Mājaslapu drošības līmeņa uzlabošana

  • 03.05.2012
  • Autors: Efumo

Mājaslapu drošības līmeņa uzlabošana. Kāpēc tas ir svarīgi un kā to paveikt?
Jēdziena „drošība” uztvere dažādās nozarēs būtiski atšķiras. Piemēram, apsardzes nozarē drošība nozīmē uzraudzību. Arī IT nozarē uzraudzība ir ļoti būtiska (piemēram, serveru monitorings), tomēr uzraudzība tikai brīdina par konstatētajām problēmām. Savukārt profesionāls sistēmadministrators ar jēdzienu „drošība”, visticamāk, sapratīs sistēmas piekļuves tiesību pārvaldību un neautorizētas piekļuves slēgšanu. Un arī šī izpratne ir pareiza, tomēr ar to nepietiek. Sistēmas drošības aizsardzība nav atsevišķa darbība, tā ir darbību kopums – par to sīkāk šajā rakstā!

IT sistēmu drošības aspekti

efumo-web-drosiba

  • Fiziskā drošība. Triviālākais fiziskās drošības incidenta piemērs – datu nesēju zādzība. Lai risku samazinātu, jāsamazina fiziskas piekļuves iespēja serveru izvietošanas telpām.
  • Drošības politika. Jānodrošina sensitīvo datu piekļuves ierobežojumi. Piemēram, regulētājiem jāizmanto dažādi lietotāja konti un jālieto drošas paroles.
  • Tīkla un operētājsistēmas drošība. Piemēram, pārraidot sensitīvus datus, jānodrošina to šifrēšana, izmantojot SSL protokolu. Izvietošanas infrastruktūra jāaizsargā no WAN, izmantojot ugunsmūrus un IDS sistēmas. Operētājsistēmas un izvietošanas drošība ir viens no sarežģītākajiem aspektiem, jo jebkuras lietotnes sekmīga darbība un datu drošība ir tieši atkarīga no operētājsistēmas lietotajiem drošības pasākumiem. Tīmekļa lietotnes darbojas pēdējā slānī un ir tieši atkarīgas no iepriekšējo slāņu darbības. Drošības problēmas mēdz būt gan serveru konfigurācijā, gan, piemēram, PHP interpretētājā. Tikai nodrošinot visu saistīto komponentu korektu konfigurāciju, regulāru atjaunināšanu un uzraudzību, ir iespējama droša lietotnes ekspluatācija.
  • Lietotnes drošība. Tīmekļa lietotņu drošības izvērtēšanai iesaku izmantot Open Web Application Security Project sniegtās rekomendācijas tīmekļa lietotņu izstrādē. OWASP apkopo arī biežāk sastopamās tīmekļa lietotņu drošības problēmas. Pēdējo reizi saraksts atjaunots 2010. gadā.

Ieteikumi tīmekļa lietotņu drošības izvērtēšanai

  • Datu injekcijas

Datu apzināta modificēšana atbilstoši to attēlošanas vai uzturēšanas programmatūrai un programmatūras loģikas ietekmēšana. Sekas – no datu nekorekta attēlojuma līdz biznesa loģikas modifikācijai: neautorizētai piekļuvei, datu zādzībām

  • XSS, Cross-site scripting uzbrukumi

Skriptu ievade, izmantojot nepilnības programmatūrā, un darbināšana klienta pārlūkā.

  • Nekorekti strādājoši autentifikācijas un lietotāju sesiju mehānismi

Nekorekti izveidoti lietotāju autentifikācijas mehānismi bieži vien ļauj pārtvert sesijas vai datus.

  • Tiešas objektu piekļuves

Nepietiekami aizsargāti resursi ļauj uzminēt to adreses un piekļūt bez attiecīgām piekļuves tiesībām, piemēram, uzminot resursa adresi.

  • CSRF, cross site request forgery

Nepietiekami aizsargājot vietnes funkcionalitāti, tiek veikts uzbrukums, ievietojot trešās puses lapā saiti uz resursu.

  • Drošības konfigurācijas uzturēšanas problēmas

Nekorekti konfigurēta programmatūra, uz kuras tiek izvietota lietotne. Nav veikti programmatūras atjauninājumi.

  • Nepietiekama kriptogrāfiskā drošība

Sensitīvi dati, kuru saglabāšanā vai pārraidīšanā nav izmantots pietiekami drošs aizsardzības mehānisms. Piemēram, nešifrētas paroles vai ar nepietiekami drošu algoritmu šifrētas paroles iespējams atšifrēt un izmantot identitātes zādzībai vai turpmākiem uzbrukumiem.

  • Neaizsargāti URL

Daudzas lietotnes pārbauda tikai saišu attēlošanu lietotājam, bet neaizsargā adreses, uz kurām ved saites.

  • Nepietiekama transportslāņa aizsardzība

Pārraidot sensitīvus datus, netiek izmantots atbilstošs protokols. Piemēram, autorizācija notiek pa HTTP protokolu, neizmantojot SSL šifrēšanu un tādējādi radot iespēju man-in-the-middle uzbrukumiem.

  • Nevalidētas pāradresācijas

Nerealizēta validācija pirms lietotāja pāradresācijas uz trešo pušu adresēm.

Efumo Software risinājumi drošības uzlabošanai
Efumo Software programmatūras izstrādes un izvietošanas procesā rūpējas, lai programmatūra būtu droša. EfumoCMS izmantošana izstrādē nodrošina centralizētu populārāko drošības problēmu novēršanu, savukārt ikdienā izmantojamie izstrādes standarti un izvietošanas procedūras ir vērstas uz drošas programmatūras izstrādi. Regulāra kvalitātes kontrole izstrādes procesā garantē drošības problēmu novēršanu pirms programmatūras publicēšanas.

Svarīgi paredzēt drošības riskus

Lai radītu drošu sistēmu, ieteicams izmantot „Secure by Design” paradigmu visā izstrādes procesā – kvalificēti izstrādātāji ir spējīgi jau no izstrādes sākuma paredzēt drošības riskus, tādējādi novēršot to rašanos sistēmā kopumā, ne tikai atsevišķos komponentos. Tomēr ja šāda pieeja nav likta lietā jau sākotnēji, rekomendējam izmantot Efumo audits un Efumo Support pakalpojumus.

Komentāri (0)