Информационная безопасность корпоративных сайтов

Как известно, одной из возможных причин сбоя в работы корпоративного сайта компании может стать уязвимость в информационной безопасности сайта.

Задача защиты корпоративного сайта является одной из основных задач разработчиков корпоративных сайтов в борьбе за качество и информационную безопасность собственных ИТ-продуктов, т. е. разработок ИТ-решений для веба, среди которых корпоративные сайты для компаний-клиентов - это один из наиболее востребованных на сегодняшний день видов разработки.

Любая ИТ-компания, профессионально занимающаяся разработкой корпоративных решений для веба, обязательно решает задачу обеспечения информационной безопасности при разработке корпоративного сайта для компании-клиента. В данной статье речь пойдёт о защите от такого распространенного способа взлома корпоративных сайтов, как SQL-инъекция. Если вы являетесь владельцем корпоративного сайта, при этом не имея должных знаний о его защите, ИТ-специалисты студии веб-дизайна Oxigen советуют вам с особым вниманием отнестись к фактам, изложенным в статье, и к решению задачи обеспечения безопасности сайта.

Один из наиболее распространённых способов взлома веб сайтов, работающих с базами данных SQL - это SQL-инъекция. Данный способ основан на внедрении в запрос произвольного SQL-кода. Этот способ взлома корпоративного сайта компании может дать возможность атакующему выполнить произвольный запрос к базе данных SQL (например, прочитать содержимое любых таблиц, удалить, изменить или добавить данные), получить возможность чтения и/или записи локальных файлов и выполнения произвольных команд на атакуемом сервере.

Подобная враждебная атака на корпоративный сайт компании может представлять угрозу доступа к информации о личных данных клиентов компании (номера банковских карт, личный адрес, номера личных телефонов и т. д. ). SQL-инъекция становится возможной при некорректной обработке входящих данных, используемых в SQL-запросах. Разработчик прикладных программ, в том числе программных модулей (скриптов) для веб-сайтов, работающих с базами данных, должен знать о таких уязвимостях и принимать меры противодействия внедрению SQL-кода.

Мы с вами сейчас проведём самостоятельный анализ абстрактного корпоративного сайта путём взаимодействия с базой данных сайта через SQL-инъекцию. Итак, допустим, нам известно о недостаточной фильтрации параметра id в скрипте http://site/test. php. Обычный сценарий взлома предполагает попытку подстановки спецсимволов в уязвимом параметре. Например так: http://site/test. php?id=12" and 1=1. Успешное выполнение данной команды означает практически полную власть хакера над уязвимым сайтом. Чтобы этого не произошло нужно прверить параметр id перед передачей его SQL-серверу.

Постоянные проверки сообщений об ошибках, с текстом SQL-запроса, в котором произошла ошибка сведет вероятность SQL-инъекции к минимуму. По крайней мере, вы сможете вовремя подобную атаку. Однако многое можно сделать, даже если сообщения об ошибках не выводятся вообще. Следует принять к сведению тот факт, что даже если текст ошибки не выводится, можно все равно однозначно судить о том, произошла ошибка, или нет (например, запрос вернул пустой результат).

Методика атак типа внедрение SQL-кода показывает, что основной задачей взломщика корпоративного сайта компании на первом этапе является поиск скриптов, уязвимых для атаки. На данном этапе злоумышленником изучается поведение программных скриптов на корпоративном сайте компании при помощи манипулирования входными параметрами с целью обнаружения их некорректного поведения. Используются все возможные параметры:

    — Данные передаваемые методами POST и GET;
    — Значения [HTTP-Cookie];
    — HTTP_REFERER (для скриптов );
    — AUTH_USER и AUTH_PASSWORD (при использовании аутентификации).

Как правило, манипуляции злоумышленника с выбранным для атаки корпоративным сайтом сводятся к подстановке в параметры запроса символа одинарной (реже двойной или обратной) кавычки. Некорректным поведением программных модулей корпоративного сайта считается любое поведение, при котором страницы, получаемые до и после подстановки кавычек, имеют различия, но при этом не выведена страница ошибки о неверном формате параметров.

