ОЦЕНКА ЗАЩИЩЕННОСТИ ИНФОРМАЦИИ ИНТЕРНЕТ - МАГАЗИНОВ

На сегодняшний день считается актуальным то, что Интернет – магазин   представляет собой одну из составляющих коммерческой фирмы.  Ссылаясь на данные, приведенные американской корпорацией по разработке программного обеспечения в области информационной безопасности и защиты информации  Symantec, больше 30% хакерских атак направленны именно на веб-сайты компаний малого бизнеса. Каждый день регистрируются десятки взломов. Многие компании с особым вниманием рассматривают вопросы безопасности, так как современные прогрессивные темпы развития и деятельность в конкурентной среде не оставляют другого выбора. Исходя из всего этого, можно сделать вывод, что данная тема является актуальной. Международная группа Web Application Security Consortium разработала детальную классификацию угроз безопасности веб-серверов, ставящей основной целью  выработку единого языка, так необходимого для взаимодействия специалистам в области безопасности, разработчикам приложений, аудиторам и производителям программных продуктов. В основу этой классификации положены основные направления и объекты атак на веб-приложения. Ими являются:

• Авторизация пользователей в системе;
• Аутентификации пользователей;
• Клиенты веб-приложений;
• Разглашение информации;
• Несанкционированное выполнение кода;
• Логические атаки на сервисы.

Анализ данных исследований проводимых американской компанией   по разработке программного обеспечения в области информационной безопасности и защиты информации  «Positive Technologies», осуществляющих проведение тестов на проникновение и аудит информационной безопасности показывают, что ошибки в защите веб-приложений остаются одним из распространенных недостатков обеспечения информационной безопасности. Уязвимости Интернет-магазинов и корпоративных порталов являются одним из самых распространенных путей реализации атак на web-приложения с целью кражи или уничтожения информации и проникновением в корпоративные информационные системы.

Согласно данным компании «Positive Technologies», чаще всего выделяют следующие виды угроз:

• SQL — инъекции;
• Межсайтовое кодирование (XSS –атаки);
• Вредоносное программное обеспечение;
• Неправильная конфигурация web-сервера;
• Вызов исключительных ситуаций;
• Вызов исключительных ситуаций;
• Атаки типа «отказ в обслуживании»(DoS-атаки).[3]

Кроме вышеперечисленных видов  можно выделить еще 7 основных типов угроз безопасности интернет-магазина:

• Мошенничество с электронными платежами;
• Похищение базы данных клиентов (для снятия денег с их счетов, передачи конкуренту и т. д.);
• Вмешательство в процесс работы магазина (перенаправление потока клиентов на другие ресурсы, дефейсинг (замена главной страницы интернет-магазина на другую страницу, выгодную мошеннику и т. д.);
• Внесение злонамеренных изменений в каталог товаров;
• Внедрение вредоносного кода в страницы магазина (для кражи реквизитов кредитных карт, создания сети зараженных компьютеров и т. д.);
• Появление «сайта-паразита», использующего ресурсы и известность магазина, что приводит к замедлению его работы и снижению его места в поисковой выдаче
• Вывод магазина из строя путем прямого вмешательства, осуществления DDoS-атак (направление многочисленных запросов на сайт магазина, приводящих к остановке его работы) и т. д.[4]

Результатом успешной реализации угроз безопасности Интернет-магазина можно считать уничтожение или утечку конфиденциальных данных (коммерческую информацию, сведения о покупателях), заражение вредоносным программным обеспечением системы и в последующем компьютеры пользователей, недоступность клиентов к web-приложению. Исходя из вышесказанного, возникает необходимость в использовании средств и методов защиты информационных ресурсов Интернет - магазина от несанкционированного доступа. Таким образом, можно сделать вывод, что обеспечение информационной безопасности Интернет-магазина – это не только одно из важных требований успешного ведения электронного бизнеса, но и фундамент доверительных отношений между клиентом и кампанией. Обезопасить Интернет - магазин от всевозможных угроз и неприятностей можно за счет:

• оптимального выбора системы управления контентом сайта (CMS система);
• использования  достаточно надежного хостинга;
• применения необходимого серверного программного обеспечения;
• своевременных мероприятий,  минимизирующих  возможность появления непредвиденных проблемных ситуаций на веб - сайтах.

