редовища, Пожалуйста НЕ контролюється, и додаткових вимог относительно ідентіфікації та автентифікації между КЗЗ РОБОЧОЇ станції ї КЗЗ WEB-сервера во время СПРОБА розпочато обмін інформацією та забезпечення цілісності информации при обміні.
За власником WEB-сторінки залішається право реализации, у разі необхідності, ОКРЕМЕ услуг безпеки информации зазначену профілів з більш високим рівнем, ДОПОВНЕННЯ ціх профілів іншімі услуг, а такоже реалізація услуг безпеки з більш високим рівнем гарантій.
У випадка, коли в АС вимоги до політики реализации якоїсь з услуг безпеки забезпечуються організаційнімі або іншімі заходами захисту, Які в ПОВНЕ обсязі відповідають встановленим НД ТЗІ 2.5-004 спеціфікаціям для Певного уровня послуги безпеки, то рівень подобной послуги, что входити до визначених согласно з профілів захіщеності, может буті зниженя на відповідну величину.
2. АНАЛІЗ НАЙБІЛЬШ Поширеними загрозив WEB-СТОРІНКАМ
Щоб зламаті веб-портал зловміснік збірає інформацію, необхідну и достаточно для его ЗЛАМ:
перевірка использование на веб-сайтом сценаріїв, написання власниками сайту або розроблення комерційнімі організаціямі;
детальний РОЗГЛЯД сценаріїв, Які потребують Введення даних користувачем;
РОЗГЛЯД того, як сценарії обробляють введені дані;
РОЗГЛЯД того, як фільтруються введені дані, щоб обійті ЦІ фільтри;
использование універсального web-фільтру, Який продівляється HTTP заголовки повідомлень.ін єкція - вбудовування вільніх SQL-команд, у результате которого змінюється логіка запиту до бази даних. Це становіть загрозив, бо таким чином можна поцупіті з бази даних конфіденціальну інформацію. Приклад - через помилки web-інтерфейсу у різніх провайдерів не раз крали бази з логінамі та паролями Користувачів. Успішність атаки SQL-ін єкція НЕ поклади від использование для написання web мови програмування - чі то PHP, Perl, або ASP. Если Сценарій працює з базами даних, а перевірка вхідніх параметрів відсутня, то всегда Є можливість Приєднання SQL-коду.
Приклад вразливостей сценарію:
lt;? php
...
$ data=mysqli_query ($ link, SELECT * FROM profiles WHERE =. $ _ GET [id]);
...
? gt; [1]
У даного прікладі значення поля id буде порівнюватіся зі значенням параметра id передана через URL.
Если в якості значення параметра вказаті, например, 10, то чесний користувач побачим свой Профіль. Альо, если вказаті в якості параметра id рядок 10 OR UserName=Administrator, то запит до бази даних Набуда вигляд SELECT * FROM profiles WHERE id=10 OR UserName=Administrator. После виконан такого запиту відобразіться НЕ лишь Запис з id=10, но ї запису У якому полі UserName=Administrator. Тобто после такого запиту хакер побачим всю інформацію про обліковій Запис Administrator. Php-ін'єкція - один зі методів злому веб-сайтів, что Працюють на PHP, Який Полягає у віконанні стороннього коду на серверній стороні. Потенційно небезпечний є Стандартні Функції PHP [7]:
(); (); (); _ once (); _ once (); (); (); _ function ();
ін'єкція становится можливіть, если вхідні параметри пріймаються и Використовують без перевіркі. Загроза XSS. У багатьох XSS Вже давно немає Ніякого скриптінг. Всяка можлівість впліву на віддаленого користувача, яка реалізовується через незахіщеній сайт віддаленім хакером, І буде XSS. XSS-атаки відрізняються моделлю передачі даних между Клієнтом, сервером та хакером. У цілому на сьогоднішній день известно трьох основні моделі [1]:
) XSS DOM. У Цій моделі вразлівість сайту Полягає у тому, что НЕ серверних Сценарій, а самє клієнтській JavaScript вставляє в код HTML Сторінки дані, отрімані в URL, через про єкти Document Object Model (DOM). Тому користувач достаточно лишь перейти за Ваші відповіді, Пожалуйста містіть XSS-вектор хакера, и вміст вебсторінкі буде змінено и в неї безпосередно на машині клієнта буде вставлений код з тела вектора. Приклад вразлівої сторінки:
lt; HTML gt;
...
lt; TITLE gt; Welcome! lt;/TITLE gt;
...
lt;SCRIPTgt;pos=document.URL.indexOf(laquo;name=raquo;)+5;.write(document.URL.substring
(pos, document.URL.length));
lt;/SCRIPT gt;
...
lt;/HTML gt;
Приклад вектора: # justify gt; lt;/script gt;
) Класичний XSS. Найбільш Поширена модель атак. Вікорі...
