Недавние и продолжающиеся нарушения безопасности веб-сайтов в крупных организациях, правительственных учреждениях, банках и тысячах компаний по всему миру еще раз подтвердили важность защиты веб-сайтов и веб-приложений для предотвращения того, чтобы хакеры получили доступ к конфиденциальным данным, при сохранении максимально возможной безопасности корпоративных веб-сайтов.
Хотя многие сталкиваются с множеством проблем, когда дело доходит до безопасности веб-приложений; это довольно тяжелый файл, в который нужно вникать.
Некоторые специалисты по безопасности не смогут предоставить все необходимые шаги и меры предосторожности, чтобы удержать злоумышленников от злоупотребления вашим веб-приложением. Многие веб-разработчики сталкиваются с трудностями при попытке обезопасить свой веб-сайт, что вполне объяснимо, поскольку безопасность веб-приложений – это многогранная концепция, в рамках которой злоумышленник может использовать тысячи различных эксплойтов, которые могут присутствовать на вашем веб-сайте.
Хотя ни один список советов и хитростей по веб-безопасности нельзя считать полным (фактически, один из советов заключается в том, что объема знаний, информации и мер предосторожности, которые вы можете внедрить, никогда не бывает достаточно), следующий максимально приближен к тому, что вы можете получить. Мы перечислим шесть концепций или методов, которые помогут вам в обеспечении безопасности вашего веб-сайта, что, как мы уже упоминали, совсем не просто. Эти пункты помогут вам начать и подтолкнут вас в правильном направлении, где некоторые факторы безопасности веб-приложений считаются более приоритетными для защиты, чем другие.
1. Где и как размещен ресурс
Без услуг веб-хостинга большинство веб-сайтов не существовало бы. Наиболее популярными методами размещения веб-приложений являются: обычный хостинг, при котором ваше веб-приложение размещается на выделенном сервере, предназначенном только для вашего веб-сайта, и общий хостинг, при котором вы предоставляете общий доступ к веб-серверу другим пользователям, которые, в свою очередь, запускают свои собственные веб-приложения на том же сервере.
Использование общего хостинга имеет множество преимуществ. В основном этот вариант дешевле, чем иметь собственный выделенный сервер, который, следовательно, обычно привлекает небольшие компании, предпочитающие совместно использовать пространство хостинга. Разница между общим и выделенным хостингом покажется несущественной, если смотреть на это с точки зрения функциональности, поскольку веб-сайт все равно будет работать, однако при обсуждении безопасности нам нужно будет взглянуть на это с совершенно другой точки зрения.
Недостатки виртуального хостинга превосходят все преимущества, которые он может предложить. Поскольку веб-сервер используется совместно несколькими веб-приложениями, любые атаки также будут разделены между ними. Например, если вы предоставляете общий доступ к своему веб-серверу организации, которая подверглась атакам с отказом в обслуживании на ее веб-сайте, ваше веб-приложение также пострадает, поскольку оно размещено на том же сервере и использует ресурсы из того же пула ресурсов. Между тем, отсутствие полного контроля над самим веб-сервером позволит провайдеру принимать определенные решения, которые могут подвергнуть ваше веб-приложение риску использования. Если один из веб-сайтов, размещенных на общем сервере, уязвим, есть вероятность, что все остальные веб-сайты и сам веб-сервер могут быть использованы злоумышленниками.
2. Выполнение проверок кода
Большинство успешных атак на веб-приложения происходят из-за небезопасного кода, а не самой базовой платформы. Показательный пример: атаки с использованием SQL-инъекций по-прежнему остаются наиболее распространенным типом атаки, хотя сама уязвимость существует уже более 14 лет. Эта уязвимость возникает не из-за неправильной обработки входных данных самой системой баз данных, она полностью связана с тем фактом, что очистка входных данных не реализована разработчиком, что приводит к обработке ненадежных входных данных без какой-либо фильтрации.
Этот подход применим только для инъекционных атак, и, как правило, проверка кода не была бы такой простой. Если вы используете готовое приложение, обновление до последней версии гарантирует, что ваше веб-приложение не содержит небезопасного кода, хотя, если вы используете приложения, созданные на заказ, потребуется углубленный анализ кода вашей командой разработчиков. Какой бы тип приложения вы ни использовали, защита вашего кода является критическим шагом, иначе сама основа веб-приложения будет испорчена и, следовательно, уязвима.