Наиболее часто встречающиеся примеры некорректного поведения корпоративных сайтов компаний: — на странице выводится сообщение с указанием различных ошибок; — при запросе информации на корпоративном сайте компании (например, новости или списка продукции) запрашиваемые данные не выводятся вообще, при этом страница отображается и т. д.

Также следует учитывать тот факт, что на практике о известны случаи, когда сообщения об ошибках, в силу специфики разметки страницы корпоративного сайта компании, не отображаются в обозревателе, хотя при этом присутствуют в её HTML-коде.

Возникает вполне логичный вопрос: как защитить корпоративный сайт компании от атак типа внедрение SQL-кода? Для защиты изготовленного корпоративного сайта от данного типа атак необходимо тщательно фильтровать входные параметры, значения которых будут использованы для построения SQL-запроса. С этой задачей может справиться квалифицированный программист с достаточным опытом веб-разработок корпоративных сайтов для компаний-клиентов.

Следует отметить, что зачастую применение нестандартных решений для защиты информации является одним из оптимальных путей решения задачи обеспечения информационной безопасности сайта вашей компании. Например, в ИТ-компании Oxigen, один из офисов которой расположен в Санкт-Петербурге, в настоящее время идёт активное внедрение в собственного языка программирования для веб-разработки, Secure Web Instructions (SWI), который по сравнению со стандартным для интернета языком обработки программных запросов PHP имеет значительно более высокие показатели устойчивости к взломам и скорости обработки запросов пользователей.

Как показала практика, корпоративные сайты компаний-клиентов на основе SWI менее уязвимы ко враждебным атакам и при этом, на данный момент являются более безопасными по сравнению с корпоративными сайтами компаний на основе PHP. В языке программирования SWI есть встроенная защита от SQL-инъекции.

В SWI встроены специальные средства фильтрации параметров, интеллектуально определяющие и отсекающие "вредные" параметры и/или части параметров, что позволяет снизить вероятность взлома сайта, и, как следствие, не нарушить бизнес-процессы компании, связанные с его активной работой.

Желаем вам успеха в работе!


Студия веб-дизайна Oxigen (Санкт-Петербург), Александр Левицкий, Егор Поляков.

Автор статьи: неизвестный | Дата публикации: 15:25 14.12.2016 3248440.Ru




Отзывы и комментарии
Ваше имя (псевдоним):
Проверка на спам:

Введите символы с картинки:



Вкусные рецепты: Вареное сало, "шарлотка" из цуккини с козьим сыром, Рулетики из кабачков

Вкусные рецепты: Вареное сало, "шарлотка...


Вареное салоСало порезать на куски длиной 10 см. У меня получилось 6 кусков. В кастрюлю налить воду и пусть закипит. Добавить в кипящую воду уксус и положить в кастрюлю сало. Варить где-то 35-40 минут...


Как обрабатывать пупок новорожденного

Как обрабатывать пупок новорожденного


С момента зачатия до появления на свет, малыш и мать связаны одной «нитью», которая называется пуповиной. Она оказывает огромное значение для развития плода внутри утробы, однако это образование удаля...


Дизайн проект квартиры

Дизайн проект квартиры


Всякий желает видеть свое жилище неповторимым. Но как дойти до совершенства в дизайне, когда в голове столько мыслей и идей, рвущихся наружу и требующих немедленного выполнения. Любой, даже начинающий...


Вкусные рецепты: Блинчики с хреновой начинкой, Яблочный штрудель, Булочки сдобные с повидлом.

Вкусные рецепты: Блинчики с хреновой начинкой...


Блинчики с хреновой начинкойИспеките тонкие блинчики Приготовьте начинку Сырую морковь натрите на мелкой тёрке Сыр натрите на крупной тёрке Смешайте сыр и морковь и заправьте майонезом Добавьте к полу...


Как винил пережил свой расцвет и упадок?

Как винил пережил свой расцвет и упадок?


