Защита web-приложений от угроз

Содержание

Введение 3

Глава 1. Описание основных угроз web–приложениям 7

1.1. Описание и перечень основных угроз web-приложениям 7

1.2. Современная статистика реализации различных угроз web-приложениям 44

1.3. Методы, противодействия основным угрозам web-приложений 50

Выводы 58

Глава 2. Реализация противодействия угрозам web-приложений 59

2.1. Характеристика исходного состояния web-ресурса 59

2.2. Оценка риска нанесения ущерба от еализации угроз web-приложения 69

2.3. Применение организационных мероприятий для обеспечения защиты информации web-приложения 75

Выводы 81

Глава 3. Оценка эффективности проведённых мероприятий 82

3.1. Оценка эффективности работы web-приложения после проведённых мероприятий 82

3.2. Переоценка возможного ущерба web-приложению после ввода организационных методик защиты информации 84

3.3. Рекомендации по дальнейшей эксплуатации web-ресурса 85

Выводы 88

Заключение 89

Литература 91

Выдержка из текста

В современную эпоху обычные приложения начинают постепенно уходить на второй план, уступая своё место более новым стремительно ос-ваиваемым web-приложениям. С каждым днём их появляется всё больше, ровно как и усиливается зависимость от них людей. Интернет магазины, социальные сети, интернет-банкинг и многое другое плотно проникли в ин-формационные сети, постепенно усиливая своё влияние. Разумеется, что с ростом значимости web-приложений постепенно начал расти и список все-возможных угроз, которые могут нанести тот или иной ущерб web-ресурсу.

С каждым годом публикуются всё новые и новые сведения о росте количества случаев реализации угроз на web-приложения, некоторые из которых приводят ошеломительные цифры утверждающие, что 99% всех web-приложений содержит в себе ту или иную уязвимость, а среднее количество уязвимостей на одно web-приложение приравнивается к трём.

Уже несколько лет, как множество компаний стремятся тем или иным образом обеспечить защиту своих web-приложений, и примерно столько же существуют другие компании, которые продают свои решения касающиеся защиты web-приложений. Эти компании и составляют тот костяк, который ежегодно публикует новые сведения о текущем положении дел с защитой web-приложений, пишут классификации угроз и уязвимостей, оценивают риски от реализации той или иной угрозы и объединёнными усилиями повышает осведомлённость данной проблемы в обществе.

Однако, несмотря на всё это, ситуация с web-приложениями в Российской Федерации обстоит из рук вон плохо. Большинство компаний если и использует какую-либо защиту, то лишь потому, что уже когда-то столкнулось с другими уязвимостями на пути своего развития. Это хорошо заметно по расхождениям в публикуемых значениях статистики обнаруженных угроз компанией Positive Technologies и её западными коллегами. Разница некоторых показателей порой отличается больше чем в два раза. Конечно, несправедливо говорить, что данные показатели получаются только из-за низкого уровня развития информационной безопасности в России, тут играет роль количество клиентов и методики анализа, однако даже такое условное сравнение позволяет примерно оценить текущую ситуацию в данном сегменте информационной безопасности. Так же определённый намёк на отсутствие уверенного спроса касаемо угроз web-приложений даёт факт отсутствия рус-скоязычного перевода новой классификации угроз выпущенной в 2010 году членами Web Application Security Consortium (WASC) взамен устаревшей версии 2004-го года, по которой до сих пор ведётся большинство работ по данной области в РФ.

Однако, для снижения вероятности осуществления любой угрозы, возможно применение самых различных методик. В том числе, организационных методик защиты информации, которые будут исследоваться в данной курсовой работе с точке зрения обеспечения надёжной защиты web-приложению.

Темой данной дипломной работы является «Организационные методы защиты информации при использовании web-приложений»

Данная тема была мною выбрана по причине её актуальности и наличия в ней определённой перспективы развития такого аспекта защиты информации, как организационная защита, в области web-приложений. Помимо этого, данная тема открывает новый угол зрения, способствующий пониманию некоторых неявных аспектов действия существующих угроз, при том не только в рамках web-приложений, но и защиты информации в целом. Ведь с каждым новым взглядом, брошенным с разных углов на одну и туже проблему, создаётся всё более полная картина.

…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………..

Список использованной литературы

1. ГОСТ Р 51624—2000 Государственный стандарт Российской Федерации, Защита информации автоматизированные системы в защищённом исполнении. «Общие требования».

2. «WASC THREAT CLASSIFICATION» (Отчёт) 2010.

3. http://codex.wordpress.org/Brute_Force_Attacks «Brute Force Attacks»

4. http://habrahabr.ru/post/167013/, «Заметки о безопасности. Восста-новление пароля».

5. https://www.owasp.org, «The Open Web Application Security Project».

6. http://www.maravis.com/library/session-fixation-attack/ «Session Fixation Attack»

7. http://www.webappsec.org/projects/articles/071105.shtml «[DOM Based Cross Site Scripting or XSS of the Third Kind] Web Security Articles — Web Application Security Consortium»

8. http://www.xakep.ru/post/24084/ «HTTP Response Splitting: разделяй и властвуй»

9. http://cwe.mitre.org/data/definitions/601.html «CWE — CWE-601: URL Redirection to Untrusted Site ('Open Redirect') (2.4)»

10. http://www.codenet.ru/progr/asm/overflow.php «Переполнение буфера»

11. http://www.styler.ru/styler/ldap-injection/ «LDAP Injection (LDAP Инъекция). Styler.ru»

12. http://forum.antichat.ru/thread232773.html «Вся правда о (Local|Remote) File Inclusion»

13. http://searchsecurity.techtarget.com/answer/Stop-hackers-from-finding-data-during-Web-application-fingerprinting «Stop hackers from finding data during Web application fingerprinting»

14. Глава 28 Уголовный Кодекс Российской Федерации «Преступления в сфере компьютерной информации»

15. http://projects.webappsec.org/w/page/13246962/SOAP Array Abuse « The Web Application Security Consortium / SOAP Array Abuse»

16. http://simpla.ru «Повышение уровня безопасности».

17. Cenzic Application Vulnerability Trends Report 2013(Отчёт).

18. Positive Technologies статистика уязвимостей web-приложений за 2010-2011 годы (Отчёт).

19. Whitehat Security Website Statistics Report (Отчёт) 2012.

20. http://msdn.microsoft.com/ru-ru/library/f13d73y6(v=vs.90).aspx, «Общие сведения об угрозах безопасности веб-приложений».

21. http://habrahabr.ru/post/149152/, «Вся правда об XSS или Почему межсайтовое выполнение сценариев не является уязвимостью».

22. http://habrahabr.ru/post/148701/, «Защита от SQL-инъекций в PHP и MySQL».

23. http://www.veracode.com/security/insufficient-transport-layer-protection, «Insufficient Transport Layer Protection Tutorial: Learn About Insufficient Transport Layer Protection Vulnerabilities and Prevention».

24. «Web Application Security Statistics» (Отчёт).

25. Методика оценки рисков информационной безопасности на предприятиях малого и среднего бизнеса (П.В. Плетнев, В.М. Белов) июнь 2012.

26. Алгебраический подход к оценке информационной безопасности (П.В. Плетнёв, И.В. Лёвкин) 2010г.

27. ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности.

28. Лекции по дисциплине «Организационная защита информации».

29. http://chrono.terumforum.com/t260-topic «Принятые правила Хронофорума».

30. http://itband.ru/2010/07/msecurity/ «Безопасность в продуктах Microsoft глазами IT-специалиста»