Защита web-приложений от угроз

В данной дипломной работе был произведён анализ рабочего web-приложения, на основе которого был выработан комплекс организационных мероприятий направленных на обеспечение его защиты от наиболее актуальных угроз. ...

Введение 3

Глава 1. Описание основных угроз web–приложениям 7
1.1. Описание и перечень основных угроз web-приложениям 7
1.2. Современная статистика реализации различных угроз web-приложениям 44
1.3. Методы, противодействия основным угрозам web-приложений 50
Выводы 58

Глава 2. Реализация противодействия угрозам web-приложений 59
2.1. Характеристика исходного состояния web-ресурса 59
2.2. Оценка риска нанесения ущерба от еализации угроз web-приложения 69
2.3. Применение организационных мероприятий для обеспечения защиты информации web-приложения 75
Выводы 81

Глава 3. Оценка эффективности проведённых мероприятий 82
3.1. Оценка эффективности работы web-приложения после проведённых мероприятий 82
3.2. Переоценка возможного ущерба web-приложению после ввода организационных методик защиты информации 84
3.3. Рекомендации по дальнейшей эксплуатации web-ресурса 85
Выводы 88

Заключение 89

Литература 91

В современную эпоху обычные приложения начинают постепенно уходить на второй план, уступая своё место более новым стремительно ос-ваиваемым web-приложениям. С каждым днём их появляется всё больше, ровно как и усиливается зависимость от них людей. Интернет магазины, социальные сети, интернет-банкинг и многое другое плотно проникли в ин-формационные сети, постепенно усиливая своё влияние. Разумеется, что с ростом значимости web-приложений постепенно начал расти и список все-возможных угроз, которые могут нанести тот или иной ущерб web-ресурсу.
С каждым годом публикуются всё новые и новые сведения о росте количества случаев реализации угроз на web-приложения, некоторые из которых приводят ошеломительные цифры утверждающие, что 99% всех web-приложений содержит в себе ту или иную уязвимость, а среднее количество уязвимостей на одно web-приложение приравнивается к трём.
Уже несколько лет, как множество компаний стремятся тем или иным образом обеспечить защиту своих web-приложений, и примерно столько же существуют другие компании, которые продают свои решения касающиеся защиты web-приложений. Эти компании и составляют тот костяк, который ежегодно публикует новые сведения о текущем положении дел с защитой web-приложений, пишут классификации угроз и уязвимостей, оценивают риски от реализации той или иной угрозы и объединёнными усилиями повышает осведомлённость данной проблемы в обществе.
Однако, несмотря на всё это, ситуация с web-приложениями в Российской Федерации обстоит из рук вон плохо. Большинство компаний если и использует какую-либо защиту, то лишь потому, что уже когда-то столкнулось с другими уязвимостями на пути своего развития. Это хорошо заметно по расхождениям в публикуемых значениях статистики обнаруженных угроз компанией Positive Technologies и её западными коллегами. Разница некоторых показателей порой отличается больше чем в два раза. Конечно, несправедливо говорить, что данные показатели получаются только из-за низкого уровня развития информационной безопасности в России, тут играет роль количество клиентов и методики анализа, однако даже такое условное сравнение позволяет примерно оценить текущую ситуацию в данном сегменте информационной безопасности. Так же определённый намёк на отсутствие уверенного спроса касаемо угроз web-приложений даёт факт отсутствия рус-скоязычного перевода новой классификации угроз выпущенной в 2010 году членами Web Application Security Consortium (WASC) взамен устаревшей версии 2004-го года, по которой до сих пор ведётся большинство работ по данной области в РФ.
Однако, для снижения вероятности осуществления любой угрозы, возможно применение самых различных методик. В том числе, организационных методик защиты информации, которые будут исследоваться в данной курсовой работе с точке зрения обеспечения надёжной защиты web-приложению.
Темой данной дипломной работы является «Организационные методы защиты информации при использовании web-приложений»
Данная тема была мною выбрана по причине её актуальности и наличия в ней определённой перспективы развития такого аспекта защиты информации, как организационная защита, в области web-приложений. Помимо этого, данная тема открывает новый угол зрения, способствующий пониманию некоторых неявных аспектов действия существующих угроз, при том не только в рамках web-приложений, но и защиты информации в целом. Ведь с каждым новым взглядом, брошенным с разных углов на одну и туже проблему, создаётся всё более полная картина.
............................................................................................................................................................................................................................................................................................

