Internet w przedsiębiorstwie
- Józef Muszyński,
- 01.05.2003
Wiele ataków może być bardzo łatwo wyprowadzona z przeglądarki, inne wymagają gruntownej wiedzy o serwerach hostowych i określonych aplikacjach, wszystkie jednak zagrażają ośrodkom webowym. Lista form ataków jest dość długa. Oto tylko kilka przykładów:
- Cross-site scripting – złośliwy kod, zazwyczaj w formie znacznika składniowego <SCRIPT>, dołączonego do URL, wykonywany w momencie kliknięcia go.
- Przepełnienia bufora aplikacji – zbyt długie zlecenie wysłane do aplikacji, przekraczające rozmiar przydzielonego bufora, może pozwolić na wykonanie kodu wprowadzonego przez napastnika lub zniszczenie istotnych danych systemowych.
- Sfałszowane cookie – manipulowanie sesją obejmującą cookie może umożliwić napastnikowi nieautoryzowane uzyskanie informacji z serwera. Cookies są przekazywane z serwera do przeglądarki, tak więc nieodporne na manipulację. Aplikacje nie zakładają zmian w cookie, mogą więc przetwarzać fałszywe cookie, co z kolei może prowadzić do modyfikacji stałych pól danych.
- Manipulacja na polach zakrytych – obejmuje zmiany wartości pól zakrytych, które często zawierają informacje statusowe dla serwera.
- Znane luki – pozwalają na wykorzystanie znanych powszechnie usterek lub ustawień domyślnych, które nie zostały załatane czy zmienione.
Środki ochrony
W związku z pogłębianiem się zagrożeń związanych z technikami webowymi pojawiły się narzędzia ochrony, rozwiązujące problemy nieszczelności serwerów webowych i aplikacji. W narzędziach tych wykorzystano wiele technologii.
Do podstawowych rozwiązań związanych z ochroną weba i aplikacji można zaliczyć:
- zaufane systemy operacyjne (TOS)
- hostowe IDS
- Hostowe systemy zapobiegania włamaniom (Host IPS)
- osłony aplikacji
- urządzenia air gap
- kontrole wyjścia
- ocenę podatności na zagrożenia (VA).