ОБЗОР УГРОЗ БЕЗОПАСНОСТИ WEB-ПРИЛОЖЕНИЙ

WEB-APPLICATION SECURITY THREATS

Nicolay Eliseev

the Institute of Service, Tourism and Design (Branch of North-Caucasus Federal University) in Pyatigorsk Undergraduate of the Department of Information Security, Systems and Technologies

Russia, Pyatigorsk

Sergey Fyodorov

the Institute of Service, Tourism and Design (Branch of North-Caucasus Federal University) in Pyatigorsk Undergraduate of the Department of Information Security, Systems and Technologies

Russia, Pyatigorsk

Oleg Antonov

the Institute of Service, Tourism and Design (Branch of North-Caucasus Federal University) in Pyatigorsk Undergraduate of the Department of Information Security, Systems and Technologies

Russia, Pyatigorsk

АННОТАЦИЯ

WEB-приложения становятся всё более популярны во всех сферах деятельности человека и начинают использовать все больше приватных данных, что неизбежно приводит к ряду проблем в области безопасности. Для решения данных проблем был сформирован международный проект по обеспечению безопасности WEB-приложений (OWASP).

ABSTRACT

WEB-applications are getting more and more popular in every field of human activity, thus grows the use of private data, which inevitably leads to series of security problems. On that matter the international initiative called OWASP was formed to ensure security for WEB-applications.

Ключевые слова: web; web-приложение; угрозы информационной безопасности, OWASP.

Keywords: web; web-application; information security threats, OWASP.

Развитие глобальной сети интернет и увеличение доступности ресурсов в ней, привело к расширению спектра задач, решаемых с использованием WEB-технологий. В связи с этим получил распространение особый вид приложений — WEB-приложения, от которых напрямую зависит функционирование бизнес-процессов многих организаций.

WEB-приложение — это клиент-серверное приложение, где в качестве клиента выступает браузер, который отображает пользовательский интерфейс, формирует запросы к серверу и обрабатывает ответы от него. А серверная часть представляет собой WEB-сервер, обрабатывающий запросы клиентов. Взаимодействие между клиентом и сервером, как правило, осуществляется посредством протокола HTTP[1]. Архитектура WEB-приложений имеет три уровня[2], которые показаны на рисунке 1.

Рисунок 1. Архитектура WEB-приложения

Основными особенностями, повлиявшими на распространение WEB-приложения являются:

1. Доступность — данный вид приложений не привязан к определенному терминалу или локальной сети, доступ может осуществляться из любой точки Земного шара, где присутствует соединение с Интернет.
2. Кроссплатформенность — клиенту достаточно иметь браузер, соответствующий стандартам, а операционная система и тип устройства не имеют никакого значения.
3. Не требует установки и настройки отдельного приложения на клиентском устройстве.
4. Автоматическое обновление — клиент всегда работает с самой актуальной версией приложения, т. к. все обновления происходят на стороне сервера.

Но в тоже время в процессе эволюции WEB-приложений разработчики сталкивались с рядом проблем, среди которых особняком стоит проблема безопасности WEB-приложений. Проблемы безопасности вытекают из основных особенностей WEB-приложений, например, из-за невозможности изолировать WEB-приложение от попыток несанкционированного доступа извне в виду их доступности.

Актуальность проблем безопасности WEB-приложений подкрепляется тем, что в них используется конфиденциальная информация, а также осуществляются бизнес-процессы компании, например:

• хранение и обработка персональные данных сотрудников и клиентов;
• сведения о финансовых операциях компании;
• сведения, составляющие коммерческую тайну;
• сведения о взаимодействии, а также взаимодействие с клиентами компании;
• взаимодействие между сотрудниками и отделами;
• другие сведения и процессы, зависящие от рода деятельности компании[2].

В связи с этим среди разработчиков появились рекомендации, к обеспечению безопасности WEB-приложений, которые вылились в проект под названием: Open Web Application Security Project (OWASP).

OWASP – это открытый проект обеспечения безопасности WEB-приложений, который включает в себя корпорации, образовательные организации и индивидуальных разработчиков, которые совместными усилиями формируют статьи, рекомендации и учебные пособия, находящиеся в свободном доступе и рекомендуемы при разработке WEB-приложений. Также проект включает в себя ряд тренировочных задач и инструменты для анализа безопасности WEB-приложений.

