3 Небезпеки для веб-ресурсів



Скачати 71.47 Kb.
Дата конвертації04.11.2016
Розмір71.47 Kb.
#807

3.2. Небезпеки для веб-ресурсів


http://thelocalhost.ru/xakerskaya-ataka-na-sajt/

Хакерською атакою називають любі спроби злому систем безпеки.


Цілі хакерських атак.


  • Дестабілізація віддаленої системи, приведення її у неробочий стан шляхом DOS і DDOS-атак.

  • Отримання контролю над віддаленою системою або з метою впровадження певного коду, або з метою отримання з сайту будь-яких конфіденційних даних (баз даних, номерів кредиток, адрес електронних скриньок тощо).

Основні типи хакерських атак.


  • DoS - (Denial of Service - Відмова в обслуговуванні) - атака, що має за мету змусити сервер не відповідати на запити. Такий вид атаки не передбачає отримання деякої секретної інформації, але іноді буває підмогою в ініціалізації інших атак. Наприклад, деякі програми через помилки в своєму коді можуть викликати виняткові ситуації, і при відключенні сервісів здатні виконувати код, наданий зловмисником або атаки лавинного типу, коли сервер не може обробити величезну кількість вхідних пакетів.

  • DDoS - (Distributed Denial of Service) - має ту ж мету що і DoS, але проводяться не з одного комп'ютера, а з кількох комп'ютерів в мережі. В DDoS-атаках використовується або виникнення помилок, що призводять до відмови сервісу, або спрацьовування захисту, що приводить до блокування роботи сервісу, а в результаті і до відмови в обслуговуванні. DDoS використовується там, де звичайний DoS неефективний. Для цього кілька комп'ютерів об'єднуються, і кожен здійснює DoS атаку на систему жертви. Разом це називається DDoS-атака.

  • Метод ін'єкції або XSS - даний вид атаки заснований на тому, щоб в працюючу систему втілити сторонній код, який або забезпечить неправомірний доступ до закритої інформації, або взагалі дестабілізує систему.

  • Перехоплення пакетів. Оскільки найчастіше дані, зокрема, логіни і паролі, передаються по мережі в незашифрованому вигляді, то при відповідним чином встановленому і налаштованому програмному забезпеченні, що називається сніфером, хакер може отримати дуже багато інформації: хто, звідки і куди, а також які дані передавав.

  • Атака за допомогою шкідливого програмного забезпечення. На комп'ютер користувача з використанням різних методів (у тому числі і соціальної інженерії і дірок в програмному забезпеченні), засилається або вірус, або троян, і, вже залежно від ступеня його шкідливості або передаються (виходять) будь-які дані, або взагалі перехоплюється контроль над системою.

  • Мейлбомбінг (розсилка спаму) - найстаріший тип атаки, коли на поштовий сервер відправляється велика кількість листів, внаслідок чого він не може обробити всю цю лавину і попросту падає. Було розроблено багато програм для здійснення спам-атаки, і навіть недосвідчений спамер міг заспамити скриньку недруга. При цьому в програми часто було вшито можливості анонімізації IP-адреси відправника та генерації тем повідомлень, тому позбутися такого спаму звичайними засобами було досить важко. Але й зараз спам приходить на пошту в досить великих кількостях, всупереч антиспам-фільтрам та іншого програмне забезпечення.

  • Мережна розвідка. При проведенні атаки хакер може отримати повний доступ до системи, дізнатися про її склад і встановлене програмне забезпечення, але при цьому жодних дій деструктивного характеру він не виконує. Тому, атака і називається розвідкою.

  • Соціальна інженерія заснована на жадібності, некомпетентності користувачів, а також бажанні хакерів показати власну значущість. Зловмисники можуть під самими різними приводами, втираючись в довіру, витягнути з користувача ті чи інші дані, зокрема, логін і пароль. При цьому користувач сам повідомляє їм ці відомості.

XSS атака


XSS атака є одним з найулюбленіших видів атак у хакерів. Абревіатура XSS розшифровується як Cross Site Scripting, або «міжсайтовий скриптинг». Першу літеру С замінили на Х оскільки абревіатура CSS вже зайнята, позначає «Каскадні таблиці стилів» і застосовується у веб-програмуванні.