В случае отказа в доступе к запрашиваемой странице, данная страница не будет проиндексирована роботом, а товар может быть исключён из каталога.[14]В классификации 2004 года угроза злоупотребления массивами SOAP (SOAP Array Abuse) включалась в состав DOS-атак, однако в новой версии списка угроз web-приложениям она была выделена в отдельную категорию. Подобная атака, реализуется за счёт свойств массивов создаваемых в протоколе обмена структурными сообщениями SOAP (Simple Object Access Protocol). Данные массивы имеют многомерную структуру и являются довольно ресурсоёмкими для сервера, чем пользуются злоумышленники, организуя свою атаку, путём создания запроса на генерацию массива из большого числа элементов.[15]Другой новой угрозой в списке угроз 2010-го года применяющейся для осуществленияDOS-атак является переполнение атрибутами XML (XML Attribute Blowup). Данная атака нацелена на web-приложения обрабатывающие XML документы в малоэффективной манере, что может быть использовано злоумышленником. Для осуществления такой угрозы, требуется составить XML документ, содержащий в себе контейнер с большим количеством параметров, обработка которых займёт сравнительно большой объём времени.Есть и другой способ применения XML для совершения DOS-атаки, основы которого заложены в угрозу экспансии XML сущностей (XML Entity Expansion). В этом случае, злоумышленник, используя DTD (Document Type Definition), создаёт большое множество сущностей с чрезмерно большими значениями, которые впоследствии вызываются, что должно будет вызвать DOS-атаку. Для этих целей достаточно удобно использовать рекурсию, что существенно сократит сам объём XML кода. В категорию уязвимостей недостаточного уровня противодействия автоматизации (Insufficient Anti-automation) входят слабые элементы web-приложения, которые не были защищены от автоматического выполнения разнообразных действий злоумышленника, что может быть использовано злоумышленником для запуска на нём своего автоматизированного робота. Подобные уязвимости возникают в случаях, когда на web-сервер возможно осуществить атаку при помощи специальных программных средств, непрерывно выполняющих заложенную последовательность действий. Однако следует помнить, что не все автоматические действия, выполняемые на web-приложении, являются злонамеренными и могут послужить плацдармом для реализации угрозы. К таковым могут относиться поисковые роботы, работа которых позволяет проиндексировать web-ресурс в поисковых системах. Из-за этого ориентировка на полное исключение работы роботов, на web-ресурсах, как правило, является недальновидной.В данной ситуации, программные средства лишь ускоряют работу злоумышленника, т.к. он применяет всё тот же функционал что и обычный пользователь. Типичными примерами использования автоматизированных программ и систем, являются методики их применения для автоматического поиска и анализа уязвимостей web-приложения. Также широко применяются варианты массового захламления web-ресурсов (в основном форумов) ненужной или спамерской информацией или многократное штампование и регистрация учётных записей пользователей.Другой уязвимостью данной группы, среди выявленных ещё в 2004 году, является недостаточная проверка последовательности прохождения процесса (Insufficient Process Validation). Данная уязвимость способствует угрозам нарушения логики работы web-ресурса, однако предполагает, что web-приложение продолжит свою работу не вызывая внутренних ошибок. Методика действий злоумышленника при реализации атаки на эту уязвимость заключается в самостоятельном контроле и непредусмотренном изменении последовательности предполагаемых процессов работы ресурса. Целью подобных угроз становятся всевозможные многоэтапные процессы, предполагающие разнообразные действия пользователя. Если злоумышленник способен каким-либо образом изменить эту последовательность, он получает возможность обрести весь список привилегий, доступных пользователям прошедшим всю цепочку действий авторизации.Данная уязвимость проявляется, если для проверки выполнения требуемой последовательности действий применяется скрытое поле, значение файла cookie или любые другие данные, доступные для редактирования злоумышленником, которые впоследствии обрабатываются web-сервером, без проведения проверки соответствия этих данных действительности.Такие уязвимости обычно используют для:Осуществления регистрации на платных web-ресурсах.Получения дополнительных скидок в Интернет-магазинах.Восстановления паролей.Другой уязвимостью, способной повлечь серьёзные последствия являются неправильно заданные права файловой системы (Improper Filesystem Permissions). Под данной уязвимостью понимается такая настройка web-сервера, при которой может быть осуществлена угроза по нарушению одного из свойств информации (конфиденциальность, целостность или доступность) за счёт неправильно розданных привилегий и прав. В данной ситуации злоумышленник может получить доступы к важной конфиденциальной информации, либо изменить или удалить её.