До цифровой и лазерной революции 1980-х годов виниловые пластинки оставались самым качественным носителем звуковой информации. В этом плане они выдержали даже конкуренцию со стороны более удобной, но ...


Вкусные рецепты: Хлеб...с жареным луком и оливками))), Омлет, торт "Чудо"

Вкусные рецепты: Хлеб...с жареным луком и оли...


Хлеб...с жареным луком и оливками)))Просеить в миску муку,добавить соль и сухие дрожжи.Перемешать))) Затем влить оливковое масло. И последней теплую воду.Все перемешать и вымесить мягкое эластичное те...


Самое интересное

Недвижимость во Владивостоке: тенденции развития р

В настоящее время на владивостокском рынке недвижимости прослеживается ряд тенденций, которые можно связать, как с естественным развитием рынка, так и с намечающимся проведением саммита АТЭС 2012. Как...

3G или 4G, что выбрать?

3G или 4G, что выбрать? 3G интернет это беспроводной доступ к Сети со скоростью 3. 1 мб/сек.   Почему мы сторонники 3G а не 4G интернета? Потому что сеть 4G еще очень слабо развита, а карта 4G покрыт...

История появления пиццы

Название pizza (пицца), произошло благодаря своей плоской форме, от итальянских слов piazza (площадь) или piatto (тарелка). Ее родина - Апеннинский полуостров, владения древней Римской империи. В те в...

Лечение за рубежом: где лучше делать операции

В данный момент нередко можно встретиться с ситуацией, когда наши соотечественники выезжают для лечения за рубеж, вместо того, чтобы восстановить свое состояние здоровья в России. Почему так происходи...

Новости. Выясните наиболее важное пораньше.

Сегодняшнее человеческое сообщество без присутствия средств массовой информации невозможно себе визуализировать. На самом деле, каждый из нас уже не воображает личной действительности без шанса получа...

Вкусные рецепты: Филе Индейки в гречневой панировк

Филе Индейки в гречневой панировкеФиле Индейки разделываем на кусочки солим СЛЕГКА перчим любым перцем который любите я брала Белый и красный обмакиваем в соевом соусе даём постоять хотябы 30 минут Кр...

Как выбрать курсы английского языка?

Как выбрать курсы английского языка? За последние годы в России появилось множество школ и курсов английского языка. И если вы решили начать учить английский язык, сориентироваться сразу непросто. Ка...

Возможно ли отдохнуть вместе с коллективом?

Количество руководителей, практикующих такой вид тимбилдинга, как корпоративный туризм, растет в нашей стране с обнадеживающей быстротой… Что-что, а работать, когда это выгодно, россияне умеют....

Орхидеи - самые эротичные цветы

Новые исследования ученых обнаружили, что орхидеи используют сексуальные хитрости, чтобы заманить насекомых опылителей. Это способствует более эффективному опылению цветов. Большинство цветущих раст...

Как заработать деньги? Распределение средств между

Сделать выбор всегда трудно. Особенно сложно, когда приходится выбирать лучшее из лучшего. О чем это я? О том, что передо мной стоит нелегкая задача — определиться с управляющими, то есть с...

Новости развития информационнного портала:

Наш портал является ресурсом, который включает в себя обширный каталог познавательных и увлекательных статей. Абсолютно каждый посетитель найдет для себя что-нибудь нужное. Современный дизайн дает возможность вам моментально находить актуальную информацию. Самые разнообразные тематические статьи дают возможность вам совершенствоваться в той или иной сфере. Быть более начитанным и грамотным. Современный дизайн сайта позволяет просматривать статьи на всех существующих планшетах. Теперь отыскать необходимую информацию стало совершенно легко.

Мы подобрали для вас познавательные и занимательные статьи. На нашем портале вы найдете ответы на интересующие вас вопросы. Стандартная система поиска позволяет вам стремительно отыскать нужную информацию. Адаптированный дизайн позволяет вам просматривать информацию на любых электронных устройствах. Отныне, поиск необходимой информации будет занимать у вас секунды.