XSS атака - це атака на вразливість, яка існує на сервері, що дозволяє впровадити в згенеровану сервером HTML-сторінку якийсь довільний код, в якому може бути взагалі все що завгодно і передавати цей код як значення змінної, фільтрація по якій не працює, тобто сервер не перевіряє дану змінну на наявність в ній заборонених знаків -, <,>, ', ". Значення цієї змінної передається від згенерованої HTML-сторінки на сервер в скрипт шляхом відправлення запиту.

А далі починається найцікавіше для хакера. РНР-скрипт у відповідь на даний запит генерує HTML-сторінку, в якій відображаються значення потрібних хакеру змінних, і відправляє дану сторінку на браузер хакера.

Тобто, кажучи простіше, XSS атака - це атака за допомогою вразливостей на сервері на комп'ютери клієнтів.

XSS атака найчастіше використовується для крадіжки Cookies. В них зберігається інформація про сесії перебування користувача на сайтах, що і потрібно хакерам для перехоплення управління особистими даними користувача на сайті в межах, поки сесія не буде закрита сервером, на якому розміщено сайт. В Cookies зберігається зашифрований пароль, під яким користувач входить на даний сайт. За наявності необхідних утиліт хакери розшифровують даний пароль і отримують постійний і нічим необмежений доступ до акаунтів користувача на різних ресурсах.

Інші можливості XSS атак:


  • При відкриванні сторінки відкривається велика кількість непотрібних вікон.

  • Переадресація на інший сайт (наприклад, на сайт конкурента).

  • Завантаження на комп'ютер користувача скрипта з довільним кодом (навіть шкідливого) шляхом втілення посилання на виконуваний скрипт зі стороннього сервера.

  • Крадіжка особистої інформації з комп'ютера користувача, наприклад Cookies, інформації про відвідані сайти, версії браузера та операційної системи, що встановлено на комп'ютері користувача, IP-адреси комп'ютера користувача.

  • XSS атака може бути проведена не лише через сайт, а й через вразливості в браузері чи інших клієнтах. Тому, рекомендується частіше оновлювати використовуване програмне забезпечення.

  • Проведення XSS атак через використання SQL-коду.

Можливостей у XSS атак досить багато, зловмисник може опанувати особистою інформацією, а це дуже неприємно. До того ж XSS атака завдає шкоди виключно клієнтським машинам, залишаючи сервер в повністю робочому стані, і у адміністрації різних серверів часом мало стимулів встановлювати захист від цього виду атак.

Розрізняють XSS атаки двох видів: активні і пасивні. При першому виді атаки шкідливий скрипт зберігається на сервері і починає свою діяльність при завантаженні сторінки сайту в браузері клієнта. При другому виді атак скрипт не зберігається на сервері і шкідливе дію починає виконуватися тільки у разі певної дії користувача, наприклад, при натисканні на сформоване посилання.


Поради програмістам і адміністраторам щодо запобігання проведення XSS атак.


  • Заборонити включення безпосередньо параметрів $ _GET, $ _POST, $ _COOKIE в згенеровану HTML-сторінку. Рекомендується використовувати альтернативні функції і параметри.

  • Заборонити завантаження довільних файлів на сервер, щоб уникнути завантаження шкідливих скриптів. Зокрема, рекомендується заборонити завантаження на сервер файлів різних типів скриптів і HTML-сторінок.

  • Всі завантажені файли зберігати в базі даних, а не в файловій системі. Структури даних це не порушує (навіть навпаки), а проблем може бути значно менше.

  • При розширенні функціональності сайту, зростає можливість проведення XSS атак, тому розширення слід проводити з обережністю і регулярним тестуванням.

DoS і DDoS атаки


DoS-атака (атака типу «відмова в обслуговуванні», Denial of Service) - атака на обчислювальну систему з метою довести її до відмови. Створення таких умов, за яких легальні (правомірні) користувачі системи не можуть отримати доступ до наданих системою ресурсів (серверів), або цей доступ ускладнено. Відмова «ворожої» системи може бути і кроком до оволодіння системою (якщо в нештатної ситуації програмне забезпечення видає якусь критичну інформацію - наприклад, версію, частину програмного коду тощо). Але, зазвичай, це міра економічного чи іншого тиску: не працює ресурс, що приносить дохід, високі рахунки від провайдера і дорогі заходи по захисту від атаки.

