Уязвимости архитектуры Web-приложений

Сегодня при помощи Internet (интернет) можно за считанные минуты осуществить такие операции: приобрести, почти в неограниченном количестве услуги и товары (автомобили, недвижимость, авиабилеты, книги, компьютерное оборудование и многие другие вещи; провести тяжелые финансовые сделки, в том числе банковские, страховые, биржевые и иные операции; найти исчерпывающую информацию во всех областях знаний; произвести поиск в громадных информационных базах, сразу обнаружив полезные сведения в гигабайтах данных; загружать безграничное количество произведений искусства в цифровом формате (телепередачи, фильмы, музыку и фотографии); просматривать архивы глобальной библиотеки с необычайно большими (и, в основном, бесплатными) фондами различных программных средств — от текстовых процессоров до операционных систем.

Также можно общаться с другими людьми в реальном времени, в каком месте бы они не были в данный момент, причем за мизерную плату или абсолютно бесплатно с помощью основанной на Web электронной почты, телефонии или других дискуссионных средств.

И все это - только начало. В наше время сеть Web постепенно трансформируется в нечто гораздо большее, нежели то, чем она являлась при создании: все время упрощается ее использование, становится проще доступ к ней, все больше и больше ее наполняют данные, с каждой минутой делая ее функциональнее. Ожидаемо, что в будущем сеть Web будет только процветать и расширяться.

К сожалению, быстрое прогрессирование Internet в наше время предопределило еще более трудно досягаемые задачи в обеспечении безопасности, чем когда-либо. Защиту, которую обеспечивают брандмауэры, корректную настройку и обновленные модули операционных систем можно обойти без труда при помощи простейшей хакерской атаки на узел Web-приложения. Несмотря на то, что все эти средства по сей день остаются важнейшими элементами любой структуры системы безопасности, на практике они почти ничего не могут поделать против методов взлома нового поколения, применяемых все чаще с каждым днем.

Какие же компоненты в архитектуре (рис. 1.1) современного Web-приложения наиболее уязвимы по вашему мнению? Если вы скажете: “Все”, — то это значит, что вы хорошо знаете технику провокационных вопросов, ведь ответ правильный на все сто. Приведем краткий список методов взлома, применяющихся обычно к компонентам, представленным на рис. 1.1:

(рис. 1.1) Архитектура современных Web-приложений Интернет-технологии.

Во-первых. Web-клиент. Исполнение активного содержимого, с использованием изъянов клиентских программ, ошибки в создании и разработке сценариев.

Во-вторых. Транспортный уровень. Прослушка данных обмена клиентов и серверов, переадрессация данных, посылаемых по протоколу SSL.

В-третьих. Web-сервер. Уязвимости в ПО Web-cepвepa.

В-четвертых. Web-приложение. Взламывание инструментов авторизации, структуры узла, проверки ввода и логики приложения.

В-пятых. База данных. Исполнение в пакетах запросов к базе данных вредоносных команд, действия с запросами, дающие возможность получить несанкционированный доступ к информации, находящейся в базе данных.

Определив конкретные цели для устранения уязвимостей, Web-разработчики и системные администраторы переходят к, собственно, идентификации и устранению всех вышеперечисленных изъянов безопасности Web-узла.

Понравилась полезная статья? Подпишитесь на RSS и получайте больше нужной информации!

Комментарии

Добавить новый RSS

Оставить комментарий
Имя:
Email:	не уведомлятьуведомлять
Тема:
	Пожалуйста, введите проверочный код, который Вы видите на картинке.

3.26 Copyright (C) 2008 Compojoom.com / Copyright (C) 2007 Alain Georgette / Copyright (C) 2006 Frantisek Hliva. All rights reserved."