ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ WEB-САЙТОВ

Большинство современных информационных систем создаются в виде Web-сайтов, поэтому безопасности необходимо уделить особое внимание.

Как только появляется устройство с операционной системой и программным приложением, оно сразу же привлекает интерес злоумышленников. Они начинают его изучать и взламывать. В последний год этой тенденции было посвящено много докладов на крупных хакерских конференциях.

Разработчики не всегда уделяют особое внимание полной защите и безопасности созданных сайтов, хотя она и играет очень важную роль, потому что каждый сайт так или иначе может быть подвергнут взлому хакеров, если учитывать то, что сайты могут быть, самые что ни на есть, разнообразные: электронные библиотеки, социальные сети, Web-порталы различных учебных заведений, онлайн-магазины, официальные сайты всяких организаций, банков и прочее.

В первую очередь, необходимо обратить внимание на безопасность веб-сервера, так как именно он  отвечает за прием и обработку HTTP-запросов от клиентов к веб-сайту. Именно он обеспечивает функционирование многочисленных веб-сайтов по всему миру, а так же отвечает за базовые услуги и хранит персональные данные, как пользователей, так и посетителей сайта. Необходимость защиты серверов – это одна из самых важных задач любой организации.

Даже во время появления первых Web-сайтов взломщики осуществляли атаки на сайты немаловажных организаций, например, такой как, американский СитиБанк (1994г.), в результате чего было украдено 12 млн. долларов, жертвой так же стали и сайты НАТО, ЦРУ, и Минюста США.

В настоящее время, казалось бы, таких угроз должно стать гораздо меньше или не быть совсем, но, увы, это далеко не так: как и прежде, сейчас производится достаточно большое количество кибератак, причем в основном на такие глобальные организации, как правительственные учреждения и банки. Это обуславливается тем, что на таких контентах можно «заработать» большое количество денег или же получить/изменить информацию, которая способна каким-то образом повлиять важные для государства события.

Достаточно важным моментом является то, что географическое местоположение сервера, отнюдь, никак не влияет на его защиту. Произвести атаку на него можно с любой точки доступа. Это связано с тем, что Web-серверы в силу своей открытости рассчитаны на передачу информации между пользователями и именно поэтому имеют множество уязвимостей. К примеру, злоумышленник может внести какие-то изменения (модификации) в код HTTP сервера или сервера базы данных, либо самих страниц веб-сайта, поменяв его изначальную функциональность.

Наиболее распространенные действия правонарушителей кибератак над взломанными сайтами, которые зачастую применяются и по сей день:

• опубликовали ложную информацию на сайте;
• получили несанкционированный доступ к серверу, где были собраны очень стоящие сведения;
• атаковали базу данных о владельцах пластиковых карт банка; украли данные, касающиеся номеров счета основных держателей банковской карты, их имен, фамилий, контактной информации, а затем похитили крупное количество денег;
• создали вирусы, которые легко взламывали пароли, а после использовали зараженные машины для рассылки спама или как базы для хранения украденной информации;
• предприняли атаки на интернет-сайты официальных (правительственных) учреждений различных стран;
• распространили вирусы, которые привели к значительному замедлению скорости работы интернета (были случаи, что в результате таких вирусов некоторые регионы оказались и вовсе отрезанными от сети);
• Dos-атаки (Denial of Service— “отказ в обслуживании”) на сеть с целью переполнения ее дополнительными запросами так, чтобы полезный трафик либо снижался до минимума, либо вовсе прерывался;
• получили доступ к информации, связанной с технологией SecurID, которая применяется для обеспечения безопасности корпоративных компьютерных сетей (утечка этих сведений может привести к «снижению эффективности» текущей реализации SecurID, что, в свою очередь, может стать основой для осуществления атак на защищенные ресурсы).

 Сейчас существуют различные программы, а так же специальное Web-тестирование, которые могут определить примерный коэффициент безопасности и надежности сайта. Благодаря такому тестированию можно заранее оценить безопасность сайта и его уязвимость.

Предполагается, что каждый третий сайт отслеживается сторонними людьми. Это довольно неприятный и настораживающий факт для Web-разработчиков. Имея всю необходимую информацию об уязвимостях сайта, можно с легкостью его взломать, поэтому главная задача разработчиков в вопросе о надежности и защите сайта состоит в том, чтобы предотвратить как можно больше этих уязвимостей или хотя бы как следует их спрятать.

Лаборатории по предотвращению различных вирусов больше всего стали уделять внимание разработке средств противодействия DDoS­ атакам (Denial of Service — «отказ в обслуживании»).

Рисунок 1. Принцип осуществления Dos-атаки

Так же существует кибершпионаж, т.е. когда злоумышленники не атакуют информационную систему (или сайт), а просто занимаются кражей всей необходимой информации для своей выгоды.

Более крупные предприятия подходят к информационной безопасности (ИБ) с гораздо большей ответственностью, нежели компании малого и среднего бизнеса (СМБ), отчего эти компании и  страдают больше всех. По статистике, именно у них возникает больше инцидентов в контексте информационной безопасности.

