- •Понятие «Веб-система»
- •Классификация уязвимостей по источнику появления
- •Классы атак на веб-приложения
- •Классификация уязвимостей по этапам внедрения
- •Классификация уязвимостей по размещению в веб-системе
- •Причины возникновения уязвимостей
- •Взаимосвязь причин возникновения уязвимостей и классификации по этапам внедрения
- •Взаимосвязь причин возникновения уязвимостей и классификации по размещению в системе
- •Понятие, состав, протоколы tcp/ip
- •Уровни межсетевого взаимодействия стека протоколов tcp/ip
- •Уровень сетевых интерфейсов стека протоколов tcp/ip
Понятие «Веб-система»
построена из компонентов, которые могут иметь разных владельцев;
независимость одних компонентов от других;
имеет способность использовать Web-системы и быть использованной другими Web-системами;
предполагает возможность появления в системе новых пользователей, анонимных пользователей и доступ других систем как пользователей;
физической и логической способностью функционировать как в глобальной, так и в локальной сетевой среде;
является кроссплатформенной относительно использования аппаратных, сетевых и клиентских программных продуктов;
является ориентированной на сетевые технологии относительно программных и информационных ресурсов.
Виды веб-систем:
Статические Web-системы. Эти системы предоставляют доступ на чтение пользователям к информационным ресурсам, но при этом не участвуют в процессе обработки информации, делегируя эти функции другим компонентам ВС.
Прокси-системы. Обеспечивают доступ пользователей к другим Web-системам, выступая посредником между пользователями и удаленными Web-системами, с целью повышения производительности, уменьшения нагрузки на сеть и обеспечения безопасности.
Динамические Web-системы. Представляют собой полноценные системы обработки информации, участвуя в процессе обработки информации на всех этапах ее жизненного цикла.
Классификация уязвимостей по источнику появления
Уязвимость - совокупность причин, условий и обстоятельств, наличие которых в конечном итоге может привести к нарушению безопасности (несанкционированный доступ, ознакомление, уничтожение или искажение данных).
Ошибки в системах защиты, служащие источником появления ИЗ:
1.Преднамеренные:
1.1. с наличием деструктивных функций(активные)
1.1.1. Разрушающие программные средства (РПС):
1.1.1.1. Несамовоспроизводящиеся РПС («троянские кони»)
1.1.1.2. Самовоспроизводящиеся РПС (вирусы)
1.1.2. Черные ходы, люки, скрытые возможности проникновения в систему
1.2.Без деструктивных функций (пассивные):
1.2.1. скрытые каналы утечки информации:
1.2.1.1. с использованием памяти;
1.2.1.2. с использованием времени
1.2.2. другие.
2. Непреднамеренные (случайные)
2.1. Ошибки контроля допустимых значений параметров
2.2. Ошибки определения областей (доменов)
2.3. Ошибки последовательности действий и использования нескольких имен для одного объекта (в том числе TOCTTOU)
2.4. Ошибки идентификации/аутентификации
2.5. Ошибки проверки границ объектов
2.6. Другие ошибки в логике функционирования
Классы атак на веб-приложения
1. Аутентификация:
1.1. Подбор (brute force)
1.2. недостаточная аутентификация
1.3. небезопасное восстановление паролей
2. Авторизация:
2.1. Предсказуемое значение идентификатора сессии
2.2. Недостаточная авторизация
2.3. Отсутствие таймаута сессии
2.4. Фиксация сессии
3. Атаки на клиентов
3.1. Подмена содержимого
3.2.Межсайтовое выполнение сценариев
3.3. Расщепление HTTP-запроса