1 Веб -қосымшалардың қауіпсіздік қатерлерінің жіктелуі
Сипаттама. Бұл жіктеу - бұл веб -серверлердің қауіпсіздігіне қатерлерді біріктіру және ұйымдастыру бойынша бірлескен әрекет. Веб -қосымшалар қауіпсіздігі консорциумының мүшелері бұл мәселелерді сипаттауға арналған стандартты терминологияны әзірлеу және танымал ету үшін осы жобаны құрды. Бұл қосымшаларды жасаушыларға, қауіпсіздік мамандарына, бағдарламалық жасақтама өндірушілеріне және аудиторларға бір тілде сөйлесуге мүмкіндік береді.
Мақсаттар.
- Веб -қосымшаларға шабуылдардың барлық белгілі сыныптарын анықтау.
- Әр сыныптың атауларымен келісіңіз.
- шабуылдарды жіктеудің құрылымдық әдісін әзірлеу.
- әр сыныптың жалпы сипаттамасы бар құжаттаманы әзірлеу.
Мүмкін қолдану
Веб -қосымшалардағы қауіпсіздік тәуекелдерін түсінуге және байланыстыруға ықпал ету. Бұл кезеңде осалдықтардың пайда болуын болдырмау үшін өнімнің даму деңгейін жоғарылатыңыз. Сайттарды жобалауда, әзірлеуде және қауіпсіздікті тексеруде барлық қауіп -қатерлердің жойылғанын бағалау бойынша нұсқаулық беріңіз.
Мүмкіндіктерді бағалауға және веб -қосымшаларды қорғаудың шешімдерін таңдауға көмектесу.
Кіріспе
Көптеген ұйымдарда веб-қосымшалар күн сайын миллиондаған долларлық транзакцияларды өңдей алатын маңызды жүйелер ретінде қолданылады. Дегенмен, веб -сайттардың шынайы құндылығы әр ұйымның қажеттіліктеріне қарай бағалануы керек. Бір нәрсенің маңыздылығын тек белгілі бір мөлшерде көрсету өте қиын.
Веб -қосымшалардағы осалдықтар пайдаланушыларға ұзақ уақыт бойы қауіп төндірді. Осалдығы анықталғаннан кейін шабуыл жасау үшін бірнеше техниканың бірі қолданылады. Бұл әдістер әдетте шабуыл сыныптары деп аталады (осалдықты пайдалану әдістері). Бұл сыныптардың көпшілігінде буферлік толып кетулер, SQL инъекциялары және сайттар аралық сценарийлер сияқты жалпы атаулар бар. Бұл шабуылдар сыныптары веб -қосымшалардың қауіптерін сипаттауға және жіктеуге негіз болады.
Бұл құжатта бұрын веб -қосымшаларға қатер төндірген және әлі де бар белгілі шабуыл сыныптарының жинағы мен дистилляциясы бар. Әр шабуыл класына стандартты атау беріледі және оның негізгі ерекшеліктері сипатталады. Сабақтар иерархиялық құрылымда ұйымдастырылады.
Веб -қосымшалар үшін қауіпсіздік қатерлерінің жіктелуін құру - бұл қосымшаларды жасаушылар, қауіпсіздік мамандары, бағдарламалық қамтамасыз етуді жеткізушілер және веб -қауіпсіздіктің басқа да мүдделі тараптары үшін маңызды кезең. Классификацияға, қосымшаларды зерттеу әдістеріне, қауіпсіздікті ескере отырып қосымшаларды әзірлеу бойынша ұсыныстарға, өнімдер мен қызметтерге қойылатын талаптарға болашақта құруға болады.
Классификация құрудың алғышарттары
Соңғы бірнеше жыл ішінде веб -қосымшалардың қауіпсіздігі индустриясы осалдықтарды сипаттау үшін ондаған түсініксіз және эзотерикалық терминдерді қабылдады.
Сайт аралық сценарий, параметрлерді өзгерту және кукиді улану сияқты осалдық атаулары мәселені және шабуылдың ықтимал әсерін дәл анықтай алмайды.
Мысалы, сайт аралық сценарий осалдығы пайдаланушы куки мәндерінің ұрлануына әкелуі мүмкін. Куки мәндерін білу шабуылдаушыға пайдаланушының сеансын ұрлау және оның есептік жазбасын бақылау мүмкіндігін береді. Бұл осалдықты пайдалану үшін пайдаланушының енгізу параметрлерін өңдеу және URL параметрлерін жасау әдісі қолданылады.
Бұл шабуылдың сценарийін әр түрлі жаргондармен сипаттауға болады. Бұл күрделі және өтімді лексика, егер тараптар негізгі идея бойынша келіссе де, ашық форумдарда жиі проблемалар мен даулар туғызады.
Көптеген жылдар бойы веб -қосымшалардың осалдығын жеткілікті толық және стандартты түрде сипаттайтын ресурс болған жоқ. Бұл жұмыс әр түрлі кітаптардан үзінділерге, ондаған мақалаларға және жүздеген презентацияға негізделген.
Веб -қосымшаның қауіпсіздігі неофиті жаттығуды бастағанда, ол стандартты тілдің жоқтығынан тез адасады. Бұл жағдай онсыз да нәзік білімді жасырады және тұтастай суретті түсінуді баяулатады. Егер біз веб -қосымшалардың қауіпсіздігін жақсартатын болсақ, осалдықтарды талқылаудың ресми, стандартталған құралы қажет.