ивостей Додатків% вразливостей сайтівCross-Site Scripting30,0850,141,7561,0SQL Injection7,9515,5017,6967,79Information29,8297,1912,5016 , 94Leakage
Если аналізуваті пошіреність вразливостей високого ступенів ризико, то тут найбільш часто зустрічаються помилки типу «Впровадження Операторів SQL» (SQL Injection). Можлівість несанкціонованого доступу до бази даних булу Виявля в 67% віпадків при детальному аналізі Web-Додатки та 16% при автоматичності скануванні. Такоже широко пошірені помилки «Читання довільніх файлів» (Path Traversal), «Підбір пароля» (Brute Force) i помилки в реализации и налаштування системи авторізації та аутентіфікації. Тобто в 83% сайтів були віявлені Критичні вразлівості, и в 78% віпадків зі ста в програмному забезпеченні Web-Додатки містяться вразлівості Середнев ступенів ризико.
5. ОГЛЯД ЗАСОБІВ Тестування БЕЗПЕКИ WEB-сторінок
5.1 Сканер вразливостей Nikto-online
Ефективність роботи будь-которого Internet-сайту візначається швідкістю Реакції на середовище веб-технологій, Пожалуйста дінамічно розвівається. Сучасні технології создания веб-контенту в режімі реального годині дали професійному веб-майстр найпотужніші інструменти для управління потоками информации в мережі Internet. Цілком природно, что такий ринок НЕ остался без уваги хакерів, Які прагнуть завдаті Шкоди або заволодіті конфіденційною інформацією. У таких условиях актуальним Завдання є мінімізація вразливостей web-серверів и сайтів Задля унікнення виток информации.
Во время создания або Внесення змін в структуру и скрипти сторінок сайту Важко оцініті можлівість подобной вразлівості и найбільш вразливе часть цілісної структури системи. Віявіті «діркі» в скриптах можна помощью будь-которого сканера вразливостей. Для більш Зручне использование булу Створена система Nikto-online, яка дозволяє скоротіті годину, необхідній на сканування, та автоматізуваті процес поиска слабкіхмісць у безпеці веб-серверів и веб-сайтів.
Система Nikto-online булу розроблено З метою підвищення безпеки web-сайтів и серверів, доступності для шкірного І ШВИДКО відстеження вразливостей web-сайтів. Nikto-online представляет собою Зручний и Приємний у вікорістанні web-інтерфейс до сканера вразливостей Nikto 2.03.
Для опісів и методів розв'язання вразливостей за основу булу взята Відкрита база вразливостей OSVDB (# justify gt; Так як система є загальнодоступною, то тут відсутні Авторизація та поділ Користувачів на адміністраторів и Користувачів. У всех права Рівні и процес Додавання та відалення сайтів для всіх є однакова. Була розроблено більш Зручна навігація по сайту І вразливе помощью більш НОВИХ web-технологій.
5.2 Робота сканера Nikto-Online
Сканер БУВ Створений для Підвищення безпеки web-сайтів НТУУ «КПІ», но Це не означає что ним не можна скануваті Інші сайти. ВІН легко справляється з більшістю сайтів доступні в мережі Internet, что дозволяє розробник чі адміністраторам сайтів звернути Рамус на слабкі місця web-сайту або сервера в цілому и сделать его більш стійкостім и захістіті від несанкціонованого доступу.
Сканер Nikto-Online - це багато-поточний сканер. ВІН сканує КОЖЕН сайт в ОКРЕМЕ потоці, что дозволяє на порядок скоротіті годину при масовому скануванні або примусових повторному скануванні сайтів. Система Аналізує результат и розділяє вразлівості на небезпечні, які ми настійно Рекомендуємо усунуті, и Інші, Які не несуть Великої Загрози для сайту або сервера, но Які такоже бажано усунуті.
Таким чином, система відображає сайти в порядку їх небезпечності. Тобто дерло в списку показані сайти, Які мают небезпечні вразлівості, чім ми й акцентуємо на них увагу.
При відображенні результату сканування такоже Першів відображаються вразлівості, что мают Позначку «Небезпечна».
До небезпечних вразливостей ми відносімо Такі як: SQL Inject, Cross Site Scripting (XSS) .Inject - один з Розповсюдження способів злому сайтів и програм, что Працюють з базами даних, Заснований на впровадженні в запит довільного SQL-коду.Site Scripting (XSS) - це вразлівість на сервері, что дозволяє впровадіті в генерацію HTML-сторінки скрипти на сервері (не в скрипт, На Відміну Від Рerl-небудь PHP-інклудінга) довільній код путем передачі его в якості значення нефільтрованої змінної.
База даних системи являються собою об'єднану базу OSVDB и базу для зберігання сайтів та вразливостей до неї.
Основна частина бази даних - це база OSVDB.
После сканування для шкірного сайту генерується 2 файли з результатами сканування:
. Текстовий файл (.Txt). Тут зберігається результат сканування Nikto.
