Если программист совершил ошибку, то программа скрипт работает на все 200 - Веб-строительство

Основы безопасности веб-приложений

букозавр · 2007-02-27T06:26:36.0000000Z

Не являясь спецом по информационной безопасности, я много дней потратил на изучение всех возможных уязвимостей, которые может содержать среднестатистический веб-сервис, с целью однозначного понимания вопроса - как защитить свой сайт от хакеров. Опыт поиска и систематизации информации по безопасности сильно разочаровал - не удовлетворили ни пестрая куча сообщений о различных багах и фиксах, ни журнальные статьи, освещающие лишь какую-нибудь одну сторону вопроса, ни форумы типа античата, ни даже классификация веб уязвимостей от WASC затертого 2004 года (с тех пор хакеры ушли далеко вперед). Забив на все попытки third-party писателей классифицировать способы защиты веб-приложений, я решил создать собственную классификацию, состоящую из трех простых правил, которые не лишне взять на вооружение любому веб кодеру / админу. В эти три правила уложились все основные принципы безопасности веб приложений и основные способы их защиты, способные отразить львиную долю всевозможных хакерских атак. Разумеется, чтобы отразить ВСЕ хакерские атаки, требуется нечто большее чем комбинация из трех п., :) но об этом - в конце статьи. Итак, три основных правила веб-безопасности: Правило 1. Никогда не доверять информации, приходящей от клиента на сервер. Любой байт, принятый сервером, может являться частью хакерской атаки. A) Защищайте свои переменные - register_globals в PHP должен быть off. Пользуйтесь суперглобальными массивами. B) Фильтруйте ВСЕ до единой суперглобальные переменные перед КАЖДЫМ их использованием. Фильтрация подразумевает обязательную проверку на минимальную и максимальную допустимую длину строки, на разрешенный для данной переменной строго ограниченный диапазон символов (0-9, a-z и т.д.), на наличие внедренных html тэгов и спецсимволов, если числовое значение - проверку на нижнюю и верхнюю границу допустимого диапазона. Рекомендуется написать универсальную функцию для фильтрации значений. C) Фильтруйте весь входящий http трафик с помощью модуля mod_security (для Апача). Настройка модуля может потребовать значительного времени, но она того стоит. Благо, в Сети достаточно подробных инструкций. D) Если в вашем веб-приложении используется закачка на сервер картинок (например, аватары для форума), то при их получении сразу сканируйте их свежеобновленным антивирусом. Картинки, кроме проверки php-шной функцией image_type_to_mime_type(), рекомендуется еще обрабатывать функцией image_copy(), перед тем как сохранить картинку на диск - для отсечения кода, который может быть прицеплен в хвост графического файла. E) Если в вашем веб приложении есть защищенная область с доступом по логину и паролю, не поленитесь добавить к ним хорошую капчу. Это защитит ваше веб-приложение от брутфорс атаки. Тщательное соблюдение Первого Правила позволит защититься от самых распространенных хакерских атак, таких как XSS скриптинг, SQL и SSI иньекции, PHP инклюдинг, ОС коммандинг, брутфорс и т.п. Правило 2. Никогда не показывать клиенту ничего, кроме того, что он должен видеть. Точнее, ничего, кроме той html страницы, которую он запросил. Все остальные детали и подробности процесса должны быть скрыты. A) Максимально ограничьте права клиента на доступ в пределах сервера. Например, клиент может читать только этот файл только из этой директории, или читать только из этой таблицы БД, - все остальное должно быть ему запрещено. B) В настройках Апача, во всех строках типа "Options ... Indexes Includes" удалите, от греха подальше, параметры Indexes и Includes (и не забудьте рестартануть Апач). Вы без этих двух параметров прекрасно обойдетесь, а заодно и закроете две широченные дырки для хакера. C) Ограничьте информацию, выдаваемую в http заголовке ответа сервера, только самым необходимым минимумом. Например, стандартное поле Server ответа, содержащее полную информацию о вашем веб-сервере, не является необходимым - а хакеру оно четко указывает, дыры в каком именно ПО он может использовать для взлома. D) Если вы используете сессии и cookie для доступа к закрытым частям сайта, то в cookie не сохраняйте ничего, кроме идентификатора сессии. Ну и генерация случайного SessionID и таймаут сессии - как не подлежащая сомнению аксиома. E) Если вы скроете свои истинные URLы с помощью модуля mod_rewrite (Апач), то от вас не убудет, а вот хакеру это создаст значительные трудности. F) Не слишком надейтесь защитить свою информацию от хакера с помощью md5 хэша. Хэш 4-5 символьного пароля, например, вскрывается брутфорсером PasswordsPro всего за пару часов. Лучше потратьте свои усилия на то, чтобы максимально закрыть интимные части вашего сервера от посторонних взглядов. Хорошо внедрив Второе Правило на своем сервере, вы освободитесь от уязвимостей класса "Information Disclosure" (в переводе на русский - "по секрету всему свету"). Правило 3. Никогда не полагаться на надежность платформы, на которой работает веб-приложение. Любое программное обеспечение, являющееся платформой для вашего веб-приложения (ОС, веб-сервер, сервер БД и т.п.), как правило имеет множество дыр, как известных, так и пока неизвестных. A) Ставьте себе самые последние стабильные версии ПО. Устаревшие версии, как правило, имеют дыры, закрытые в более новых версиях. B) Как можно чаще пропатчивайте свое ПО - в идеале, сразу после выхода нового патча. C) Не жмитесь, поставьте себе хороший лицензионный антивирус, антиспайваре, файерволл и прокси. Потом сами себе спасибо скажете. D) Если вы планируете использовать для своего веб-приложения не выделенный сервер с индивидуальными настройками, а виртуальную площадку на каком-нибудь массовом хостинге, то тогда не поленитесь тщательно выбрать хостера. Практика показывает, что бесплатный хостинг не имеет надежной сетевой защиты и легок для взлома, а многие платные хостеры грешат лентяйским отношением к техобслуживанию, что оборачивается регулярным падением их серверов и иногда даже полной потерей баз клиентов. Так что выбирайте хостера тщательно. Соблюдение принципов Третьего Правила позволит вам решить многие проблемы безопасности. Например, установка последних патчей для ОС позволит избежать атак типа DoS или Buffer overflow, установка последних версий PHP5 закроет возможность для атак расщепленным http запросом, установка и правильная настройка файерволла закроет доступ к серверу через "левые" порты. Ну и т.д. ИТОГО Приведенные три правила безопасности позволяют закрыть львиную долю дыр в веб-приложении, но, конечно же, не все. Чтобы закрыть ВСЕ известные дыры, придется воспользоваться профессиональным сканером уязвимостей, из которых самые известные - XSpider, Nikto, ISS, HackerSafe. И тут уж так - либо вы воспользуетесь сканером для поиска и латания дыр в своем веб-приложении, либо хакер воспользуется этим же сканером для взлома вашего веб-приложения. Думайте сами, решайте сами. P.S. Этот сборничек рекомендаций я писал изначально для себя, поэтому он не претендует на завершенность и полноту освещения вопроса. Кроме того, он написан для связки PHP + Apache. Поэтому, если есть конструктивные замечания и профессиональные дополнения по данному вопросу, то вэлкам.

