Магнитогорский государственный университет, студент 51 гр. Факультета информатики
Магнитогорский государственный университет, к.п.н, доц. кафедры Информационных технологий Факультета информатики
Специальность 080801.65 «Прикладная информатика (в экономике)».
Поскольку создание Интернет-магазинов стало общедоступно для всех пользователей сети Интернет, за данный вид коммерции взялись и различные фирмы, более того появились Кампании полностью интегрировавшие свою коммерческую деятельность во Всемирную паутину(Ozon.ru, Amazon.com и др.). Из выше сказанного можно сделать вывод, что всё более распространено понятия того, что Интернет-магазин – лицо Кампании.
Ныне актуально понятие того, что Интернет-магазин представляет собой одну из составляющих коммерческой фирмы. Согласно данным, приведенным корпорацией Symantec, больше 30% хакерских атак приходится именно на веб-сайты компаний малого бизнеса. Каждый день регистрируются десятки взломов. Многие компании с особым вниманием рассматривают вопросы безопасности, так как современные прогрессивные темпы развития и деятельность в конкурентной среде не оставляют другого выбора.
Обезопасить компанию от всевозможных угроз и неприятностей можно за счет:
• оптимального выбора системы управления контентом сайта (CMS);
• использования хостинга, обладающего достаточной надежностью;
• применения необходимого серверного программного обеспечения;
• своевременных мероприятий, позволяющих минимизировать возможность появления непредвиденных проблемных ситуаций на веб-сайтах.
Большая часть атак на web-сайты проводится в автоматическом режиме, посредством автоматических программ сканирования и подобных инструментов специального программного обеспечения, позволяющего обнаруживать «дыры» в обеспечении безопасности сайта. Появление в программном обеспечении web-сайта любой CMS делает этот сайт менее безопасным. Сайт обслуживается http-сервером. Http-серверы проверяются на наличие уязвимостей, но даже в них продолжают находить новые “дыры”. Любая CMS устанавливается в дополнение к http-серверу, и это приводит к тому, что уязвимости CMS прибавляются к уже имеющимся.
При всём этом, количество уязвимостей в CMS( по отношению к статическому сайту) весьма велико. Это обусловлено тем, что, специалисты хостинг-провайдера за безопасностью сервера, а за безопасностью самой CMS придётся следить владельцу сайта. К тому же, вряд ли какая-то из существующих CMS прошла столь же серьёзные испытания на устойчивость, как серверные приложения более низкого уровня.
И всё же тот факт, что CMS приводит к снижению безопасности сайта, не должен становится препятствием внедрению CMS.
На практике более важно управление рисками. Даже защищённый Интернет-магазин может быть взломан потому, что владелец установил легко угадываемый пароль. Таким образом, угрозы, связанные с CMS, оказываются значительно меньше ошибок в организации эксплуатации самой CMS.
Лучше использовать более распространённые CMS, в этом случае несколько выше вероятность того, что уязвимости в них уже обнаружены и закрыты. Впрочем, нет таких гарантий, что в будущем в системе не обнаружат новых “дыр”.
Лучшим выбором является та система, развитие которой не прекращается. Если разработчики прекратили развивать систему, то существует вероятность того, что вновь обнаруженная уязвимость не будет вовремя исправлена.
Так же необходимо следить за всеми обновления CMS, ориентированными на её безопасность и своевременно устанавливать эти обновления. Некоторые современные CMS, например “1С:Bitrix”, позволяют автоматизировать процесс поиска и установки обновлений.
Если были установлены «сторонние» расширения, то тщательно следить за их обновлениями, так как при обновлении самой CMS, уязвимости в расширениях остаются без изменений. При обновлении расширении, необходимо тщательно отслеживать новости на официальных сайтах разработчиков расширений.
