SEOSERVISE - Защита информации.

 
   
 

Главная


 


Вторая очевидная ошибка заключается в использовании для проверки входных данных клиентских сценариев. Зачастую для снижения нагрузки на сервер разработ­ чики пытаются использовать языки JavaScript или VBScript в клиентской части при­ложения. Однако клиентские сценарии также не обеспечивают необходимого уровня защиты. Они позволяют повысить лишь привлекательность Web -страниц. Взломшик может изменить клиентские сценарии и легко обойти процедуры проверки входных данных. Как и в случае с компанией Acme , можно ввести отрицательное количество товара, обойдя все ограничения, налагаемые встроенным сценарием JavaScript . В не­ которых системах электронной коммерции часть арифметических операций, напри­мер подсчет общего количества товара и стоимости, выполняются в их клиентской части. С точки зрения покупателя, такая возможность очень удобна, поскольку по­ зволяет быстро увидеть обновленные значения. Однако на самом деле такого подхо­ да следует избегать. Приложения должны быть спроектированы таким образом, чтобы вся проверка корректности данных и все вычисления выполнялись на серве­ ре. Только в этом случае взломщик не сможет манипулировать данными. Можно сформулировать следующее золотое правило: "Нельзя доверять данным, передавае­ мым из клиентского броузера". Последний изъян был связан с недостаточной проверкой входных данных в сцена­ рии myvebcart . cgi . Всякий раз, когда данные из полей HTML -формы передаются на вход таким функциям, как ор«п(), необходимо удостовериться в отсутствии каких- либо комбинаций символов или метасимволов. Нужно выполнять проверку как длины полученных данных (для предотвращения переполнения буфера), так и наличия мета­ символов. К сожалению, компания Acme не позаботилась о том, чтобы отфильтровать такие метасимволы, как &,*,$, | и <. Более исчерпывающий перечень процедур про­ верки входных данных содержится в главе 1. К дополнительным проблемам обеспечения безопасности, характерным для сис­ тем электронной коммерции, можно отнести следующие: возможность поиска на сервере временных файлов; использование несовершенных механизмов шифрова­ ния; незащищенность каталогов файловой системы; возможность повышения при­ вилегий, получения информации о клиентах, изменения заказов и генерации усло­ вия DoS ( Denial of Service — отказ в обслуживании). Все перечисленные изъяны могут использоваться для реализации атак и присутствуют во многих приложениях электронной коммерции. Приложения электронной коммерции привлекают внимание хакеров, поскольку с их использованием можно "манипулировать" финансовыми средствами по своему ус­ мотрению. Каждый менеджер по информационным технологиям, системный админи­ стратор и разработчик должны уделять большое внимание защите важной корпора­тивной и другой информации от злонамеренных хакеров. Единственный изъян при­ ложения может оказаться катастрофическим и способен привести к большим потерям. Однако в этом случае теряются не только деньги, но и с трудом заслуженная репута­ ция. Неважно, кто совершил ошибку — группа разработчиков приложения или ком­ пания-разработчик какого-либо коммерческого компонента. В любом случае постра­ дает компания, в которой используется это приложение. Защитите свои Web - приложения, присвойте задаче обеспечения их безопасности самый высокий приори­тет до того момента, как будет написана первая строка кода.

 

 

 

 

 

 
 

1 |2 |3 |4 |5 |6 |7 |8 |9 |10 |11 |12 |13 |14 |15 |16 |17 |18 |19 |20 |21 |22 |23 |24 |25 |26 |27 |28 |29 |30 |31 |32 |33 |34 |35 |36 |37 |38 |39 |40 |41 |42 |43 |44 |45 |46 |47 |48 |49 |50 |51 |52 |53 |54 |55 |56 |57 |58 |59 |60 |61 |62 |63 |64 |65 |66 |67 |68 |69 |70 |71 |72 |73 |74 |75 |76 |77 |78 |79 |80 |81 |82 |83 |84 |85 |86 |87 |88 |89 |90 |91 |92 |93 |94 |95 |96 |97 |98 |99 |100 |