180

-EX-

12 марта 2007, 13:12

#31

Развели тут флейм... :) Лучше бы живые примеры демонстрировали... :) Опытом делились...

С уважением, Андрей aka EX

U

40

usja

12 марта 2007, 15:02

#32

Все "дыры" в веб-приложениях происходят не потому что есть дыра, а потому что программист совершил ошибку.

Если программист совершил ошибку, то программа\скрипт корректно работать не будет.

А взлом происходит из-за неопытности программистов и различной настройки сервера.

Друзей не обижают, даже шутя. Белый каталог (быстрая регистрация) (http://vazeline.org.ua) 4life.com.ua (http://4life.com.ua)

[Удален]

12 марта 2007, 15:22

#33

-EX-:
Опытом делились.

Что касается опыта во взломах то я участвовал в процессе бета-тестирования нескольких OpenSource Web-приложений я обнаруживал не много дыр, но большенство из них именно опечатки а не отсутствие "параноидальной-фильтрации" предложенной букозавр-ом.

Опечатку допустить может любой (а для XSS и SQL-injection достаточно упустить в коде даже один символ) проблема тут проста и называется она "качество vs сроки"

Обычно выбор падает на сроках (тестирование требует слишком много времени) по этому проще выпустить дырявый скрипт а потом если кто нибудь найдёт дыру то просто выпустить "security-fix".

Именно по этому пути и идут большенство фирм/фрилансеров/итд а у некоторых философия ещё проще: "клиенты всё равно лохи будут думать что купили стоящую вещь, а нам главное что мы уже будем при деньгах."