Все пароли доступа к управлению сайтом должны быть надёжными и храниться в тайне. Даже если пароль передаётся доверенному лицу, возникает риск того, что пароль у этого лица могут узнать против его воли. Доступ к административному разделу сайта лучше реализовывать с использованием протокола SSL. Этот протокол специально предназначен для применения в Web, хотя он может использоваться для любого типа коммуникаций. Первоначально компания Netscape разработала его для своего навигатора, чтобы помочь развитию электронной коммерции. SSL, опираясь на сертификаты, обеспечивает шифрование данных, аутентификацию обеих сторон и контроль целостности сообщений. В основном SSL работает в фоновом режиме при соединении с web-сервером для защиты пересылаемой информации, и его присутствие мало кто осознает. Обычно он аутентифицирует только одну сторону – серверную, так как у большинства конечных пользователей нет сертификатов. В противном случае, есть вероятность получения злоумышленником паролей через анализ сетевого трафика.
Кроме того, следует тщательно изучить рекомендации хостинг-провайдера по безопасности и следовать им. Если возможная уязвимость может быть чревата потерями тех или иных ресурсов, то нужно провезти аудит программного обеспечения сайта.
Итак, основа практической безопасности – не «непробиваемая» CMS, а верная оценка рисков и угроз, подкрепляемая правильным управлением этими рисками. Лучше всего на вопросы безопасности ответит специалист, но такие специалисты недешевы. Поэтому, если бюджет не позволяет нанять эксперта, то необходимо хотя бы следовать самым простым, только что перечисленным, правилам безопасности.
Одной из основных задач является обеспечение эффективной и надежной защиты от различных хакерских атак, попыток взлома и хищения информации с сайта. Система управления сайтом «1C-Битрикс», оснащена модулем «Проактивная защита», который содержит комплекс мероприятий, предназначенных для защиты интернет-ресурса и различных приложений.
На одном из фестивалей по инициативе компаний Positive Technologies и «1C-Битрикс» был организован конкурс. Его участникам предлагалось взломать сайт, оснащенный «Проактивной защитой». При этом специально были созданы уязвимые места, соответствующие ошибкам, допущенным при разработке сайта. Главной целью конкурса являлась проверка функционирования «Проактивной защиты» в сложившихся тяжелейших условиях. Свыше 600 специалистов пытались обойти систему «Проактивной защиты», среди которых были и участники фестиваля, и многие желающие, принимающие участие в конкурсе через интернет.
Результаты конкурса были проанализированы экспертами в области веб-безопасности. В итоге только одному участнику удалось выполнить задачу конкурса за счет использования недостатков web-браузера Internet Explorer. Данное мероприятие позволило выявить имеющиеся недостатки, внести необходимые поправки в функции фильтра и за счет этого модернизировать функционирование системы.
«Проактивная защита» является результатом многолетней кропотливой работы компании и олицетворяет инновационный подход в области веб-безопасности. Она позволяет существенно повысить эффективность защиты от различных хакерских атак и уменьшить зависимость владельцев сайтов от практически регулярных ошибок веб-разработчиков.
Если же рассматривать более распространённую CMS «Joomla», то, не смотря на то, что они выпустили свой «сканер безопасности» и с его появлением было исправлено более шестидесяти ошибок, в том числе и уязвимости, способствующие отказу в доступе, все же в данной CMS есть ещё много «обходных путей». Примером таких «путей» может служить файл подключения фильтра «class.inputfilter.php». В августе 2006 года к этому файлу был сделан запрос:
«index.php?option=com_poll&task=results&id=14&mosmsg=DOS@HERE<<>AAA<><>».
Данный запрос при неоднократном повторении сводился к статусу «DoS-атака», то есть приводила к отказу в обслуживании. Данная уязвимость была исправлена только в октябре 2007 года. Потом же была найдена и своевременно исправлена аналогичная уязвимость в расширении «Virtuemart». Сейчас выходит множество официальных и сторонних расширений на «свежеиспечённую» «Joomla 3.x», и даже не смотря на то, что данная уязвимость не считается актуальной, однако она до сих пор находит своё применение среди злоумышленников.
Так же довольно популярной стала CMS «Wordpress». Первоначальная концепция «Wordpress» была направленна на создание сайтов-блогов, «одностраничных» сайтов и подобных. Однако многие пользователи «Wordpress» стали ставить самописанные или же готовые сторонние плагины типа «Интернет-магазин» на данную CMS.Однако в 2012 году исследователи из «Sans Institute» заявили, что им поступило несколько сообщений о попытках атаки на популярные системы управления контентом, в частности «WordPress». Скомпрометированные web-сайты были инфицированы вредоносным кодом, перенаправляющим пользователей на сторонние порталы.