Остановимся подробнее на CMS -системе управления содержимым (контентом). CMS принято считать компьютерной программной или информационной системой, используемой для организации и обеспечения процесса по совместному созданию, управлению и редактированию содержимого сайта.[1] На данный момент нет четкой и единой классификации CMS систем, но это не мешает выделить лидеров рынка в данной области. Ниже приведены несколько самых известных систем, без выделения сильных и слабых сторон.   

• Joomla - (самая противоречивая система) – современная среда, постоянно обновляющаяся, представляющаяся бесплатно и достаточно простая в разработке и использовании;
• Drupal - (для разработки сайтов с нуля) - это полноценная функциональная среда для разработки и создания всевозможных сайтов, представляющаяся   бесплатно и имеющая гибкие возможности;
• MODx - достаточно современная среда, являющаяся  чрезвычайно гибкой и эффективной, при этом поставляется безвозмездно, но и порог вхождения в число разработчиков на этой CMS несколько выше, чем у других систем;
• 1C Битрикс – современная среда, разработанная от 1С, в которой можно найти различные редакции от простой до портальной, при этом стоимость её значительно отличается от версии к версии. Она позволяет автоматизировать процесс поиска и установки обновлений, содержит в себе модуль проактивной защиты, содержащий комплекс мероприятий, предназначенных для защиты интернет - ресурса и различных приложений.
• WordPress, DLE, Koobi, и многие другие.

Специалисты советуют  использовать более распространённые CMS, в этом случае вероятность того, что уязвимости в них уже обнаружены и закрыты несколько выше. Наиболее лучшей считается та система, которая развивается.

Если разработчики прекратили развивать систему, то существует вероятность того, что вновь обнаруженная уязвимость не будет вовремя исправлена.

Так же необходимо следить за всеми обновления CMS, ориентированными на её безопасность и своевременно устанавливать эти обновления.

Кроме того, следует тщательно изучить рекомендации хостинг-провайдера по безопасности и следовать им. Залог успешной работы  - это надежный хостинг.  Остановимся подробнее на его выборе. Хостинг – это услуга по предоставлению серверного пространства и вычислительных мощностей для размещения и обслуживания сайта. [ 2]   Место хранения файлов веб – сайта называют серверным пространством. Под вычислительными мощностями подразумевается программное обеспечение, обрабатывающее эти файлы и тем самым обеспечивая правильную работу сайта. Все современные хостинги, в основном, предоставляют в базовом пакете MySQL и PHP обработчик, что позволяет работать с PHP-скриптами.  Существует две разновидности хостингов: платные и бесплатные, плюсы и минусы которых не будут озвучены в этом разделе.  Подведем итог и огласим, что если планируется заниматься всерьез сайтом, то предпочтение следует отдать в пользу платного хостинга.

Список литературы:

1. ДИНАМИЧЕСКИЕ WEB-САЙТЫ [Электронный ресурс]. – Режим доступа: http://megaobuchalka.ru/3/25589.html (дата обращения: 19.06.17)
2. Интернет технологии [Электронный ресурс]. – Режим доступа: http://www.studfiles.ru/preview/2848324/  (дата обращения: 19.06.17)
3. Основные типы угроз безопасности Интернет - магазина [Электронный ресурс]. – Режим доступа: http://globaltrust.ru/ru/uslugi/audit-informacionnoi-bezopasnosti/proverka-zaschischennosti-internet-magazina (дата обращения: 19.06.17)
4. Пентест интернет-магазина ─ специальное предложение от компании GlobalTrust Solutions [Электронный ресурс]. – Режим доступа:  http://club.cnews.ru/blogs/entry/pentest_internetmagazina (дата обращения: 19.06.17)