Также достаточно важной чертой работы сервера является отсутствие уязвимостей неправильной обработки ввода (Improper Input Handling). Наличие данной уязвимости, в каком-либо её варианте, создаёт огромную брешь в защите сайта, через которую может быть осуществлена большая часть угроз, описанных в данной дипломной работе. Неправильная обработка ввода заключается в отсутствии или недостаточной проработанности механизмов, обеспечивающих проверку и обработку данных вводимых пользователем, с которыми, впоследствии, будет осуществлять работу web-сервер. Под такой обработкой, как правило, подразумевается:Валидация – предполагает проверку на безопасность и правильный синтаксис вводимого выражения.Канонизация – представляет ряд действий, которые должны производиться над вводимой информацией для приведения её к нужному формату данных.Фильтрация – производит проверку наличия в составе вводимых данных только разрешённых символов и их комбинаций, а также отсутствие запрещённых.Зашифровка и дешифровка данных – составляет комплекс мероприятий для обеспечения надёжного хранения и передачи информации пользователя.Большинство из этих функций обработки также предусматривает внутреннее деление на подтипы, однако данной классификации вполне достаточно для определения угроз и уязвимостей которые их вызывают.Подобные механизмы заложены и в другую уязвимость, выделенную в классификации 2010-го года, под названием неправильная обработка вывода (Improper Output Handling). Однако данную уязвимость образуют только те механизмы, которые не осуществляются должным образом, либо не производятся вовсе на этапе передачи информации из web-сервера пользователю. К обработке данных вывода принято причислять процедуры фильтрации и обработки.Перечисленные в данном параграфе группы и подгруппы угроз и уязвимостей представлены в наиболее развёрнутом варианте. Большинство из них возможно скомпоновать и объединить с другими подгруппами угроз, а некоторые и вовсе являются не большим частным случаем или исключением. Однако подобное разделение является весьма выгодным ввиду возможностей получения иного взгляда на осуществления атаки на схожие уязвимости, но с совершенно иными намерениями. Подобное не редко помогает специалистам по информационной безопасности построить наиболее приближенную к реальной обстановке модели угроз и нарушителей. Информация, о наиболее часто используемых видах угроз, а также средствах и методиках, применяемых к их противодействию, будет приведена в следующих двух параграфах.[2][5][16]1.2. Современная статистика реализации различных угроз web-приложениямВ современных условиях построения сетевой информационной безопасности, а в частности, защищённых web-приложений, сложно оперировать какими-либо реальными статистическими данными ввиду их приблизительных показателей. Многие угрозы, при недостаточном уровне подготовки администратора web-приложения, рискуют так и остаться не обнаруженными. Даже если сам факт воздействия злоумышленника на ту или иную уязвимость всё же был установлен, владельцы не всегда выказывают желание разглашать о важных упущениях в их продуктах. Большинство предпочитают сохранить репутацию web-ресурса, чем получить отток потенциальных клиентов за счёт собственной честности. Как правило, подобные официальные признания следуют только после крупных утечек информации, которые, так или иначе, станут известны пользователям по прошествии определённого времени. Вследствие вышесказанного, становится затруднительно провести точный анализ сложившейся ситуации в отношении угроз web-приложениям, а подобные статистики носят ориентировочный характер на основе проводимых тестов и исследований имеющихся на web-ресурсе уязвимостей.Некоторые из этих статистик не учитывают все группы и подгруппы угроз из предыдущего параграфа, из-за чего полная картина сложившейся ситуации может сложиться только путём проведения анализа всех имеющихся исследований.Согласно статистике, приведённой в отчётах и публикациях компанией Cenzic-Application, занимающейся разработкой и продажей соответственных решений для обеспечения защищённости web-приложений, в 2012 и 2011 году сложилась ситуация отражённая на рисунке 2.Рис. 2. Статистика защищённости CenzicИз диаграммы видно, что в 2012 году резко возросло количество атак основанных на межсайтовом выполнении сценариев (XSS). Данной уязвимостью подвержено примерно 34% web-приложений. Уязвимости, касающиеся утечек информации, заметно снизились и составляют 16% ровно как и уязвимости касающиеся атак по перехвату сессии пользователя (спектр уязвимостей в которые входят слабые алгоритмы генерации кода сессии и большой срок действия одной сессии). Уязвимости, допускающие внедрение SQL запроса составляют 6% web-приложений. Остальные перечисленные в графике угрозы являются замысловатыми переплетениям из разнообразных атак на уязвимости. Более того, согласно исследованиям данной организации более 99% современных web-приложений содержат в себе какую-либо уязвимость. Средним арифметическим количеством уязвимостей на приложение является 13, что на 3 меньше чем в 2011 году.