. Крім того, не можна забуваті, что сучасний веб-сервер Неможливо уявіті Собі без багатьох Додатковий функцій, например, без ПІДТРИМКИ мов програмування типу Perl, PHP та Інші, а такоже без систем управління базами даних. Усе це становится можливіть Завдяк установці на веб-сервер Додатковий програмного забезпечення. І все воно теж может мати свои вразлівості.
Сьогодні на сайтах, присвячений інформаційній безпеці, Постійно з'являються ПОВІДОМЛЕННЯ про Виявлення НОВИХ вразливостей у програмному забезпеченні веб-серверів. У цьом процессе беруть доля як фахівці Із захисту даних, так и хакери. Причем останні при віявленні новой «дірі» могут умовчаті про неї й спробуваті використовуват ее у своих цілях. Альо часто буває навпаки. Хакер намагається розповісті етичні проблеми вразлівості всім, у тому чіслі и розробник ПЗ. Робиться це, швидше за все, Із честолюбства. Хакер просто хоче показати світу свои знання та вміння. Альо в нашому випадка це бажання приносити только Користь.
Головною особлівістю виробничих вразливостей є їх приверженность до питань комерційної торгівлі версій програмного забезпечення. Праворуч у тому, что «діркі» часто зустрічаються не у всій лінійці веб-серверів, а только в Деяк їх релізах. А ще Варто відзначіті, что чім популярніше ті чі інше програмне забезпечення, тім Частіше для него знаходять Нові вразлівості.
І це поклади НЕ від якості написання ПЗ. Просто его вівчають более фахівців, так что ї вірогідність Виявлення «Дір» відносно велика.
Захістітіся від Розглянуто типом вразливостей програмного забезпечення можна только одним способом - своєчасною установкою всех Розроблення Виробнику патчів (оновлення версій). Праворуч у тому, что розробник програмного забезпечення (ПЗ) регулярно вікладають на офіційніх сайтах оновлення для своих продуктов. При віявленні критично для безпеки «діркі» патч віпускається Швидко (если, звічайна, компанія Дійсно піклується про своих КЛІЄНТІВ). Если ж знову знайдені вразлівості несуть швідше теоретичну, чем реальну загрозив, то в міру їх Накопичення віпускаються кумулятівні патчі.
3.2 Вразлівості конфігурації
Вразлівості могут вінікаті Із-за некоректно налаштування програмного забезпечення веб-сервера. Фактично безпека будь-якої РЕЧІ покладів від того, як ее застосовуваті. Ті ж самє можна Сказати ї про веб-сервер. Дуже багато покладів від того, як налаштованості его програмне забезпечення. Взагалі, Переважно більшість веб-серверів мают й достатньо великий набор параметрів, что стосують практично всех аспектів его роботи. Таким чином, безпека много в чому поклади від адміністраторів, что займаються їх обслуговуваня. Альо нельзя забуваті, что адміністратори - це люди. А це означає, что смороду через свою неуважність, недостатньої кваліфікації чи ще з яких причин могут помилятися. І ЦІ помилки могут Відкрити дорогу до веб-сервера хакеру або вірусу.
Від некоректно налаштування НЕ может помочь установка патчів. І Дійсно, при оновленні програмного забезпечення его конфігурація НЕ змінюється. А це означає, что вразлівість у сістемі захисту после інсталяції патча швідше за все залиша. Таким чином, головні небезпеки Розглянуто типом «дірок» є складність їх Виявлення. Отже, єдиний способ Дійсно надійного захисту від таких вразливостей є использование спеціальніх сканерів безпеки. ЦІ програми помощью спеціальніх методів досліджують захист веб-серверів и знаходять потенційно небезпечні місця.
3.3Вразлівості власного програмного забезпечення
скрипт веб-сайтів теж могут містіті вразлівості. Сучасний веб-сервер и супутнє програмне забезпечення очень часто службовців своєрідною базою для виконан програм, что напісані власноруч користувачем. Мова йде, звічайна, про скрипти, Які Працюють на більшості СУЧАСНИХ сайтів. Праворуч у тому, что більшість мов веб-програмування є серверній. Це означає, что скрипти, напісані на них, віконуються прямо на сервері, а на комп'ютер користувача (у даного випадка - відвідувача сайту) відправляються только результати їх роботи. І в цьом кріється й достатньо серйозна Небезпека. Праворуч у тому, что скрипти для сайтів далеко не всегда розробляються Дійсно Гарньє спеціалістами. На багатьох веб-проектах Використовують безкоштовно пошірювані програми або ж ПЗ власного написання. Природно, у ньом теж могут містітіся вразлівості. Причем деякі з них могут буті очень Серйозно, что дозволяють зловміснікам дістаті несанкціонованій доступ до самого серверу. Причем нужно враховуваті, что деякі скрипти віконуються з підвіщенімі прівілеямі. Так что вразлівості в них могут віявітіся Гарньє підмогою для хакерів.
Віявіті «діркі» в скриптах можна помощью сканерів безпеки. Так что КОЖЕН власник веб-сервера, Дійсно піклується про БЕЗПЕКУ свого сайту, вин...