Реальный пиарСоздание сайтовБезопасность → Аудит безопасности - Зачем это надо?

Аудит безопасности - Зачем это надо?

системы безопасности

Подход к информационной безопасности
Вопрос безопасности создаваемых приложений или скриптов часто не стоит на первом месте даже в государственных структурах (тому есть несколько примеров взломов государственных сайтов как в России так и за рубежом). При создании наших сайтов мы в силу специфики параллельного рода деятельности (аудита информационной безопасности) в первую очередь обращаем внимание на защищённость создаваемого сайта или приложения. Вы можете обратиться к нам независимо от того хотите вы создать простой сайт-визитку или большой портал с множеством функций и возможностей для пользователей или же если вы например только хотите проверить скрипты вашего сайта на отсутствие ошибок.

Виды ошибок которые встречаются на сайтах можно разделить на несколько типов
- Full path disclosure (раскрытие полного пути), при ошибке какого-либо скрипта на странице выводится полный адрес этого скрипта
- XSS - cross-site-scripting (кросс-сайт-скриптинг), основная идея заключается в возможности выполнения скриптов на компьютере пользователя, более подробно можете прочитать по ссылке
- SQL-injection (Sql-инъекция), возможность выполнение произвольного запроса к базе данных
- File including (Просмотр любого файла), возможность просмотра любого файла системы через скрипт сайта (например файла с зашифрованными паролями пользователей)
- PHP-execution (выполнение PHP скрипта), возможность выполнения произвольного PHP когда на странице вашего сайта, одна из самых тяжёлых ошибок которые могут встречаться на сайте

Использование уязвимостей
Любые ошибки безопасности в вашей системе надо рассматривать не как отдельные просчёты а в свете тех задач которые могут стоять перед злоумышленниками. Цели которые могут преследоваться «хакерами» при атаке вашего сайта. Если раньше самым страшным и неприятным считалось смена главной страницы сайта (deface), то сейчас это можно считать самым безобидным, поскольку deface остался только методам самовыражения молодых скрипткиддисов. Основные цели для котороых злоумышленники могут использовать вас сайт следующие — размещения вредоносного кода на страницах сайта для заражения машин посетителей страниц, например загрузка к ним через ваш сайт троянов, далее возможность добавления скриптов которые будут прослушивать все данные которые пользователь вводит на вашем сайте (пароли, личная информация, номера и проверочные коды кредиток), следующая цель это размещение на вашем сайте бота который может выполнять произвольные запросы в зависимости от того что ему скомандует оператор — от генерации трафика для порно-сайтов до использование вашего сервера при DDOS атак.

Что дает аудит информационной безопасности
получить оценку состояния системы управления информационной безопасностью
обнаружить внешние и внутренние угрозы, деятельность злоумышленников и например инсайдеров;
подготовиться к получению необходимых международных и национальных сертификатов соответствия
рассчитать необходимые затраты на защиту информации предприятия
объективно оценить текущий уровень информационной безопасности предприятия


Источник: http://acolyte.ru

Рекомендуем



Full path disclosure (раскрытие полного пути) Косвенно используется для определения имени пользователя, типа операционной системы, запущенной на сервере, доступности возможных папок


Загрузка файлов Таким образом, контролировать для обеспечения безопасности следует именно расширение файла, а проверки через определение mime-type и через попытку открыть файл функцией getimagesize имеют смысл только для контроля того, что вместо картинки не будет загружен мусор, безвредный, но картинкой не являющийся


XSS - cross-site-scripting (межсайтовый скриптинг) Хакер может указать в качестве адреса сервер, имеющий узкий интернет канал, парализуя его работу большим количеством запросов