Лабораторная работа 4. Краткие теоретические сведения
 Скачать 0.93 Mb.
|
|
Лабораторная работа 4. Проведение аудита сайтов на безопасность Краткие теоретические сведенияАудит безопасности сайта (проверка сайта на уязвимости) — ряд процедур, нацеленных на обеспечение стабильной работы веб-ресурса, безопасности данных и снижения рисков. Ни для кого не секрет, что экономическая ситуация сейчас диктует новые правила, в том числе и в конкурентной борьбе. Если раньше «война технологий», кибершпионаж и деструктивные действия были, в основном, уделом больших корпораций или целых государств, то теперь эти методы вполне успешно применяются в малом и среднем бизнесе. Сайты оффлайн компаний пока оставим в стороне, а сегодня поговорим про коммерческие вебсайты, чей основной доход связан с интернет деятельностью. Аудит безопасности сайта — это комплекс работ по выявлению ошибок в коде сайта и программном обеспечении сервера, воспользовавшимися которыми злоумышленники могут атаковать и взломать сайт. В наше время мировая экономическая ситуация происходит в режиме конкурентной борьбы. если несколько лет назад кибершпионажем и различными атаками занимались огромные корпорации или целые страны, то в настоящее время эти методы применяются и в малом бизнесе. Аудит безопасности веб – сайта – это работа по нахождению недочетов в коде сайта и всем программном обеспечении сервера, которыми могут воспользоваться хакеры при взломе сайта. Мотивы взлома сайта могут быть различны. Злоумышленники делают это либо по определенному заказу, для поиска личной выгоды или просто от нечего делать. Риски при взломе сайта просто огромны. Они напрямую оказывают влияние на приносимый доход фирмы. Но имеется еще и прямая угроза, например, для интернет – магазинов или электронных бирж. Это обширная клиентская база, которая хранит в себе логины, пароли, реквизиты банковских карт для повторных покупок. С помощью этой информации мошенники могут легко выводить средства с банковских карт обычных людей. Интернет – воров можно поделить на два вида. Одни взламывают сайт и берут оттуда все, «что плохо лежит», пользуются информацией в своих целях и размещают несанкционированный спам или рекламу. Если своевременно проводить аудит безопасности, таких неприятностей можно избежать. Ко второй категории можно отнести злоумышленников, которые идут на конкретную цель. Им нужно либо получить данные клиентов, либо уничтожить сайт полностью. В этом случае атаки будут производить с завидной регулярностью, пока хакеры не добьются желаемого результата, путем подбора паролей, логинов, искать различные уязвимости сайта. Аудит безопасности сайта – способ получения адекватной оценки степени защищенности ресурсов, получение полной информации о найденных уязвимостях и рекомендации по их устранению. Это не прекращаемый, постоянный процесс по обеспечению безопасности всех веб – ресурсов фирмы, сохранение деловой репутации и обеспечение сохранности всех личных данных. Существенно повысить защищенность сайта может помочь комплексный аудит безопасности, как правило включающий в себя следующие действия: поиск уязвимостей серверных компонентов; поиск уязвимостей в веб-окружении сервера; проверка на удаленное выполнение произвольного кода; проверка на наличие инъекций (внедрение кода); попытки обхода системы аутентификации веб-ресурса; проверка веб-ресурса на наличие «XSS» / «CSRF» уязвимостей; попытки перехватить привилегированные аккаунты (или сессии таких аккаунтов); попытки произвести Remote File Inclusion / Local File Inclusion; поиск компонентов с известными уязвимостями; проверка на перенаправление на другие сайты и открытые редиректы; сканирование директорий и файлов, используя перебор и «google hack»; анализ поисковых форм, форм регистраций, форм авторизации и т.д.; проверки ресурса на возможность открытого получения конфиденциальной и секретной информации; атаки класса «race condition»; внедрение XML-сущностей; подбор паролей. Для больших предприятий не стоит ждать нападения мошенников – нужно заказать аудит безопасности у профессионалов, которые в короткие сроки покажут вам слабые места вашего сайта и обеспечат надежную защиту. В нашем же случае для частного использования будет достаточно проверенных онлайн сервисов для проверки безопасностей сайтов. Рассмотрим несколько таких сервисов. Веб-сканерCY-PR.com(https://www.cy-pr.com). CY-PR.com - ведущий SEO-портал Рунета, обеспечивающий максимально оперативный, точный и комплексный анализ сайта. Чтобы получить исчерпывающий отчет по характеристикам нужного домена, достаточно ввести его в строку анализа и нажать соответствующую кнопку. После этого вы познакомитесь с результатами всестороннего анализа предложенного доменного имени. Данный анализ раскроет название, описание и ключевые слова веб-ресурса, скорость работы сайта, текущий статус домена, дату его регистрации и сведения о регистраторе. С помощью сервиса вы получите информацию о собственнике сайта (Whois); узнаете о свободных доменах в других доменных зонах, точном показателе Яндекс тИЦ и Alexa Rank; выясните, присутствует ли ресурс в DMOZ (ODP) и Яндекс.