OWASP на протяжении всего своего существования занимается изучением наиболее опасных уязвимостей и ежегодно публикует отчет. Рассмотрим наиболее опасные угрозы безопасности WEB-приложений, согласно исследованиям OWASP Top 10 - 2017 [3]:

1. Инъекции (Injection) — внедрение в запросы к базе данных кода, дополняющего данный запрос и дающего злоумышленнику неавторизованный доступ к базе данных.
2. Уязвимости аутентификации (Broken Authentification) – распространенная уязвимость, связанная с недостаточно проработанной системой валидации пользователей в приложении, приводит к получению неавторизованного доступа.
3. Незащищенность важных данных (Sensitive Data Exposure) — многие приложения не используют механизмов для защиты передаваемых данных, таких как, например, HTTPS.
4. Внедрение внешних сущностей в XML (XML External Entities) — вид инъекции, основанный на внедрении в XML-запрос к серверу  атрибутов и сущностей, позволяющих получить неавторизованный доступ к данным.
5. Небезопасный контроль доступа (Broken Access Control) — уязвимость в методах авторизации, позволяющие злоумышленнику получить повышенные привилегии.
6. Небезопасная конфигурация (Security Misconfiguration) — WEB-приложение — это сложная система, состоящая из многих компонентов, таких как WEB-сервер, СУБД и др. Неверная конфигурация одного из компонентов может привести к серьезным проблемам с безопасностью всего приложений.
7. XSS(Cross-Site Scripting) – внедрение (инъекция) вредоносного кода в HTTP-ответ, получаемый клиентом и выполняющийся на стороне клиента.
8. Небезопасная десериализация (Insecure Deserialization) — десериализация преобразует последовательность бит в структурированные данные, зачастую на данном этапе не уделяется достаточно внимания безопасности, например, отсутствует валидация типов данных, что приводит к их подмене.
9. Использование компонентов с известными уязвимостями (Using Components with Known Vulnerabilities) — зачастую при разработки WEB-приложений используются библиотеки, фреймворки и компоненты сторонних разработчиков, которые могут содержать различные недостатки (уязвимости), в связи с этим важно использовать самые актуальные версии, в которых исправляются известные уязвимости.
10. Недостаточное журналирование и мониторинг (Insufficient Logging&Monitoring) — для своевременного обнаружения несанкционированного доступа, утечки информации и т. д., необходимо использовать средства автоматизированного мониторинга трафика, а также журналирования, которые помогут понять сущность атаки и разработать в кратчайшие сроки устранить уязвимости, а также вернуть работоспособность и состояние WEB-приложений.

Данный список уточняется OWASP в соответствии с развитием модели поведения нарушителя и актуальности той или иной проблемы безопасности WEB-приложений. Но к сожалению некоторые уязвимости (например, SQL-инъекции) находятся на вершине списка долгое время, хотя уже давно разработаны методы, закрывающие данную уязвимость. Это связано с тем, что не всегда разработчики уделяют достаточно внимания безопасности WEB-приложений.

В результате можно сформировать рекомендации для повышения безопасности WEB-приложений:

• необходимо ознакомиться и следить за обновлениями документов OWASP;
• использовать методологии тестирования WEB-приложений, направленные на поиск уязвимостей (например, OWASP Testing Project);
• регулярно обновлять программное обеспечение WEB-сервера;
• следить за корректной настройкой сетевых устройств, служб и программного обеспечения;
• следить за обновлениями используемых в приложении фреймворков и библиотек, и своевременно устранять найденные в них уязвимости;
• использование протоколов с шифрованием (HTTPS);
• повсеместное использование средств обнаружения атак, мониторинга активности, журналирования и системы транзакций.

Данные рекомендации позволят значительно повысить уровень безопасности WEB-приложений, что приведет к снижению рисков компаний при использовании WEB-приложений.

Список литературы:

1. Вора П. Шаблоны проектирования веб-приложений / П. Вора – М.: Эксмо, 2011, – 870с.
2. Пьюривал С. Основы разработки веб-приложений / С. Пьюривал – СПб.: Питер, 2015, – 272с.
3. OWASP Top 10 - 2017 The Ten Most Critical Web Application Security Risks. https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf (дата обращения: 15.12.2017)