Исследователь Джон Бамбенек, руководитель компании «Bambenek Consulting», ведущий блог в «Sans Institute», сообщил, что инцидент является особенно интересными из-за попыток злоумышленников массово атаковать страницы путем взлома серверов.
“Интересно отметить, что это не похоже на эксплоит, производящий поиск одной уязвимости. Судя по всему, злоумышленники сканировали серверы на наличие сразу нескольких брешей в «Wordpress»”, – дополнил эксперт в своем личном блоге.
В «Sans Institute» отмечают, что атакованные порталы перенаправляли пользователей на сторонний ресурс, заражающий системы самих посетителей ложным антивирусом. Конечной целью взломщиков было получение материальной платы за регистрацию фальшивого программного обеспечения и якобы устранение угроз безопасности.
Таким образом данный пример хорошо показывает, как уязвимости CMS перерастают в уязвимости http-сервера.
Из всего выше сказанного можно сделать вывод, что информационная безопасность Интернет-магазина является одним из важных и актуальных аспектов его существования в целом.
В наше время торговля посредством сети Интернет развивается достаточно быстро. Данный способ торговли становится все более актуальным, особенно там, где электронным рынком можно воспользоваться большей части предприятий.
Коммерческая деятельность в «Сети» снимает определённые ограничения. Компании, осуществляющие торговлю через сеть Интернет, могут предоставить клиентам круглосуточную поддержку. Покупки могут осуществляться в любое время суток из любой точки земного шара.
Однако в данном способе торговле есть свои минусы. На зарубежных виртуальных рынках, сделки нередко ограничиваются определённой суммой. Это явление обосновывается проблемами информационной безопасности Интернет-магазинов. По мнению ООН, компьютерная преступность вышла на уровень одной из международных проблем.
Исходя из исследований компании «SLI Systems», объем мировой электронной коммерции в 2013 году должен превысить 1,25 триллиона долларов. Данный прогноз обосновывается проблемами обеспечения экономической и информационной безопасности электронной коммерции. Если нынешний уровень безопасности сохранится, то мировой оборот электронной коммерции может существенно снизиться. Из этого следует, что низкий уровень безопасности электронной коммерции является основным сдерживающим фактором развития электронного бизнеса.
Решение проблем обеспечения безопасности электронной коммерции в первую очередь связано с решением вопросов безопасности технологий, применяемых в ней, то есть с обеспечением информационной безопасности.
Объединение бизнеса с сетью Интернет приводит к кардинальному изменению обеспечения безопасности. Прав и обязанности, на основании электронного документа требуют защиты от всей совокупности угроз, как отправителя документа, так и его получателя. К сожалению, руководители предприятий электронной коммерции осознают всю серьезность угроз информационной безопасности и важность организации мер защиты своих ресурсов только в том случае, если сами ресурсы подвергнуться атакам. Как можем понять, все выше сказанное относится к сфере информационной безопасности.
При обеспечении информационной безопасности должен соблюдаться ряд основных требований – доступность, конфиденциальность, целостность. Любая угроза информационной безопасности должна рассматриваться с точки зрения того, как она может повлиять на данные требования.
Угрозы и уязвимости Интернет-магазина.
По своей сути, Интернет-магазин — это web-приложение, состоящее из клиентской и серверной частей, реализующих технологию «клиент-сервер». Клиентская часть реализует интерфейс приложения, посылает запросы к серверу и обрабатывает ответы на эти запросы. Серверная же часть получает запрос, выполняет вычисления относительно запроса, после чего формирует web-страницу, которую видит пользователь. Само же приложение может работать в качестве клиента других служб, например, базы данных или другого веб-приложения, расположенного на другом сервере.
Анализ данных исследований проводимых компанией «Positive Technologies», осуществляющих проведение тестов на проникновение и аудит информационной безопасности показывают, что ошибки в защите веб-приложений остаются одним из распространенных недостатков обеспечения информационной безопасности. Уязвимости Интернет-магазинов и корпоративных порталов являются одним из самых распространенных путей реализации атак на web-приложения с целью кражи или уничтожения информации и проникновением в корпоративные информационные системы.
