Tīmekļa vietnes drošība un trīs izplatītākie tās drošības apdraudējumi

Attīstoties tehnoloģijām, parādās tīmekļa vietnes, kas nav tikai kā izklaide vai informācijas iegūšanas vieta, bet gan uzņēmējdarbības galvenā sastāvdaļa - vieta, kur cilvēks var iepazīties ar uzņēmumu, tā piedāvātajiem pakalpojumiem, pirkt un pasūtīt piedāvātās preces. Šajās tīmekļa vietnēs notiek arī galvenie uzņēmuma biznesa procesi – tiek uzkrāta informācija par precēm un pakalpojumiem, klientiem, veiktajiem pasūtījumiem, iespējams, veidotas arī atskaites, pārvaldīta uzņēmuma informācijas bāze un daudzi citi procesi. Tas ļauj ietaupīt gan laiku, gan resursus un dod iespēju vadīt uzņēmumu praktiski no jebkuras vietas pasaulē. Taču līdz ar to uzņēmums kļūst atkarīgs no tīmekļa vietnes, un tā kļūst par vienu no galvenajām uzņēmuma vērtībām. Un tāpat kā uzņēmums aizsargā citas savas būtiskās vērtības – rūpējas par ražotnes apsardzi, ugunsdrošību, darbinieku drošību – ir jānodrošina arī tīmekļa vietnes drošība, jo no tā var būt atkarīga gan uzņēmuma reputācija, gan, iespējams, pat tālāka pastāvēšana. Tā kā tīmekļa vietnēs bieži vien glabājas tāda jutīga informācija, kas paredzēta tikai uzņēmuma darbiniekiem, šiem datiem nedrīkst piekļūt neautorizētas personas Ja arī Jūsu uzņēmumam tiek izstrādāta vai jau eksistē tīmekļa vietne, šis raksts Jums piedāvās dažādus veidus, kā pārbaudīt tās drošību pret visbiežāk sastopamiem urķu uzbrukumiem. Raksts arī sniegs ieskatu, kādas drošības prasības būtu nepieciešams izvirzīt mājas lapas izstrādātājiem. Bieži vien tīmekļa vietnes izstrādātāji pirms vietnes nodošanas pasūtītājam, to testē un atrāda pasūtītājam, kurš arī pārliecinās, ka sistēma atbilst veiktajam pasūtījumam un vajadzībām. Pasūtītājam vajadzētu ne tikai pievērst uzmanību visām funkcionālajām darbībām, bet arī lielu vērību veltīt sistēmas drošības aspektu izvērtēšanai. Tādēļ mēs Jums izklāstīsim visbiežāk sastopamos scenārijus, kā urķi uzbrūk tīmekļa vietnēm, kurus varat pielietot arī Jūs, lai pārliecinātos par savas vietnes drošību. Ja tomēr Jūsu mājas lapa ir ievainojama kādā no aprakstītajiem veidiem, droši vēršaties pie mājas lapas izstrādātājiem un lūdziet novērst nepilnības. Šajā rakstā nebūt netiek apskatīti visi drošības riski. Lasītājs tiek iepazīstināts tikai ar visizplatītākajiem draudiem, pret kuriem mūsuprāt jābūt nodrošinātām it visām tīmekļa vietnēm. Tiek izskaidrotas arī sekas, ar kurām jārēķinās, ja nepievērsīsiet pietiekami lielu vērību drošībai. Uzbrucēji var izmantot dažādus ceļus, lai nodarītu bojājumus gan pašai tīmekļa vietnei, gan arī uzņēmumam un tā reputācijai. Dažreiz šos uzbrukumu ceļus noteikt ir triviāls uzdevums, bet dažreiz tas var būt pat ļoti grūti. Līdzīgi ir arī ar kaitējumu, ko tie var nodarīt - sākot ar nekaitīgiem uzbrukumiem un beidzot ar liela mēroga uzbrukumiem, kas rada lielus zaudējumus un var pat novest uzņēmumu līdz bankrotam. 3 izplatītākie drošības riski ir:   Informācijas noplūde, nekorekta sesiju pārvaldība Šis drošības risks apdraud ikvienu tīmekļa vietni, kurai ir lietotāju reģistrēšanas sistēma. Ja tā netiek pareizi pārvaldīta, jebkurš lapas apmeklētājs vai lietotājs var piekļūt svešu lietotāju kontiem tīšuprāt vai pat gluži nejauši (nekorektas sesijas noildzes gadījuma). Uzbrucējs, izmantojot informācijas noplūdi vai trūkumus autentifikācijas vai sesiju pārvaldības funkcijās (piemēram, izpausti lietotājvārdi, paroles, sesiju identifikatori), var uzdoties par citu lietotāju. Šāda ievainojamība var ļaut dažiem vai pat visiem lietotāju kontiem tikt iespaidotiem. Tiklīdz uzbrukums ir veiksmīgs, uzbrucējs iegūst pilnu pieeju lietotāja datiem un var veikt tās pašas darbības leģitīmā lietotāja vārdā. Visbiežāk šādu uzbrukumu mērķis ir priviliģēti lietotāji, kā, piemēram, administratori. Kas var būt uzbrucējs?