Главными жертвами DDoS-атак в основном остаются интернет-магазины и торговые площадки (рисунок 2) [2].

Рисунок 2 — Жертвы DDoS-атак

В соответствии с исследованиями, проведенными Лабораторией Касперского [4], около 90% выявленных вредоносных программ – это банковские трояны, которые воруют информацию о банковских картах.

Так же существуют специальные программы, которые блокируют содержимое устройства (в данном контексте – конкретно сайта), пока не будет выплачен «выкуп».

При создании нового сайта разработчики могут воспользоваться либо уже существующими платформами, а точнее CMS (система управления контентом), либо написать все с нуля, но чаще всего малые компании предпочитают пользоваться готовыми инструментами.

Основные функции CMS:

• предоставление инструментов для создания содержимого, организация совместной работы над содержимым;
• управление содержимым: хранение, контроль версий, соблюдение режима доступа, управление потоком документов и т. п.;
• публикация содержимого;
• представление информации в виде, удобном для навигации, поиска.

Главный минус CMS-ок – это то, что у них так же есть свои уязвимости, которые обычно можно найти в интернете.

С каждым годом выходят все новые и новые обновления CMS-ок, а вместе с тем появляются новые уязвимости: хотя необходимо так же (отметить) обратить внимание и на то, что какие-то старые уязвимости предотвращаются.

Но, несмотря на все опасения, не следует считать, что защитить веб-сервер совсем невозможно, нужно лишь приложить некие усилия для обеспечения его безопасности. Для этого потребуются совместные действия администраторов веб-сайтов, программистов и проектировщиков, а так же необходимо учитывать, что антивирусное ПО, операционные системы и права доступа постоянно требуют к себе особого внимания.

Самые популярные способы защиты CMS-ок от различных атак:

1.            Защита от XSS-инъекций;

2.            Скрытие лишней информации;

3.            Принудительное использование SSL;

4.            Защиты корневого файла;

5.            Методы предотвращение спамеров и ботов;

6.            Использование различных плагинов для защиты от зловредных url-запросов;

7.            Применение методов предотвращения личеров;

8.            “Уничтожение” админа;

9.            Защита директорий на сервере от просмотра.

Внедрение современных средств защиты является неотъемлемой частью мероприятий по обеспечению информационной безопасности [6].

Защищать свой сайт – это одна из самых важных задач Web-разработчиков. Если не уделять ей особого внимания — можно приобрести (создать) множество убытков, как в материальном плане, так и в политическом. В связи с тем, что интерес злоумышленников к атакам на Web-сайты не умолкает даже сейчас (если учесть то, что все злонамеренные деяния караются законом), разработчикам необходимо в первую очередь задуматься о его безопасности. Существует множество средств защиты Web-сайтов, но какими бы они не были эффективными все равно необходимо периодически тестировать Web-сайты на уязвимости, которыми в любой момент может воспользоваться взломщик.

Таким образом, главный совет разработчикам и администраторам Web-сайов — неоднократно проверять уровень его надежности и безопасности.

Список литературы:

1. Крис Митчелл. Артем Конев. Обеспечение безопасности веб-сайтов. // Australia: SophosLabs. [Электронный ресурс]. URL: (дата обращения: 15.02.2016).
2. Смирнов С.Н. Безопасность систем баз данных – М.: Гелиос АРВ, 2007.-352с., ил.
3. «Лаборатория Касперского»: Сложные кибератаки пришли на смену массовым эпидемиям [Электронный ресурс]. URL: (дата обращения: 15.02.2016).
4. DDoS атаки и малый бизнес (Saturday, February 22, 2014) [Электронный ресурс]. URL: (дата обращения: 15.02.2016).
5. Бирюков А.А. Информационная безопасность: защита и нападение – М.:ДМК Пресс, 2012.-474.: ил.
6. Сумкин К.С., Никонов В.В., Иванова И.А. Использование беспроводных систем при мониторинге объектов, находящихся под воздействием сетевых угроз // Естественные и технические науки. 2014. № 3 (71). С. 155-157.
7. Сумкин К.С., Иванова И.А., Никонов В.В., Терехин И.В. Нечеткие гибридные системы в задачах защиты, анализа и управления разграничением прав доступа в компьютерных сетях // Актуальные проблемы гуманитарных и естественных наук. 2014. № 6-1. С. 145-150.[schema type=»book» name=»ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ WEB-САЙТОВ» description=»В статье описаны самые распространенные виды атак и различные уязвимости, с помощью которых хакерам удается проникнуть и взломать программный продукт. Актуальность данной тематики обусловлена тем, что, не смотря на высокий прогресс в области безопасности систем, все равно многие системы, в том числе и сайты, могут быть подвергнуты взломам злоумышленников.» author=»Матяш Екатерина Дмитриевна, Никонов Вячеслав Викторович, Иванова Ирина Алексеевна» publisher=»БАСАРАНОВИЧ ЕКАТЕРИНА» pubdate=»2016-12-22″ edition=»euroasian-science.ru_25-26.03.2016_3(24)» ebook=»yes» ]