Факультет информационных технологий

Введение

• 
  Википедия. Многоязычный проект по созданию полноценной и точной энциклопедии со свободно распространяемым содержимым. Представляет собой базу справочной информации с предоставлением практически каждому пользователю возможности редактировать данные.
  
• 
  Сайты совместного документопользования. Подобные сервисы дают пользователям возможность одновременного и совместного использования документов – можно создавать, изменять, удалять информацию, доступную для общего пользования..
  

Технологии

AJAX

Веб-службы

• 
  XML: Расширяемый язык разметки, предназначенный для хранения и передачи структурированных данных;
  
• 
  SOAP: Протокол обмена сообщениями на базе XML;
  
• 
  WSDL: Язык описания внешних интерфейсов веб-службы на базе XML;
  

RSS/Atom

Mash-up

• 
  Провайдер содержимого — это источник данных. Данные доступны через API и различные веб-протоколы, такие как RSS, REST и веб-сервисы.
  
• 
  Мэшап-сайт — это веб-приложение, предлагающее новый сервис, использующий не принадлежащие ему источники данных.
  
• 
  Браузер клиента — собственно пользовательский интерфейс мэшапа. В веб-приложениях содержимое может быть «замэшаплено» клиентским браузером с использованием клиентского языка программирования, например JavaScript.
  

Уязвимости

XSS (Сross Site Sсriрting )

Описание

Каналы внедрения

1. 
   Отсутствие фильтрации HTML-тегов в сообщениях пользователей. Некоторые ресурсы (например, форумы, блоги, т.д.) позволяют пользователю использовать html-теги в сообщениях. В случае недостаточной фильтрации злоумышленник может вставить тег с вредосным скриптом.
   
2. 
   Отсутствие фильтрации атрибутов и их значений разрешённых тегов. В случае недостаточной фильтрации позволяет злоумышленнику вставлять в атрибуты html-тегов javascript-код, например http://example.com/some “ onmouseover=”javascript:doSome()” />
   

Последствия внедрения

1. 
   Кража Cookies. Кража cookies является наиболее частым способом использования XSS. Cookie могут содержать важные данные (например, идентификатор активной сессии) Внедряемый скрипт, имея доступ к cookie, может передать их на другой сайт, например, при помощи следующей конструкции:
   

2. 
   Кража данных их форм
   

3. 
   DDOS-атака
   

4. 
   XSS-черви
   

Методы защиты

1. 
   Фильтрация пользовательского ввода. Необходимо фильтровать вводимые пользователем сообщения: вырезать все теги, кроме разрешенных, проверять атрибуты тегов и т.д.. Можно запретить html-разметку полностью, заменив ее на альтернативную, например BBCodes (что не избавляет от необходимости проверять атрибуты тегов и т.д.).
   
2. 
   Кодирование в base64. Ден Каминский предложил следующую универсальную схему защиты: введенные пользователем данные кодируются и сохраняются в base64 представлении. Все выводимые на страницу блоки данных изначально поступают в base64-представлении и отображаются через задействование специального JavaScript-враппера, декодирующего base64-строку и выводящего блок в заданную позицию без его интерпретации браузером.
   

Cross-Site Request Forgery

Описание

Схема работы

Методы защиты

1. 
   Проверка заголовка Referer. Referer – один из заголовков протокола HTTP, содержащий url источника запроса. Поскольку подделка HTTP-запросов заключается в передаче запроса с третьего сайта, контроль исходной страницы, чей адрес автоматически добавляется браузером в заголовки запроса, мог бы решить проблему. Но у данного способа есть ряд недостатков:
   
   1. 
      Проблема обработки пустого Referer.  Многие из персональных межсетевых экранов и анонимизирующих proxy-серверов вырезают Referer, как потенциально небезопасный заголовок.
      
   2. 
      Подделка Referer. В некоторых случаях Referer может быть подделан.
      
2. 
   Добавление уникального параметра к каждому запросу, который тем проверяется на сервере. Параметр может добавляться к URL при GET-запросе или в виде скрытого поля формы. Значение параметра может быть произвольным, главное, чтобы злоумышленник не мог его предсказать, например – значение сессии пользователя.
   

Javascript Hijacking

Описание

Классы уязвимых приложений

Реализация уязвимости

Методы защиты

1. 
   Отклонение злонамеренных запросов. C позиции сервера, JS Hijacking-атака выглядит как попытка осуществления CSRF, и защита против CSRF также поможет в борьбе против JS Hijacking. Для того чтобы злонамеренные запросы было легче распознать, каждый запрос должен включать трудный для подбора параметр. Один из способов реализации данного подхода заключается в добавлении идентификатора сессии как параметра в Cookie. Когда сервер получает такой запрос, он может проверить совпадает ли идентификатор сессии с параметром в запросе. Злонамеренный код не имеет доступа к сессии в Cookie (они являются предметом Same Origin Policy), поэтому для атакующего в данном случае нет простого выхода из данной ситуации. Любой другой секретный параметр также может быть использован вместо сессии в Cookie. До тех пор, пока секретный параметр невозможно предугадать, и он появляется в том контексте, который доступен для достоверного веб-приложения и не доступен с другого домена, атакующий не сможет сделать верный запрос.
   
2. 
   Предотвращение прямого выполнения JS ответа. Для того чтобы сделать невозможным для злонамеренного сайта выполнить ответ, который включает в себя JavaScript, приложение клиента может воспользоваться тем, что ему разрешено изменять данные, которое оно получает перед тем как выполнить ответ, в то время как злонамеренное приложение может лишь выполнить его, используя тэг