[17]Для полноты картины требуется привести подобную статистку от другой компании, на этот раз занимающуюся непосредственно исследованиями в области Российской защиты информации, что предполагает более актуальный для строны подход к сведениям, чем исследования проведённые зарубежной компанией. Для этих целей в данном параграфе рассматривается статистика компании Positive Technologies, а также экспертиза исследовательского центра Positive Research (см. рис. 3). К сожалению, на дату составления данной дипломной работы эта компания ещё не опубликовала отчёт за прошедший год, поэтому в статистике будут использованы данные за 2011 год.Рис. 3. Диаграмма PTПо данным этих специалистов, 100% из всех исследованных 123 web-приложений содержали в себе уязвимости. Из них, 64% web-ресурсов содержали в себе уязвимости высокого уровня риска, 98% среднего и только 37% низкого.Из данной диаграммы сразу видны некоторые отличия по сравнению с той, что приводилась ранее. Большинство из данных в процентном соотношении более чем в два раза выше, чем те, что представили их зарубежные коллеги. Вероятно, это в первую очередь происходит из-за разницы в объектах исследования. Cenzic Managed Security team, не описывает методики, которыми они основываются для составления статистики и отчёта, однако можно предположить, что они в первую очередь основываются на данных предоставляемых их клиентами, которые ввиду высокого уровня зрелости своей информационной инфраструктуры, заранее предусматривают прикрытие тех или иных уязвимостей, ещё на начальных стадиях создания web-приложения. Что касается статистики Positive Technologies, то она более адаптирована под российский рынок и в ней, в качестве тестируемых web-приложений, применяются ресурсы из различных отраслей экономики, что делает данное исследование более усреднённым. К тому же, так как уровень информационной зрелости в Российской Федерации сравнительно низкий, количество обнаруженных угроз web-приложениям является гораздо более высоким, чем количество найденных угроз их западными коллегами. Данная статистика, в свою очередь, в качестве лидера по уязвимостям и угрозам web-приложения признаёт CSRF, которое обнаружилось в 61% исследованных приложений. Второе место, по-прежнему занимают утечки информации, с 54%. На третьем с 52% обнаружений находятся угрозы перебора. Угрозы по внедрению SQL запросов и недостаточного противодействия автоматизации обнаружились в 47 и 42 процентах исследованных приложений соответственно. Интересно, что межсайтовое выполнение сценариев XSS, находившееся на первом месте, занимает примерно ту же позицию, что и CSRF в исследованиях Cenzic. Оно встречается в 40% web-приложений. Скорее всего, это связано с относительно недавним появлением разновидностей этих двух типов угроз и нет чёткой схемы причисления угроз к той или иной классификации. Следом идут угрозы предсказуемого расположения ресурсов (36%), выполнение команд операционной системы (28%), прослеживания обратного пути в директориях (28%) и угрозы недостаточной защищённости транспортного канала (22%).Помимо перечисленных данных, Positive Technologies также предоставляет ряд других любопытных сведений, которые полезно знать для понимания степени угроз, а так же их источников. К таким данным относится:анализ степени рисков от реализации имеющихся на сайте угроз;распределение количества web-ресурсов по использованному языку программирования, а так же основные уязвимости, связанные с их использованием;использование различных web-серверов и их основных уязвимостей.Из перечисленных сведений наибольший интерес для данной работы представляют сведения об уровне рисков реализации угроз, которые оценивались в соответствии с открытым стандартом Common Vulnerability Scoring System (CVSS), эти данные представлены на рисунке 4.Рис. 4. Уровень рисковСогласно данной статистике, больше половины web-приложений содержит уязвимости высокой степени риска (64%), а средний уровень риска имеют практически все web-приложения (98%). Уязвимости низкого уровня риска имеют только 37% web-приложений. Причём, если согласно данным анализа, можно утверждать о незначительном падении количества уязвимостей высокого уровня риска, то количество других уязвимостей заметно выросло в соотношении 2010 и 2011 годов. [18]Последняя статистика будет приведена для примера того, как сильно отличаются исследования этой области у разных компаний (см. рис. 5).