3. Защита от несанкционированных вторжений
Хотя обновление программного обеспечения гарантирует отсутствие известных уязвимостей в вашей системе, все еще могут существовать точки входа, через которые злоумышленник может получить доступ к вашей системе, которые были пропущены в наших предыдущих советах. Здесь в игру вступают брандмауэры. Брандмауэр необходим, поскольку он будет ограничивать трафик в зависимости от вашей конфигурации, а также может быть установлен в большинстве операционных систем по умолчанию.
При этом брандмауэр сможет анализировать только сетевой трафик, поэтому внедрение брандмауэра веб-приложений является обязательным, если вы размещаете веб-приложение. WAF лучше всего подходят для идентификации вредоносных запросов, отправляемых на веб-сервер. Если WAF идентифицирует полезную нагрузку SQL-инъекции в запросе, он отбросит этот запрос до того, как он достигнет веб-сервера. Между тем, если WAF не в состоянии перехватить эти запросы, вы также можете настроить пользовательские правила в зависимости от запросов, которые необходимо заблокировать. Если вам интересно, какие запросы вы можете заблокировать даже раньше, чем это сделает ваш WAF, взгляните на наш следующий совет.
4. Выполнение веб сканирования
Никакое количество проверок кода и обновлений не может гарантировать, что конечный продукт не уязвим и не может быть использован. Количество проверок кода ограничено, поскольку выполняемый код не анализируется, поэтому сканирование веб-уязвимостей необходимо. Веб-сканеры будут просматривать веб-приложение как черный ящик, где они будут анализировать готовый продукт, что невозможно при сканировании белого ящика или проверке кода. Между тем, некоторые сканеры также предоставляют вам возможность выполнять серое сканирование, комбинируя сканирование веб-сайта и серверный агент, который может анализировать код.
Какими бы сложными и большими ни были веб-приложения в наши дни, было бы легко пропустить определенные уязвимости при выполнении ручного теста на проникновение. Сканеры веб-уязвимостей автоматизируют этот процесс за вас, что позволит охватить более крупный веб-сайт за меньшее время и при этом обнаружить большинство известных уязвимостей. Одной из известных уязвимостей, которую трудно идентифицировать, является XSS на основе DOM, хотя веб-сканеры все еще способны идентифицировать такие уязвимости. Сканеры веб-уязвимостей также предоставят вам запросы, которые необходимо заблокировать на вашем брандмауэре веб-приложений (WAF), пока вы работаете над устранением этих уязвимостей.
5. Важность мониторинга
Крайне важно знать, подвергалось ли ваше веб-приложение атаке. Мониторинг веб-приложения и сервера, на котором оно размещено, был бы лучшим способом гарантировать, что даже если злоумышленник прорвется через ваши системы защиты, по крайней мере, вы будете знать, как, когда и откуда это произошло. Могут быть случаи, когда веб-сайт отключается из-за атаки, а владелец даже не узнает об инциденте, но узнает по истечении драгоценного времени.
Чтобы избежать этого, вы можете отслеживать журналы сервера, например, включить уведомления, которые будут запускаться при удалении или изменении файла. Таким образом, если вы не изменяли этот конкретный файл, вы будете знать, что кто-то другой имеет несанкционированный доступ к вашему серверу. Вы также можете отслеживать время безотказной работы, что удобно, когда атака не такая скрытая, как изменение файлов, например, когда ваш веб-сервер подвергается атаке типа “Отказ в обслуживании”. Такие утилиты уведомят вас, как только ваш веб-сайт перестанет работать, без необходимости узнавать об инциденте от пользователей вашего веб-сайта.
Худшее, что вы можете сделать при внедрении служб мониторинга, — это разместить их на том же веб-сервере, который подлежит мониторингу. Если этот сервер был выведен из строя, служба мониторинга будет недоступна для уведомления вас.
6. Следите за новостями и не прекращайте учиться
Наконец, что бы вы ни знали в данный момент о веб-безопасности, этого никогда не бывает достаточно. Никогда не прекращайте узнавать об улучшении безопасности вашего веб-приложения, потому что буквально каждый день появляется новый эксплойт, который может быть использован против вашего веб-сайта. Хакерские атаки происходят ни с того ни с сего, вот почему крайне важно быть в курсе любых новых мер безопасности, которые вы можете внедрить. Вы можете найти подобную информацию в следующих блогах по веб-безопасности, в которых подробно описывается, как администратор веб-сайта должен обеспечивать безопасность своего веб-сайта.
Источник информации firewall.cx