  • anonīms ārējs lietotājs;
  • reģistrēts lietotājs, kas var mēģināt izmantot cita lietotāja kontu;
  • iekšējs lietotājs (uzņēmuma darbinieks), kas vēlas noslēpt savas darbības.
Kāpēc? Šādas problēmas rodas, ja tiek pielietota nepilnīga lietotāju autentifikācija (lietotāja identitātes pārbaudes procedūra) un sesiju pārvaldība. Rezultātā, rodas trūkumi tādās jomās kā atteikšanās (Log out), paroles pārvaldība, noildze (laika intervāls no lietotāja pieslēgšanās sistēmai līdz brīdim, kad lietotājam tiek pieprasīta atkārtota autorizēšanās), "atceries mani" vai "atceries paroli" ("Remember me" vai "Remember password"), slepenais jautājums, konta atjaunināšana utt. Zemāk tiek piedāvāti vairāki uzbrukuma scenāriji. Tie var kalpot arī kā piemēri, kā Jūs paši varat pārbaudīt savas vietnes drošību. Uzbrukumu scenāriji: Scenārijs nr.1: Ja tīmekļa vietnes sesijas identifikators tiek glabāts kā daļa no saites, piemēram: __________________________________________________________________ http://www.esidross.lv/konts/?PHPSESSID=abc357cf94eabc357cf94e&cat=3 __________________________________________________________________ Šajā saitē redzams, ka līdz ar parasto adresi "www.esidross.lv/konts" parādās arī papildu informācija "PHPSESSID=abc357cf94eabc357cf94e". Tas ir sesijas identifikators, pēc kura sistēma atpazīst autorizētu lietotāju. Autorizēts lietotājs, nosūtot saiti kādam draugam, nezinot, ka tā satur arī viņa sesijas identifikatoru, patiesībā nosūta draugam arī visu informāciju par savu lietotāju kontu. Pēc vairākām stundām draugs, lietojot/apskatot šo saiti, sistēmā tiek atpazīts kā autorizētais lietotājs. Scenārijs nr.2: Ja tīmekļa lietojumprogrammas noildze nav korekti uzstādīta (piemēram, ir pārāk liela), tad var rasties situācija, kad kāds lietotājs, lietojot publisku datoru, lai piekļūtu tīmekļa vietnei, tā vietā, lai atteiktos (Log out), vienkārši aizver pārlūka cilni (tab). Uzbrucējs vai vienkārši nākamais publiskā datora lietotājs, atverot to pašu tīmekļa vietni, pat pašam negribot, tiek atpazīts un autorizēts kā iepriekšējais lietotājs. Scenārijs nr.3: Iekšējs lietotājs piekļūst pie datubāzes un iegūst paroles, kuras datu bāzē tiek glabātas nešifrētā veidā un līdz ar to vienkārši izmantojamas. ______________ *Turpinājums nākamajā rakstā: "Kas ir XSS uzbrukumi?" ** Rakstā izmantoti materiāli no M.Brieža bakalaura darba "Tīmekļa vietnes drošības novērtēšana un uzlabošana".