В статье авторы рассматривают проблему обеспечение безопасности интернет-магазинов, популярные веб-атаки и методы защиты от них.
Ключевые слова: интернет-магазин, веб-атака, защита информации, обеспечение безопасности.
Обеспечение безопасности информации и интернет ресурсов в настоящее время является одной из приоритетных задач, решаемых службами безопасности предприятий, а также государственными структурами во всех развитых странах мира. Защита информации обладает несомненной спецификой, обусловленной как разнообразием угроз безопасности информации, так и широтой требований, предъявляемых к уровню безопасности информации.
Существует большое количество интернет-магазинов, в которых пользователи осуществляют покупки, совершая банковские операции и предоставляя личные данные. Необходимо обеспечить надежность и безопасность осуществления платежей и конфиденциальность данных.
По результатам исследования лишь три процента веб-приложений достаточно надежны, чтобы противостоять хакерам, 97 % веб-сайтов имеют «серьезные дефекты в защите», в результате чего данные и системы могут быть взломаны с целью злонамеренного использования. Из 97 % обнаруженных серьезных «дыр» почти 40 % приложений позволяли взломщикам получать полный контроль и доступ к информации. Около 23 % дефектов могли привести к нарушениям конфиденциальности, а 21 % обнаруженных ошибок давали возможность «похищать» товары из магазинов. 5 % дефектов позволяли взломщикам изменять информацию, а еще 5 % — перехватывать транзакции. 2 % ошибок в программном обеспечении настолько серьезны, что злоумышленники могут удалить веб- ресурс [1].
К числу угроз безопасности интернет-магазинов можно отнести как угрозы со стороны вредоносных программ и неопытных пользователей, так и целенаправленные атаки со стороны подготовленных злоумышленников, которые могут иметь поддержку со стороны внешних организаций.
Анализ данных исследований компании Positive Technologies осуществляющих проведение тестов на проникновение и аудит информационной безопасности показывают, что ошибки в защите web- приложений по-прежнему остаются одним из наиболее распространенных недостатков обеспечения защиты информации. Более того, уязвимости web приложений являются одним из наиболее распространенных путей реализации злоумышленниками атак на web-приложения с целью кражи информации и последующим проникновением в корпоративные информационные системы. Согласно полученным данным, компания Positive Technologies составила рейтинг наиболее популярных веб-атак [2].
Таблица 1
Рейтинг наиболее популярных атак
|
№ |
Атаки на веб-приложения |
% |
|
1 |
Внедрение операторов SQL (SQL-инъекции) |
84 |
|
2 |
Межсайтовое выполнение сценариев (XSS атаки) |
84 |
|
3 |
Выход за пределы назначенной директории (Path Traveles) |
74 |
|
4 |
Отказ в обслуживании (DDOS) |
32 |
|
5 |
Подключение локальных файлов (LFI) |
21 |
|
6 |
Внедрение внешних сущностей XML (XXE) |
16 |
|
7 |
Подделка межсайтовых запросов (SCRF) |
11 |
Рассмотрим наиболее популярные атаки и методы защиты интернет-магазина от них:
1) Внедрение операторов SQL (SQL-инъекции)– это набор команд SQL, которые помещаются в строку URL или в структуры данных, чтобы получить требуемый ответ из баз данных, связанных с веб-приложениями. Этот тип атак обычно происходит на веб-страницах, разработанных с использованием PHP или ASP.NET. Для защиты от данной атаки необходимо:
– использование подготовленных sql выражений;
– использование Escape All User Supplied Input;
– использование хранимых процедур;
– обеспечение наименьшей привилегии.
2) Межсайтовое выполнение сценариев (XSS атаки). XSS — это компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему, при которых злоумышленник прикрепляет код к легитимному веб-сайту, который будет выполняться, когда жертва загружает веб-сайт. Для защиты от данной атаки необходимо:
– выполнение проверки входных данных;
– выполнение очистки данных;
– принятие мер безопасности файлов cookie.
3) Выход за пределы назначенной директории (Path Traveles) позволяет злоумышленникам получать доступ к закрытым каталогам и выполнять команды вне корневого каталога веб-сервера. Для защиты от данной атаки необходимо проверить код доступа к файлам сервера.
4) Атака тип «Отказ в обслуживании» (DDOS) — это злонамеренная попытка нарушить нормальный трафик целевого сервера, службы или сети, перегружая цель или окружающую инфраструктуру потоком интернет-трафика [3]. Для защиты от данной атаки необходимо:
– ограничение количества запросов;
– использование Web Firewall Application;
– использование сети для распределения трафика.
5) Подключение локальных файлов (LFI) позволяют веб-приложениям считывать файлы из файловой системы, обеспечивают функцию загрузки, анализируют файлы конфигурации и выполняют другие подобные задачи. Если они не реализованы должным образом, злоумышленники могут использовать их и создать атаку LFI, которая может привести к уязвимости раскрытия информации, межсайтовому скриптингу (XSS) и удаленному выполнению кода (RFI). Для защиты от данной атаки необходимо:
– сохранить пути к файлам в базе данных и назначьте ID для каждого из них;
– использовать белый список файлов;
– хранить необходимые файлы в БД.
6) Внедрение внешних сущностей XML (XXE) — это уязвимость веб-безопасности, которая позволяет злоумышленнику вмешиваться в обработку XML-данных приложением. Оно часто позволяет злоумышленнику просматривать файлы в файловой системе сервера приложений и взаимодействовать с любыми серверными или внешними системами, к которым может получить доступ само приложение. Для защиты от данной атаки необходимо отключить разрешение внешних сущностей и поддержку XInclude [4].
7) Подделка межсайтовых запросов (SCRF) — это тип запутанной кибер- атаки заместителя, которая вынуждает пользователя случайно использовать свои учетные данные для вызова действия, изменяющего состояние, такого как перевод средств со своего аккаунта, изменение адреса электронной почты и пароля или другие нежелательные действия. Для защиты от данной атаки необходимо использование токенов Anti-CSRF.
Для обеспечения безопасности работы интернет-магазинов необходимо использовать комплексные меры, направленные на защиту от наиболее популярных видов атак. Использование такого подхода гарантирует эффективную защиту и делает использование сайта и осуществление на нем покупок безопасными.
Литература:
1. Проблемы информационной безопасности в Интернет. Лекции. [Электронный ресурс]. — Режим доступа: http://itzashita.ru/lekcii/problemy-informacionnoj-bezopasnosti-v-internet.html
2. Атаки на веб приложения 2016 [Электронный ресурс]. Режим доступа: https://www.ptsecurity.com/upload/corporate/ru-ru/analytics/Web-Applications-Attacks-rus.pdf
- Низамутдинов Марсель Фаридович. Тактики защиты и нападения на веб-приложения. –СПб.: БХВ-Петербург — 241с.
- Cisco. Безопасность [Электронныйресурс]. Режим доступа: https://www.cisco.com/c/ru_ru/products/security/what-is-a-ddos- attack.html
