Проблема обеспечения безопасности интернет-магазинов | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 31 октября, печатный экземпляр отправим 4 ноября.

Опубликовать статью в журнале

Авторы: ,

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №36 (326) сентябрь 2020 г.

Дата публикации: 07.09.2020

Статья просмотрена: 3 раза

Библиографическое описание:

Степанова, Е. А. Проблема обеспечения безопасности интернет-магазинов / Е. А. Степанова, Т. К. Ивашковская. — Текст : непосредственный // Молодой ученый. — 2020. — № 36 (326). — С. 15-17. — URL: https://moluch.ru/archive/326/73487/ (дата обращения: 21.10.2020).



В статье авторы рассматривают проблему обеспечение безопасности интернет-магазинов, популярные веб-атаки и методы защиты от них.

Ключевые слова: интернет-магазин, веб-атака, защита информации, обеспечение безопасности.

Обеспечение безопасности информации и интернет ресурсов в настоящее время является одной из приоритетных задач, решаемых службами безопасности предприятий, а также государственными структурами во всех развитых странах мира. Защита информации обладает несомненной спецификой, обусловленной как разнообразием угроз безопасности информации, так и широтой требований, предъявляемых к уровню безопасности информации.

Существует большое количество интернет-магазинов, в которых пользователи осуществляют покупки, совершая банковские операции и предоставляя личные данные. Необходимо обеспечить надежность и безопасность осуществления платежей и конфиденциальность данных.

По результатам исследования лишь три процента веб-приложений достаточно надежны, чтобы противостоять хакерам, 97 % веб-сайтов имеют «серьезные дефекты в защите», в результате чего данные и системы могут быть взломаны с целью злонамеренного использования. Из 97 % обнаруженных серьезных «дыр» почти 40 % приложений позволяли взломщикам получать полный контроль и доступ к информации. Около 23 % дефектов могли привести к нарушениям конфиденциальности, а 21 % обнаруженных ошибок давали возможность «похищать» товары из магазинов. 5 % дефектов позволяли взломщикам изменять информацию, а еще 5 % — перехватывать транзакции. 2 % ошибок в программном обеспечении настолько серьезны, что злоумышленники могут удалить веб- ресурс [1].

К числу угроз безопасности интернет-магазинов можно отнести как угрозы со стороны вредоносных программ и неопытных пользователей, так и целенаправленные атаки со стороны подготовленных злоумышленников, которые могут иметь поддержку со стороны внешних организаций.

Анализ данных исследований компании Positive Technologies осуществляющих проведение тестов на проникновение и аудит информационной безопасности показывают, что ошибки в защите web- приложений по-прежнему остаются одним из наиболее распространенных недостатков обеспечения защиты информации. Более того, уязвимости web приложений являются одним из наиболее распространенных путей реализации злоумышленниками атак на web-приложения с целью кражи информации и последующим проникновением в корпоративные информационные системы. Согласно полученным данным, компания Positive Technologies составила рейтинг наиболее популярных веб-атак [2].

Таблица 1

Рейтинг наиболее популярных атак

Атаки на веб-приложения

%

1

Внедрение операторов SQL (SQL-инъекции)

84

2

Межсайтовое выполнение сценариев (XSS атаки)

84

3

Выход за пределы назначенной директории (Path Traveles)

74

4

Отказ в обслуживании (DDOS)

32

5

Подключение локальных файлов (LFI)

21

6

Внедрение внешних сущностей XML (XXE)

16

7

Подделка межсайтовых запросов (SCRF)

11

Рассмотрим наиболее популярные атаки и методы защиты интернет-магазина от них:

1) Внедрение операторов SQL (SQL-инъекции)– это набор команд SQL, которые помещаются в строку URL или в структуры данных, чтобы получить требуемый ответ из баз данных, связанных с веб-приложениями. Этот тип атак обычно происходит на веб-страницах, разработанных с использованием PHP или ASP.NET. Для защиты от данной атаки необходимо:

– использование подготовленных sql выражений;

– использование Escape All User Supplied Input;

– использование хранимых процедур;

– обеспечение наименьшей привилегии.

2) Межсайтовое выполнение сценариев (XSS атаки). XSS — это компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему, при которых злоумышленник прикрепляет код к легитимному веб-сайту, который будет выполняться, когда жертва загружает веб-сайт. Для защиты от данной атаки необходимо:

– выполнение проверки входных данных;

– выполнение очистки данных;

– принятие мер безопасности файлов cookie.

3) Выход за пределы назначенной директории (Path Traveles) позволяет злоумышленникам получать доступ к закрытым каталогам и выполнять команды вне корневого каталога веб-сервера. Для защиты от данной атаки необходимо проверить код доступа к файлам сервера.

4) Атака тип «Отказ в обслуживании» (DDOS) — это злонамеренная попытка нарушить нормальный трафик целевого сервера, службы или сети, перегружая цель или окружающую инфраструктуру потоком интернет-трафика [3]. Для защиты от данной атаки необходимо:

– ограничение количества запросов;

– использование Web Firewall Application;

– использование сети для распределения трафика.

5) Подключение локальных файлов (LFI) позволяют веб-приложениям считывать файлы из файловой системы, обеспечивают функцию загрузки, анализируют файлы конфигурации и выполняют другие подобные задачи. Если они не реализованы должным образом, злоумышленники могут использовать их и создать атаку LFI, которая может привести к уязвимости раскрытия информации, межсайтовому скриптингу (XSS) и удаленному выполнению кода (RFI). Для защиты от данной атаки необходимо:

– сохранить пути к файлам в базе данных и назначьте ID для каждого из них;

– использовать белый список файлов;

– хранить необходимые файлы в БД.

6) Внедрение внешних сущностей XML (XXE) — это уязвимость веб-безопасности, которая позволяет злоумышленнику вмешиваться в обработку XML-данных приложением. Оно часто позволяет злоумышленнику просматривать файлы в файловой системе сервера приложений и взаимодействовать с любыми серверными или внешними системами, к которым может получить доступ само приложение. Для защиты от данной атаки необходимо отключить разрешение внешних сущностей и поддержку XInclude [4].

7) Подделка межсайтовых запросов (SCRF) — это тип запутанной кибер- атаки заместителя, которая вынуждает пользователя случайно использовать свои учетные данные для вызова действия, изменяющего состояние, такого как перевод средств со своего аккаунта, изменение адреса электронной почты и пароля или другие нежелательные действия. Для защиты от данной атаки необходимо использование токенов Anti-CSRF.

Для обеспечения безопасности работы интернет-магазинов необходимо использовать комплексные меры, направленные на защиту от наиболее популярных видов атак. Использование такого подхода гарантирует эффективную защиту и делает использование сайта и осуществление на нем покупок безопасными.

Литература:

1. Проблемы информационной безопасности в Интернет. Лекции. [Электронный ресурс]. — Режим доступа: http://itzashita.ru/lekcii/problemy-informacionnoj-bezopasnosti-v-internet.html

2. Атаки на веб приложения 2016 [Электронный ресурс]. Режим доступа: https://www.ptsecurity.com/upload/corporate/ru-ru/analytics/Web-Applications-Attacks-rus.pdf

  1. Низамутдинов Марсель Фаридович. Тактики защиты и нападения на веб-приложения. –СПб.: БХВ-Петербург — 241с.
  2. Cisco. Безопасность [Электронныйресурс]. Режим доступа: https://www.cisco.com/c/ru_ru/products/security/what-is-a-ddos- attack.html
Основные термины (генерируются автоматически): XSS, LFI, SQL, атака, DDOS, SCRF, XML, XXE, защита, программное обеспечение.


Задать вопрос