1.4. Классификация угроз безопасности веб-серверов

1.4. Классификация угроз безопасности веб-серверов

Многие из читателей наверняка обратили свое внимание на то, какую важную роль в анализе рисков (см. разд. 1.2) играет такой фактор, как угроза. В этой связи будет более чем уместно ознакомиться с перечнем типичных угроз, которые приведены ниже. Настоящая классификация окажется полезна и подготовленным читателям, и тем, кто углубленно интересуется вопросами компьютерной безопасности.

Очередной раз выходя в Интернет и привычно набирая в браузере дорогой сердцу адрес, мы убеждаемся снова и снова, что не так уж все и плохо: апокалипсис постоянно кто-то переносит, а мы живем в мире высоких технологий, и это не может не радовать. Интернет стал для многих из нас настолько привычным, что иногда кто-нибудь да и допустит мысль о его существовании со времени сотворения мира. Между тем за кажущейся простотой и удобством стоит четкая и отлаженная работа узлов Сети. Было бы наивно полагать, что все совершенно, особенно если речь идет о вещах, сосуществующих в столь динамичной среде. Просматривая горячие двадцатки SANS, предупреждения EEYE, горячий эксклюзив от SecurityLab, убеждаешься снова и снова: безопасность есть процесс, а не состояние.

В рамках данного раздела мы поговорим с вами о безопасности веб-серверов, а точнее постараемся внести ясность и создать некое подобие современной классификации веб-угроз. Предпосылки к созданию подобной классификации очевидны. За последние несколько лет индустрия безопасности веб-приложений адаптировала немалое количество не совсем точных терминов, описывающих уязвимости. Такие названия уязвимостей, как "подделка параметров" (Parameter Tampering), "меж-сайтовое выполнение сценариев" (Cross-site Scripting) и "отравление печений" (Cookie Poisoning) (да-да, именно так), мягко говоря, не совсем точно определяют суть проблемы и возможные последствия атак. Отсутствие четкости в определениях часто вызывает проблемы и взаимонепонимание, даже если стороны согласны с основной идеей.

Когда начинающий специалист безопасности веб-приложений приступает к обучению, его быстро вводит в заблуждение отсутствие стандартного языка. Подобная ситуация не только не способствует профессиональному овладению предметом, но и замедляет понимание картины в целом. Появление классификации угроз безопасности веб-приложений является исключительно важным событием в мире IT.

По известным причинам только система знаний, а не ее разрозненный, дискретный вариант, может служить показателем высшей квалификации разработчиков приложений, специалистов в области безопасности, производителей программных продуктов. На основе классификации в дальнейшем могут быть созданы методики обследования приложений, рекомендации по разработке приложений с учетом безопасности, требования к продуктам и службам. Следующая классификация есть результат проработки различных книг, десятков статей и презентаций. У ее истоков стоит Web Application Security Consortium, представители которой создали базу для разработки и популяризации стандартной терминологии описания подобных проблем (www.webappsec.org).

Представленная классификация окажется полезной прежде всего специалистам, хотя в целом материал направлен на широкий круг читателей, интересующихся проблемами компьютерной безопасности.

Поделитесь на страничке

Следующая глава >

Похожие главы из других книг

Центр обеспечения безопасности и компоненты безопасности

Из книги Windows Vista автора Вавилов Сергей

Центр обеспечения безопасности и компоненты безопасности В обеспечении безопасности компьютера участвуют специализированные службы и программы. Важнейшие из них находятся под контролем Центра обеспечения безопасности. Этот компонент Windows отслеживает стабильность


Обновление сигнатур угроз

Из книги Очень хороший самоучитель пользователя компьютером. Как самому устранить 90% неисправностей в компьютере и увеличить его возможности автора Колисниченко Денис Николаевич

Обновление сигнатур угроз После запуска антивирус сообщит, что нужно обновить антивирусные базы данных (рис. 9.1). Рис. 9.1. Антивирус Касперского: пора обновить базы данныхЩелкните по надписи Сигнатуры устарели – антивирус предложит обновить антивирусные базы данных


Классификация вирусов

Из книги Интернет. Новые возможности. Трюки и эффекты [litres] автора Баловсяк Надежда Васильевна

