Скачать 105.26 Kb.
|
НОВОСИБИРСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ФАКУЛЬТЕТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ Информационнаябезопасность Реферат Уязвимости Web 2.0 Студент группы 8204 Альперин Борис ВведениеВ настоящее время все больше и больше число веб-приложений работают по модели «Web 2.0». Согласно определению Тима О’Рейли, Web 2.0 - методика проектирования систем, которые путём учета сетевых взаимодействий становятся тем лучше, чем больше людей ими пользуются. Появление данного термина принято связывать со статьей «Tim O’Reilly — What Is Web 2.0», в которой автор связывает появление большого числа сайтов, объединённых некоторыми общими принципами, с общей тенденцией развития интернет-сообщества, и назвает это явление Веб 2.0, в противовес «старому» Веб 1.0. «Web 2.0» не является чем-то революционным, а лишь продолжает использовать технологии и концепции «Web 1.0». Ниже перечислено несколько примеров использования подхода web 2.0:
Web 2.0 приложения используют технологии, не применявшиеся в приложениях предыдущего поколения, что обуславливает расширение списка уязвимостей, характерных для web 2.0 приложений. В данном реферате дается обзор распространенных уязвимостей, характерных для web 2.0 приложений, описываются схемы их экплуатации и методы защиты. ТехнологииВ этом разделе перечисляются основные технологии, используемые при применении подхода «Web 2.0». AJAXAJAX ( Asynchronous Javascript and XML — «асинхронный JavaScript и XML») — подход к построению пользовательских интерфейсов веб-приложений, заключающийся в асинхронном обмене данными браузера с веб-сервером. В результате такого омбена, веб-страница обновляется не полностью, а только в необходимых частях. Типичная схема работы ajax-приложения следующая: пользователь выполняет некоторое действие (например, щелчок на кнопке), вывается обработчик данного действия, который посылает запрос на сервер. Сервер обрабатывает ответ и возвращает результат, который затем интерпритируется обработчиком (например, обработчик может обновить страницу данными, пришедшими с сервера ). В качестве обработчиков на клиенской стороне может использоваться код на javascript, задействующий объект XHttpRequest для отсылки данных на сервер и манипулирующий DOM для обработки ответа сервера. В качестве протоколов обмена данными между клиентом и сервером обычно используется JSON или XML. Веб-службыW3C определяет понятие «Веб-службы» как программная система, разработанная для кроссплатформенного взаимодействия по сети. Описание этой программной системы может быть найдено другими программными системами, которые могут взаимодействовать с ней согласно этому описанию посредством сообщений, основанных на XML, и передаваемых с помощью интернет-протоколов. Используемые стандарты:
RSS/AtomRSS — семейство XML-форматов, предназначенных для описания лент новостей, анонсов статей, изменений в блогах и т. п. Информация из различных источников, представленная в формате RSS, может быть собрана, обработана и представлена пользователю в удобном для него виде специальными программами-агрегаторами. Mash-upMash-up – web-приложение, объединяющее данные из нескольких источников. Например, приложение, агрегирующее RSS-потоки, является mash-up. Контент, используемый в mash-up, обычно получено от третьих лиц через открытый интерфейс или API. Архитектура веб-мэшапов всегда состоит из трёх частей.
УязвимостиВ этом разделе перечислены основные уязвимости, встречающиеся в Web 2.0 приложениях. XSS (Сross Site Sсriрting )ОписаниеXSS возникает при внедрении на станицу сайта-жертвы пользовательских скриптов. По механизму исполнения атаки XSS условно можно разделить на активные и пассивные. Пассивные XSS подразумевают, что скрипт не хранится на сервере уязвимого сайта, либо он не может автоматически выполниться в браузере жертвы. Для срабатывания пассивной XSS требуется некое дополнительное действие, которое должен выполнить браузер жертвы (например, клик по специально сформированной ссылке). В случае активной XSS вредоносный скрипт хранится на сервере, и срабатывает в браузере жертвы при открытии какой-либо страницы заражённого сайта. Каналы внедренияСуществует несколько способов внедрения вредоносных скриптов на страницу. Далее перечислены некоторые из них:
Последствия внедрения
Вредренный на страницу скрипт может переопределить событие onSubmit, возникающее перед отправкой данных, введенных в форму таким образом, что введенные данные сначала отправляются на сервер злоумышленника. Данный тип атаки похож на фишинг, но вместо поддельного сайта используется реальный, что вызывает большее доверие жертвы.
