SEOSERVISE - Защита информации.

 
   
 

Главная


 


4. Поиск форм HTML -формы — один из наиболее стандартных способов взаимодействия пользо­ вателя с Web -приложением. В HTML -формах содержатся введенные пользователем данные, которые затем передаются приложению. При разработке как языка HTML , так и протокола HTTP не учитывалась необходимость проверки корректности данных, передаваемых броузером Web -серверу. На приложение возлагаются все обязанности, связанные с проверкой введенных значений и очисткой полей формы. В аспекте обеспечения безопасности HTML -формы являются наиболее важным компонентом, позволяющим получить доступ к Web -приложению. Нетрудно определить, в состав каких Web -ресурсов входят HTML -формы. В про­ цессе простого поиска подстроки, соответствующей дескриптору < FORH >, можно полу­ чить перечень всех Web -ресурсов, содержащих HTML -формы. Возможно, кроме по­ иска форм, стоит уделить внимание и относящимся к ним полям. Зачастую в формах содержатся скрытые поля, в которых передается важная информация. Каждая форма используется для достижения какой-либо конкретной цели. Очень важно разобраться с назначением формы и связать с ней набор потенциальных атак, которые могут быть реализованы. Web -ресурсы с формами должны быть обязательно идентифицированы. При анализе безопасности им нужно уделять повышенное внимание. 5. Идентификация аплетов и объектов Зачастую в состав Web -ресурсов входят активные компоненты, встраиваемые в до­кумент в качестве объектов. Хорошо известными примерами встроенных объектов яв­ ляются аплеты Java и компоненты ActiveX . Некоторые Web -приложения спроектиро­ ваны таким образом, что аплеты, выполняемые в клиентских броузерах, предоставля­ ют гораздо более богатый интерфейс, чем обычные HTML -формы. По существу, такое приложение удовлетворяет требованиям платформы клиент/сервер, где управле­ ние клиентской частью осуществляется с использованием аплста, а в состав серверной части входит компонент, напрямую связанный с аплстом. Это прямое соединение не должно устанавливаться через протокол HTTP . Подобные объекты могут создать брешь в подсистеме безопасности на уровне приложения. Действительно, достаточно легко выполнить обратное проектирование байт-кода аплетов, получить их исходный код и тем самым проникнуть во внутреннюю часть приложения. Любые изъяны в проектировании или реализации могут привести к возможности выполнения обрат­ ного проектирования. Найти аплеты очень просто. Для этого в HTML -коде достаточно выполнить поиск дескриптора < APPLET >. Рассмотрим Java -аплст rib . class , который, возможно, предна­ значен для взаимодействия с серверной базой данных. Ниже приведен фрагмент кода, взятый из файла http В дескрипторе указано , что аплет Java находится по адресу передается два параметра — db server и db_ instance. Компоненты ActiveX компании Microsoft вставляются в код HTML аналогичным образом. Дескриптор < OBJECT > можно использовать вместо дескриптора < APPLET >. Сле­ дующий фрагмент кода взят из файла

 

 

 

 

 

 
 

1 |2 |3 |4 |5 |6 |7 |8 |9 |10 |11 |12 |13 |14 |15 |16 |17 |18 |19 |20 |21 |22 |23 |24 |25 |26 |27 |28 |29 |30 |31 |32 |33 |34 |35 |36 |37 |38 |39 |40 |41 |42 |43 |44 |45 |46 |47 |48 |49 |50 |51 |52 |53 |54 |55 |56 |57 |58 |59 |60 |61 |62 |63 |64 |65 |66 |67 |68 |69 |70 |71 |72 |73 |74 |75 |76 |77 |78 |79 |80 |81 |82 |83 |84 |85 |86 |87 |88 |89 |90 |91 |92 |93 |94 |95 |96 |97 |98 |99 |100 |