Согласно данным компании «Positive Technologies», чаще всего выделяют следующие виды угроз:
• Межсайтовое кодирование (XSS –атаки);
• SQL — инъекции;
• Неправильная конфигурация web-сервера;
• Вредоносное программное обеспечение;
• Подделка межсайтовых запросов(CSRF);
• Вызов исключительных ситуаций;
• Атаки типа «отказ в обслуживании»(DoS-атаки).
Результатом успешной реализации угроз безопасности Интернет-магазину может быть утечка или уничтожение конфиденциальной данных (коммерческой информации, сведения о покупателях), заражение системы и в последующем компьютеров пользователей вредоносным программным обеспечение, недоступность клиентов к web-приложению.
Ко всему этому, компания теряет доверие клиентов, теряет деньги от потенциальных и/или несовершенных сделок, нарушается деятельность электронного магазина, затрачивает время, деньги и человеческие ресурсы на восстановление функционирования и всё это приводит к ослаблению репутации на рынке.
Угрозы, связанные с перехватом передаваемой информации (получение несанкционированного доступа к ней) посредством сети Интернет, присущи не только к Интернет-магазину. Особое значение представляет то, что в системах электронной коммерции хранятся сведения, несущие экономическое характер: номера кредитных карт, номера счетов, содержание договоров и подобные.
Исходя из сказанного, возникает необходимость в использовании средств и методов защиты информационных ресурсов интернет-магазина от НСД(несанкционированного доступа).
Таким образом, можно сделать вывод, что обеспечение информационной безопасности Интернет-магазина – это не только одно из важных требований успешного ведения электронного бизнеса, но и фундамент доверительных отношений между клиентом и кампанией. Торговля посредством сети Интернет предполагает активный обмен информацией, проведение открытых транзакций через незащищенную сеть общего доступа, которые невозможны без доверия между субъектами бизнеса.
Исходя из этого, обеспечение информационной безопасности подразумевает комплексный подход, включающий в себя такие задачи, как доступ к серверам и web-приложениям, аутентификация и авторизация пользователей, обеспечение конфиденциальности и целостности персональных данных, реализация электронной цифровой подписи и применение прочих мер обеспечения информационной безопасности.
XSS–атаки.
XSS-атаки относятся к типу уязвимостей интерактивных информационных систем в сети Интернет.
XSS-атака – это внедрение вредоносного кода, которое может быть возможным посредством вводимых пользователем данных, которые обычно передаются на страницу через веб-форму. «Атакующий» вредоносный код может быть кодом любого языка web-программирования на стороне клиента, например, JavaScript, HTML, Flash, CSS, и подобные. Код используется для сохранения вредоносных данных на сервере или же выполнения вредоносных действия в браузере пользователя.
К сожалению, межсайтовые скриптовые атаки происходят, в основном, потому, что разработчики не в состоянии обеспечить безопасный код.
Фактический вредоносный код не хранится на сервере, а передается через него жертвам. Атака запускается из внешнего источника, например, из сообщений электронной почты или стороннего сайта.
Непрерывная XSS-атака.
Этот тип атаки происходит, когда вредоносный код уже внедрён в процессе системы и хранится непосредственно в базе данных. В качестве инструмента внедрения может использоваться комментарий, файл журнала, сообщения типа «уведомление» или любой другой раздел на сайте, требующий ввода данных пользователем. После внедрения, в момент, когда «заражённая» информация предоставляется на веб-сайте, вредоносный код запускается на исполнение.
Как пример можно использовать систему комментариев: Как только нарушитель оставит комментарий, тот будет сохранен в файле базы данных. Таким образом, весь файл отображается всей аудитории пользователей. Если в момент обработки вредоносный код выполнится без каких-либо проверок, то он будет сохранен и автоматически запущен.
Методология предотвращения XSS-атак.
В рамках реализации мер безопасности, предотвращающих XSS-атаки, необходимо помнить о таких стандартных методах, как:
• Проверка данных, поступивших в базу;
• нормализация базы данных;
• экранирование символов скрипта в строке ввода данных.
Используя данные метода, можно предотвратить угрозы простых XSS-атак.