(думаю люди чьи сайты взламывали подтвердят)

А вот рецепта как избежать участи "лоха" или как стать программистом а не "кидалой" просто нету, это слишком сильно зависит от воспитания...

usja:
то программа\скрипт корректно работать не будет.

Вы явно мало представляете о чём идёт речь.

eTarget 2011:Панельная дискуссия «Стратегия eTarget 2011: Круглый стол Могут ли «плохие» входящие

U

40

usja

12 марта 2007, 15:31

#34

Зингельшухер:

Вы явно мало представляете о чём идёт речь.

Может быть, докажите это ☝

Приведите мне, пожалуйста, пример когда была допущена ошибка и скрипт работает правильно.

Только скажите что Вы понимаете под ошибкой

[Удален]

12 марта 2007, 16:45

#35

usja:
Только скажите что Вы понимаете под ошибкой

Вот кусок скрпита

$query = "SELECT *

	FROM `table`

	ORDER BY `id` DESC

	WHERE `value` > " . $_GET['start'];

$result = mysql_query ($query) or die ('Error');

Ошибка допущена а скрипт работает на все 200% (в том то и проблема что на 200% а не 100%) то есть помимо своей функции он также выполняет роль "backdoor"-a.

67

Мэкс

12 марта 2007, 17:20

#36

usja:
Приведите мне, пожалуйста, пример когда была допущена ошибка и скрипт работает правильно.

Любой программист, осиливший проект хотя бы в 10 000 строк приведет десятки таких примеров. Много таких ошибок "затыкается" админами на уровне настроек сервера, о чем, в лучшем случае пишут в документации.

Классическая подобная ошибка - установка системы или данных в определенный каталог на сервере :)

Как правило ошибки допускаются на обработчиках пограничных значений и исключений.

Просто не все возможные варианты учитываются. О многих вещах просто не задумываются.

В веб приложениях это чревато сбоями в работе и бэкдорами, а в финансовых банальными несхождениями баланса. И в том и в другом случае это к деньгам... не в пользу обладателя программы.

Знание некоторых принципов легко возмещает незнание некоторых фактов. К. Гельвеций

eTarget 2011:Панельная дискуссия «Стратегия eTarget 2011: Круглый стол Могут ли «плохие» входящие

SE

13

S.E.O

12 марта 2007, 17:24

#37

Зингельшухер:
И у всех кто в гугле стоит версия 1.0 ?

Да и винда у Вас без дыр выходила ...

Зингельшухер:
и они выбирают пункты 1 и 2 потому что думают что "качество" это только то что внутри скрипта и что этого никто не увидит. (о том что такое безопасность они вообще не имеют понятия)

Бред то не нужно нести...

Зингельшухер:
Вот кусок скрпита

А скрипт написали вы сами для примера.... А поумнее можно было придумать...Так мог написать только начинающий программист, он еще учиться и ему простительно.

Обмен ссылками Авто-Мото, Пишу PHP скрипты любой сложности, Продажа Запчастей на Японские Авто и Спецтехнику

345

pelvis

12 марта 2007, 17:55

#38

Есть хорошая поговорка:

Созвать консилиум и не пригласить больного - поссорить и хороших и плохих врачей.

По сабжу: обжечься на молоке всегда можно, но дуть на воду не всегда полезно. Защиту обойти можно любую, но того, что написал Зингельшухер вполне-вполне. При доступе к администрированию сайта клиенту нужно выставить права и все.

Продаю вывески. Задарма и задорого (https://www.ledsvetzavod.ru/)

eTarget 2011:Панельная дискуссия «Стратегия eTarget 2011: Круглый стол Могут ли «плохие» входящие

[Удален]

12 марта 2007, 17:59

#39

S.E.O:
А поумнее можно было придумать.

Откройте phpNuke старых версий и вы увидите именно этот кусок только чуть чуть видоизменённый как минимум в нескольки местах... (я изменил пример для наглядности)

S.E.O:
Да и винда у Вас без дыр выходила

Винда тоже делается коммерсантами а не программистами...

eTarget 2011:Панельная дискуссия «Стратегия eTarget 2011: Круглый стол Могут ли «плохие» входящие

SE

13

S.E.O

12 марта 2007, 18:06

#40

Зингельшухер:
(я изменил пример для наглядности)

Так видно сразу...Скрипт писал студент..Нужен нормальный пример, чтобы до маразма не доходило..

VK приобрела 70% в структуре компании-разработчика red_mad_robot

Все что нужно знать о DDоS-атаках грамотному менеджеру

Основы безопасности веб-приложений