинні бути захищені адекватно важливості їх вмісту і функціональних можливостей.
Недостатня аутентифікація Приклад Багато Web-додатки за замовчуванням використовують для адміністративного доступу посилання в кореневій директорії сервера (/ admin /). Зазвичай посилання на цю сторінку не фігурує у вмісті сервера, проте сторінка доступна за допомогою стандартного браузера.
Авторизація Авторизація -процедура надання суб'єкту певних прав. До основних атак відносять: 1)Передбачуване значення ідентифікатора сесії 2) Недостатня авторизація 3) Відсутність таймауту сесії 4) Фіксація сесії 5)