Каталоге. CYPR.com продемонстрирует видимость сайта в поисковиках и подсчитает точное число его проиндексированных страниц в Гугл, Яндекс и других популярных поисковых системах. Помимо этого, вам откроется полная статистика посещаемости сайта, география его посетителей, количество обратных ссылок на анализируемый проект. Комплексный анализ продемонстрирует историю и кэш сайта, проверит валидность CSS- и HTML-кода, предоставит важные сведения о ресурсах конкурентах и т.п. Словом, анализ сайта с помощью нашего сервиса является по-настоящему исчерпывающим, не требующим уточнений. У нас вы можете проверить любой сайт - свой и конкурента. Просто введите нужный URL-адрес в строку анализа и буквально сразу же вы получите результаты комплексного анализа интересующего сайта. Веб-сканерQUTTERA(http://quttera.com). Выполняет поиск вредоносного кода на страницах, используя бес сигнатурный анализ. То есть обладает некой эвристикой и выполняет динамический анализ страниц, что позволяет обнаруживать 0-day угрозы. Из приятных особенностей стоит отметить возможность проверки сразу нескольких страниц сайта, поскольку проверять по одной не всегда эффективно. Хорошо обнаруживает угрозы, связанные с загрузкой или размещением троянов, завирусованных исполняемых файлов. Ориентирован на западные сайты с их характерными заражениями, но часто выручает и при проверке зараженных сайтов интернета. Поскольку сервис бесплатный, есть очередь на обработку задач, поэтому придется немного подождать. Задание. Знакомство с интернет-сервисами для проверки безопасности сайта на примере веб-сканер CY-PR.com. Зайдите в «веб-сканер CY-PR.com» по ссылке Анализ сайта, проверка ИКС и PR, позиции в Яндекс и Google (cy-pr.com) ОБРАТИТЕ ВНИМАНИЕ: данное соединение является защищенным (при использовании HTTPS – это обычный HTTP, работающий через шифрованные транспортные механизмы SSL и TLS. Он обеспечивает защиту от атак, основанных на прослушивании сетевого соединения — от снифферских атак и атак типа man-in-the-middle при условии, что будут использоваться шифрующие средства и сертификат сервера проверен и ему доверяют). Перед вами открывается страница на главную страницу сайта, на главной странице можно как произвести идентификации пользователя в системе, так и проверить сайт без регистрации.  Для проверки любого сайта достаточно просто ввести адрес в строку ввода и нажать «Анализ». Для этого примера давайте проверим сайт собственного веб сканера. Перед вами откроются следующие сведения. Общие сведения о создании сайта, регистрации домена и его владельце Первый блок результатов нашего комплексного анализа сайта содержит базовую информацию о веб-ресурсе: кем является владелец сайта, какая точная дата регистрации домена, текущий ip-адрес, на котором находится сайт, его DNS-сервера и т.д. К полезным сведениям этого блока также нужно отнести актуальную информацию о заголовке (Title) и описании (Description) ресурса.  Помимо этого, начальный фрагмент анализа сайта содержит весьма полезную кнопку обновления. Ее нажатие позволит обновить все результаты анализа с учетом последних изменений в жизнедеятельности ресурса. Видимость сайта в поисковых системах Google и ЯндексДалее следует самый информативный блок результатов анализа, демонстрирующий авторитетность и популярность сайта в сети Интернет. Так, исследование покажет, какой текущий тИЦ у сайта, его место в рейтинге Alexa Rank, а также траст по мнению CY-PR.com. Необходимо отметить, что наш анализ сайта дает возможность проследить динамику изменений этих показателей за определенный отрезок времени. В частности, история изменения показателей в графическом виде и цифровых значениях предусмотрена для тематического Индекса Цитирования и Alexa Rank.  Внешние ссылки и проиндексированные страницыСледующая группа анализируемых показателей включает в себя внешние ссылки на сайт, а также страницы в индексе Google и Яндекс. Благодаря бесплатному сервису вашему вниманию будет представлено не только текущее количество бэклинков и страниц в поиске, но и детальная история индексирования веб-ресурса, приобретения им входящих ссылок (см. переключатель на графике).  Как видно на рисунке выше, точность определения числа внешних ссылок достигается благодаря тому, что комплексный анализ сайта опирается на сведения разных независимых друг от друга источников - Linkpad, Majestic и Semrush. Сравнительный анализ данных каждого из них позволяет сложить более полное представление о ссылочном профиле исследуемого ресурса. Поиск вредоносного кода и вирусов на сайтеВ структуре результатов анализа сайта отдельным блоком выделена проверка вирусов и вредоносного кода, которые могут навредить ресурсу. При этом поиск вирусов на сайте проводится в связке с определением его наличия в реестре запрещенных сайтов РФ и других подобных базах.  Помимо сказанного, комплексный анализ сайта при помощи CYPR.com содержит и другую полезную для каждого веб-мастера и оптимизатора информацию. Например, только у нас вы сможете найти уникальные отзывы пользователей об анализируемом проекте. Комплексную оценку сайта в глазах целевой аудитории формируют 5 взаимосвязанных критериев: дизайн, контент, скорость работы и поддержка пользователей.  Как видно, проанализировать сайт на данном сервисе можно без особых сложностей. Проведите самостоятельный анализ пяти любых сайтов по выявленным любым 10 критериям, и заполните таблицу, приведенную ниже. Также укажите ссылку анализированного сайта.
|