Рис. 5. Данные WhiteHat SecurityВ данной статистике прослеживаются общие тенденции реализации различных угроз web-приложениям, относительно исследований их основных конкурентов. Данная информация опубликована компанией WhiteHat Security, в соответствии с которой в 2011 году 79% web-приложений были подвержены тем или иным уязвимостям. Однако следует иметь в виду, что эта компания специализируется по уязвимостям, которым характерен высокий уровень риска, из-за чего проведённый ими анализ в первую очередь ориентирован на наиболее опасные угрозы, чем на общую статистику реализации угроз. [19]В целом, на основании этих трёх статистик, несмотря на некоторую их противоречивость, возможно сделать выводы о существующем положении дел касаемо уязвимостей и угроз web-приложениям. Однако, для подведения общей черты и определения ориентировки дальнейшей работы, требуется вывести окончательную статистику угроз web-приложениям. Такую статистику можно создать путём объединения общедоступных сведений о различных угрозах и уязвимостях, которые предоставляют перечисленные раннее компании, а также ряд их конкурентов (см. рис. 6).[5]Рис. 6. Итоговая статистикаДанные, представленные на данном графике, будут применяться для определения основных направлений защиты web-приложения в следующих параграфах. В целом же, статистика демонстрирует, что следует уделять внимание не только самим угрозам web-приложения, но и способствующим им уязвимостям, таким как утечка информации.1.3. Методы, противодействия основным угрозам web-приложенийКак бы не старался администратор web-ресурса, однако полностью нейтрализовать все существующие угрозы, в не зависимости от того идёт ли речь о web-приложении, web-сервере или обычном документе – невозможно. Так или иначе, однако, администраторам web-приложений остаётся только принять данный факт и распределить свои ресурсы и возможности на максимальное снижение имеющихся угроз, стараясь при этом не нарушить работы самого web-приложения или открыть для злоумышленников других угроз.В данном, последнем разделе теоретической части дипломной работы приведены те средства методы и действия, которые рекомендуются для снижения вероятности осуществления основных угроз web-приложениям. Надо иметь в виду, что существует всевозможное множество методов не только по реализации одной отдельной угрозы (а тем более совокупности угроз), но и по их нейтрализации. При этом каждый возможный метод невозможно рассматривать как единственно верный, из-за чего приходится учитывать большое число разносортных факторов для выбора наиболее подходящей методики. Для начала, следует уточнить, что любая угроза, сколь бы сложной она не была, берёт своё начало от вызывающих или способствующих ей уязвимостей. По этой причине самым эффективным методом по снижению вероятности осуществления угрозы является устранение основных уязвимостей web-приложения.Первое, с чего следует начать для обеспечения защиты, является составление модели угроз, которым подвержено данное web-приложение на основе имеющихся, на web-ресурсе уязвимостей способных обеспечить успешную атаку. Что касается модели нарушителя, составление которой также рекомендуется для обеспечения защиты информации, то оно представляется актуальным, только если приложение выложено на локальном сервере доступ, к которому имеют лишь ограниченный круг лиц. В реальных условиях, когда доступ к web-приложению осуществляется через Интернет, данная модель теряет всякий смысл, ведь в качестве потенциального нарушителя может быть кто угодно, и следует заранее предполагать самый худший вариант, заключающийся в том, что нарушителем окажется профессиональный хакер либо пользователь, получивший максимальные права.После того как спектр основных уязвимостей намечен, производится формирование и применение контрмер, которые легко вывести на основе существующих методик.Для перекрытия уязвимостей связанных с авторизацией пользователя с использованием его идентификатора сессии можно воспользоваться строгой системой проверки подлинности. Данная методика, в основном, заключается в использовании надёжных механизмов проверки логина и пароля учётной записи, а также присущих пользователям идентификаторов сессии. Помимо этого, немаловажным аспектом является защищённое хранение пользовательских данных как на сервере так и в компьютере пользователя. Особое внимание следует уделять файлам Cookies, в которых хранение подобной информации настоятельно не рекомендуется.Что касается защиты от утечки информации в web-приложениях, то наиболее эффективные методы для защиты от данной уязвимости основываются на её надёжном хранении, а также в тщательной проверке доступной пользователям информации. Для обеспечения безопасного хранения информации возможно прибегнуть к различным доступным средствам шифрования и криптографической защиты. В первую очередь, подобные меры необходимы к применению в механизмах web-приложения обрабатывающих пароли или другие сведения необходимые для получения доступа к аккаунту. Также, по возможности, необходимо строго ограничить доступ пользователей к данной информации, либо создать специальные группы пользователей для разграничения прав различных учётных записей.