Якщо атака виконується одночасно з великої кількості комп'ютерів, говорять про DDoS-атаку (Distributed Denial of Service, розподілена атака типу «відмова в обслуговуванні»). В деяких випадках до фактичної DDoS-атаки призводить ненавмисна дія, наприклад, розміщення на популярному Інтернет-ресурсі посилання на сайт, що розміщений на малопродуктивному сервері (слешдот-ефект). Великий наплив користувачів призводить до перевищення допустимого навантаження на сервер і, отже, відмови в обслуговуванні частини з них.


Причини DDoS атак


  • Помилка в програмному коді, що призводить до звернення до невикористаних фрагментів адресного простору, виконання неприпустимої інструкції або іншої необроблюваної виняткової ситуації, коли відбувається аварійне завершення програми-сервера - серверної програми. Класичним прикладом є звернення за нульовою (англ. Null) адресою.

  • Недостатня перевірка даних користувача, що призводить до нескінченного або тривалого циклу або підвищеного тривалого споживання процесорних ресурсів (аж до вичерпання процесорних ресурсів) або виділення великого обсягу оперативної пам'яті (аж до вичерпання доступної пам'яті).

  • Флуд (Flood, «переповнення») - атака, пов'язана з великою кількістю зазвичай безглуздих або сформованих в неправильному форматі запитів до комп'ютерної системи або мережного обладнання, що має за мету відмову в роботі системи через вичерпання системних ресурсів - процесора, пам'яті або каналів зв'язку.

  • Атака другого роду - атака, яка прагне викликати помилкове спрацьовування системи захисту і таким чином привести до недоступності ресурсу.

Захист від DDoS атак


  • Запобігання. Профілактика причин, що спонукають осіб організовувати і вживати DoS-атаки. (Дуже часто кібератаки взагалі є наслідками особистих образ, політичних, релігійних та інших розбіжностей, провокуючого поведінки жертви тощо)

  • Фільтрація і блекхолінг. Блокування трафіку, що виходить від атакуючих машин. Ефективність цих методів знижується в міру наближення до об'єкта атаки і підвищується в міру наближення до атакуючої машині.

  • Зворотний DDOS. Перескерування трафіку, що використовується для атаки на атакуючого.

  • Усунення вразливостей. Не працює проти флуд-атак, для яких «вразливістю» є вичерпання системних ресурсів.

  • Нарощування ресурсів. Абсолютного захисту природно не дає, але є хорошим фоном для застосування інших видів захисту від DoS-атак.

  • Розподілення. Побудова розподілених і дублюючих систем, які не припиняють обслуговувати користувачів, навіть якщо деякі їхні елементи стануть недоступні через DoS-атаки.

  • Ухилення. Відведення безпосередньої мети атаки (доменного імені або IP-адреси) подалі від інших ресурсів, які також часто піддаються впливу разом з безпосередньою метою атаки.

  • Активні заходи у відповідь. Вплив на джерела, організатора або центр управління атакою, як техногенними, так і організаційно-правовими засобами.

  • Використання обладнання для відображення DoS-атак. Наприклад DefensePro® (Radware), Периметр (МФІ Софт), Arbor Peakflow® і від інших виробників.

  • Придбання сервісу по захисту від DoS-атак. Актуально у випадку перевищення флудом пропускної спроможності мережного каналу.

Каталог: html
html -> 7 Периферійні пристрої. Мультимедійні пристрої
html -> 1 Хмарні технології
html -> Інформації для проекту Мета уроку: засвоєння знань про технологію аналізу та компо­нування інформації для проекту, формування вмінь компонувати інформацію в процесі проектування виробу та складання реферату
html -> 2 Основні об’єкти Інтернету
html -> Методичні вказівки до лабораторної роботи №3 з дисципліни «Веб проектування»
html -> 2 Класифікація комп’ютерів
html -> Тема Комп’ютерні мережі
html -> 5 Накопичувачі на оптичних дисках

Скачати 71.47 Kb.

Поділіться з Вашими друзьями:




База даних захищена авторським правом ©uchika.in.ua 2022
звернутися до адміністрації

    Головна сторінка