Проверка данных, поступивших в базу.
Проверка данных – это процесс обеспечения работы приложения корректными данными. Если PHP-скрипт ожидает возврата целого числа, при вводе данных пользователем, то любой тип данных, неподходящий под требования скрипта, будет отклонен и пользователь получит сообщение об ошибке ввода. Каждая часть пользовательских данных должна быть проверена ещё при обработке.
Если нужно проверить номер телефона, то поле ввода данных должно быть привязано к числовой переменной типа «integer», так как номер телефона должен состоять только из цифр. Необходимо также принимать во внимание длину строки ввода.
Нормализация базы данных.
Нормализация базы данных сфокусирована на манипулировании данными с целью, убедиться, что они безопасны для системы. Происходит удаление нежелательных битов данных или же, при возможности, приведение их к правильной форме.
Экранирование данных.
Для защиты корректного отображения данных на выходе, их необходимо экранировать. Это предотвратит попытку парсера в браузере непреднамеренно изменить значение специальных последовательностей символов, обработанных данным.
Данный метод необходим при отображении введенных пользователем данных, содержащих нежелательные html-тэги.
SQL-инъекция.
SQL-инъекция – это метод атаки базы данных в обход межсетевой защиты.
При использовании данного метода, параметры, передаваемые в базу данных через web-приложения, изменяются таким образом, чтобы изменить
выполняемый SQL-запрос.
Выделяются два основных типа SQL-инъекций:
• SQL Injection в строковом параметре;
• SQL Injection в цифровом параметре.
Методология предотвращения SQL-инъекций.
Предотвращение системы от SQL-инъекций реализуется путём проверки валидности запроса, и имеет в основном программно-технический характер.
Защита от SQL Injection в цифровом параметре.
Для проверки переменной на числовое значение используется функция «is_numeric(n);», которая возвращает «true», если параметр переменной — число, и «false» в противном случае. Так же можно не проверять значение на число, а вручную переопределить тип.
Защита от SQL Injection в строковом параметре.
Большинство взломов через SQL-инъекции происходят по причине нахождения в строках недопустимых специальных символов. Для нормализации работы с такими строками необходимо использовать функцию «addslashes($str);».Данная функция возвращает строку $str с добавленным обратным слешем () перед каждым специальным символом. Данный процесс называется экранизацией.
Подделка межсайтовых запросов(CSRF).
Подделка межсайтовых запросов(CSRF)вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP. Если жертва заходит на сайт, созданный злоумышленником, от её лица тайно отправляется запрос на другой сервер (например, на сервер платёжной системы), осуществляющий некую вредоносную операцию (например, перевод денег на счёт злоумышленника). Для осуществления данной атаки, жертва должна быть авторизована на том сервере, на который отправляется запрос, и этот запрос не должен требовать какого-либо подтверждения со стороны пользователя, который не может быть проигнорирован или подделан атакующим скриптом.
Защита от подделки межсайтовых запросов.
Основным способом защиты является механизм, при котором, с каждой сессией пользователя, ассоциируется дополнительный секретный ключ, предназначенный для выполнения запросов. Пользователь посылает этот ключ среди параметров каждого запроса, и перед выполнением каких-либо действий сервер проверяет этот ключ на валидность. Преимуществом данного механизма является гарантированная защита от атак данного типа. Недостатком же являются требования возможности организации пользовательских сессий и требования динамической генерации HTML-кода активных страниц сайта.
При разработке Интернет-магазина, как и при разработке любого веб-проекта, необходимо понимать, что информационная безопасность является одним из важных требований для полноценного и стабильного функционирования Интернет-магазина, как системы.
При правильной настройки системы управления контентом, системы разграничении доступа, http-сервера и системном подходе при решении проблем информационной безопасности CMS, система работает стабильно и даёт возможность управления процессами обеспечения информационной системы.
Таким образом, можно сделать вывод, что внедрение данной системы в Интернет-магазин автоматизирует некоторые процессы информационной безопасности и сократить определённые риски, однако информационная безопасность требует комплексного подхода и чаще всего человеческий фактор играет большую роль в правильном обеспечении безопасности.
Количество просмотров публикации: -