XSS-уязвимость на многопосещаемых ресурсах может быть использована для проведения DDoS-атаки. Для проведения атаки достаточно конструкции вида <img src=”http://example.com/url” />
Данный тип атаки может использоваться в приложениях, позволяющее взаимодействие пользователей, например, социальных сетях. Нескольким пользователям соцсети посылается ссылка с XSS-уязвимостью, когда они перейдут по ссылке, то внедренный скрипт рассылает сообщения другим пользователям от их имени и т.д. При этом могут совершаться и другие действия, например отсылка личных данных жертв злоумышленнику. Методы защиты
Cross-Site Request ForgeryОписаниеCSRF (Сross Site Request Forgery — “Подделка межсайтовых запросов”) — вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP. Схема работыПри заходе жертвы на сайт злоумышленника от ее лица тайно отправляется запрос на другой сервер (например, на сервер платежной системы), осуществляющий некоторую операцию (например, перевод средств). Для осуществления атаки жертва должна быть авторизирована на этом сервере и запрос не должен требовать подтверждения со стороны пользователя, отправляющего запрос. Для реализации атаки злоумышленник может использовать социальной инженерии, а также технические уязвимости, такие как XSS и ошибки в реализации функции перенаправления. Ресурсы подверженные данной атаке – различные интерактивные Web-приложения, например системы электронной почты, форумы, CMS, интерфейсы удаленного управления сетевым оборудованием. Например, злоумышленник может отправлять сообщения от имени других пользователей, добавлять новые учетные записи, или изменять настройки маршрутизатора через Web-интерфейс. Методы защиты
Javascript HijackingОписаниеБраузеры используют Same Origin Policy для того, чтобы защитить пользователей от злонамеренных сайтов. Для того чтобы JS-скрипт мог получить доступ к содержимому сайта, Same Origin Policy требует их одинакового происхождения (Same Origin), т.е. и скрипт и веб-страница должны принадлежать одному домену. Без Same Origin Policy злонамеренный сайт мог бы содержать такой JS-скрипт, который загружал бы конфиденциальную информацию с других веб-сайтов, используя параметры доступа (Cookies) клиента, и отправлял бы назад атакующему. JavaScript Hijacking позволяет злоумышленнику обойти Same Origin Policy в том случае, если веб-приложение использует JS для передачи конфиденциальной информации. Проблема в Same Origin Policy заключается в том, что он позволяет выполнять JS с любого веб-сайта в контексте другого сайта. Несмотря на то, что сайт не может исследовать напрямую какую-либо информацию, загруженную с уязвимого сайта клиентом, он все же может воспользоваться этой уязвимостью путем установки такого окружения, которое позволяет исследовать непосредственно выполнение JS, а также другие важные стороны, которые могут повлечь за собой данное обстоятельство. Классы уязвимых приложенийВ настоящее время многие веб-приложения используют JSON для передачи данных между клиентом и сервером. JSON основывается на двух типах структур данных: массивы и объекты. Любой формат передачи данных, в котором сообщения могут быть интерпретированы как одно или более допустимое JS-выражение, уязвим к JavaScript Hijacking. JSON облегчает использование данной атаки, так как JSON-массив представляет собой приемлемое JS-выражение. Ввиду того, что массивы являются привычной формой передачи каких-либо списков данных, они повсеместно используются веб-приложениями для передачи различных значений. С другой стороны, JSON-массив напрямую подвержен описываемой уязвимости. JSON –объект, в свою очередь, уязвим только в том случае, если он заключен в другой JS-конструкции, которое представляет собой допустимое JS-выражение. Реализация уязвимостиРеализация уязвимости может быть произведена следующим образом: Имеется клиент, который посредством XHttpRequest посылает запрос (на получение конфиденциальной информации). Другие пользователи не могут иметь доступ к этим данным, не зная идентификатор сессии пользователя. Идентификатор сессии пользователя хранится в cookie. Сервер отвечает в виде массива в формате JSON. После получения данных от сервера клиент выполняет результат с помощью eval. Злоумышленник создает страницу, в которой подключает клиентский JS-код (который использовался на оригинальной странице клиента) и злонамеренный код. При выполнении клиентского кода, на сервер отправляется запрос с идентификатором сессии. Когда JSON-массив будет доставлен клиенту, он будет выполнен в контексте злонамеренного сайта. Для того, чтобы засвидетельствовать выполнение JSON, страница переназначила JS-функцию, использующуюся для создания новых объектов. В данном случае злонамеренный код получает управление над созданием каждого объекта путем обработки события на создание объекта и передает содержимое объекта на сайт атакующего. Другие атаки вместо объектов могут переназначать конструктор по умолчанию и для массивов. Методы защитыСуществующие методы защиты от Javascript Hijacking:
|
Факультет информационных технологий утверждаю Рабочая программа предназначена для бакалавров кафедр Информатики и математики и Информационных технологий как очной, так и заочной... | Факультет информационных технологий утверждаю Рабочая программа предназначена для бакалавров кафедр Информатики и математики и Информационных технологий как очной, так и заочной... | ||
«московский психолого-социальный университет» факультет информационных технологий утверждаю Рабочая программа предназначена для бакалавров кафедр Информатики и математики и Информационных технологий очной и заочной формы... | Факультет информационный технологий утверждаю Рабочая программа предназначена для бакалавров кафедр Информатики и математики и Информационных технологий очной и заочной формы... | ||
Факультет информационных технологий утверждаю Ефимов Павел Павлович, кандидат педагогических наук, кафедра "Информационных технологий", для студентов 4,5-го курсов, обучающихся... | Применение информационных технологий в системе образования Понятие информационных технологий. Роль средств новых информационных технологий в образовании 10 | ||
Российской Федерации Самарский государственный архитектурно-строительный... Системный анализ – новая, находящаяся в стадии формирования наука о закономерностях развития сложных естественных и искусственных... | Вероника Игоревна Использование информационных технологий в гуманитарных... Мвц межвузовский центр новых информационных технологий в гуманитарном образовании | ||
Применение технологий olap и Data Mining для поддержки принятия стратегических решений в вузе Дагестанский государственный университет, факультет информатики и информационных технологий, Махачкала, Россия | Ноу впо институт государственного управления, права и инновационных... Введение. Алгоритм. Программа. Язык программирования Паскаль. Техника безопасности | ||
Факультет информационных технологий Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования | Применение информационных технологий на уроках английского языка... Возможности использования информационно-коммуникативных технологий в обучении английскому языку 17 | ||
Факультет информационных систем и технологий Методическая разработка рекомендована для педагогов дополнительного образования детей | Выпускная работа по «Основам информационных технологий» Реферат: «Применение информационных технологий в исследовании и описании безэквивалентной лексики» 6 | ||
Выпускная работа по «Основам информационных технологий» Место и роль информационных технологий при формировании туристического продукта 6 | Выпускная работа по «Основам информационных технологий» Использование информационных технологий в преподавании русского языка как иностранного |