Классификация вирусов Следующая классификация, как мы надеемся, поможет сориентироваться в многообразии и особенностях вирусов. В ее основе лежит оригинальная классификация вирусов «Лаборатории Касперского».По среде обитания вирусы можно разделить на:– файловые


Общий обзор средств безопасности: дескриптор безопасности

Из книги Системное программирование в среде Windows автора Харт Джонсон М

Общий обзор средств безопасности: дескриптор безопасности Анализ дескриптора безопасности предоставляет хорошую возможность для общего ознакомления с наиболее важными элементами системы безопасности Windows. В этом разделе речь будет идти о самых различных элементах


12.11.2 Размещение серверов DNS

Из книги TCP/IP Архитектура, протоколы, реализация (включая IP версии 6 и IP Security) автора Фейт Сидни М

12.11.2 Размещение серверов DNS Многие организации предпочитают иметь в своей внутренней сети один комплект из первичного и вторичного серверов, даже если сеть разделена на отдельные зоны. Вполне допустимо использовать один сервер для множества зон (или для нескольких


5.1. Классификация компьютеров

Из книги Информатика: аппаратные средства персонального компьютера автора Яшин Владимир Николаевич

5.1. Классификация компьютеров Прежде чем рассмотреть вопрос о классификации компьютеров, остановимся на ряде определений. Обработка информации является важной составляющей информационного процесса. Под обработкой информации будем понимать действия, совершаемые над


Глава 23 Хроника угроз

Из книги Принцип Касперского [Телохранитель Интернета] автора Дорофеев Владислав Юрьевич


Использование серверов NFS

Из книги Сетевые средства Linux автора Смит Родерик В.

Использование серверов NFS Как правило, серверы NFS применяются для разделения файлов в системах UNIX и Linux. Необходимость в совместном доступе к файлам может возникнуть по разным причинам. Возможно, вы захотите хранить на сервере программы большого объема для того, чтобы их


Отключение серверов

Из книги Интернет – легко и просто! автора Александров Егор

Отключение серверов Отключить сервер, который выполняется в системе, можно различными способами. На практике для этого применяются два основных подхода.• Вы можете выполнить действия, противоположные тем, которые предпринимались для запуска сервера. Например, можно


Классификация

Из книги Домашний компьютер автора Кравцов Роман

Классификация На данный момент существует огромное количество разнообразных вирусов. В базе одной из самых популярных отечественных антивирусных программ – Антивирус Касперского – присутствует уже более 100 тыс. записей о всевозможных вирусах и их разновидностях. Все


Классификация компьютерных игр

Из книги Цифровой журнал «Компьютерра» № 164 автора Журнал «Компьютерра»

Классификация компьютерных игр Классификация по жанрам3D Shooter (3D-шутеры, «бродилки»)В играх данного типа игрок, как правило, действуя в одиночку, должен уничтожать врагов при помощи холодного и огнестрельного оружия, выполняя задания уровней. Врагами часто являются:


Восемь угроз вашему мобильному банку. Советы, как не потерять деньги Максим Букин

Из книги IT-безопасность: стоит ли рисковать корпорацией? автора Маккарти Линда

Восемь угроз вашему мобильному банку. Советы, как не потерять деньги Максим Букин Опубликовано 13 марта 2013 Управлять своими деньгами с помощью компьютера и смартфона достаточно просто — из экзотической новинки такие сервисы превратились в


Отслеживать возникновение других угроз электронной почте

Из книги Продвижение порталов и интернет-магазинов автора Гроховский Леонид О.

Отслеживать возникновение других угроз электронной почте Как ни печально сообщать, но возможность чтения вашей почты другими людьми является не единственным риском, которому вы подвергаетесь как пользователь электронных средств информации. Вы можете подвергнуться


Защита от оптимизаторских угроз

Из книги Безопасность информационных систем. Учебное пособие автора Погонышева Дина Алексеевна

Защита от оптимизаторских угроз Самым очевидным способом защиты от перечисленных ранее действий оптимизаторов представляется схема оплаты, в которой ее размер зависит не от позиций или трафика, а от продаж. На деле реализовать эту схему не удается практически никому,


5.2. Место информационной безопасности экономических систем в национальной безопасности страны

Из книги автора

5.2. Место информационной безопасности экономических систем в национальной безопасности страны В современном мире информационная безопасность становится жизненно необходимым условием обеспечения интересов человека, общества и государства и важнейшим, стержневым,