+7 (920) 881-42-86

+7 (920) 881-42-86

Отдел продаж

b24@labzi.ru

249039, г.Обнинск, ул.Университетская, д.2, оф.428

9:00-18:00

❮❮❮ Вернуться

Анализ защищенности web-приложений: на что стоит обращать внимание

С каждым годом web-приложения становятся неотъемлемой частью нашей повседневной жизни. Однако с ростом популярности таких решений увеличиваются и риски. Чтобы обеспечить надежную защиту, важно понимать, на какие угрозы стоит обратить внимание и какие меры безопасности предпринять.


Эти вопросы обсудим с ведущим специалистом по информационной безопасности -
 Дмитрием Высоцким 

С какими угрозами сталкиваются web-приложения?

Каждое web-приложение подвержено определенным рискам. Вот несколько наиболее распространенных угроз:

 

  1. Account Enumeration (UIDH)
    По умолчанию список пользователей не опубликован. по средствам данной эксплуатации злоумышленник может, подобрать список логинов пользователей. Для этого используется часть функционала "Запомнить меня на этом компьютере". При запросе валидного логина, в ответе приложения будет содержаться строка BITRIX_SM_UIDH=deleted:---.

  2. Межсайтовый скриптинг (XSS)
    Атаки XSS позволяют хакерам внедрить вредоносный скрипт в страницу, который затем выполняется на компьютере пользователя. Это может привести к краже сессии пользователя и получения доступа в портал организации.

    Bitrix определенной версии имеет уязвимость XSS on endpoint galleries_recalc.php. Брандмауэр веб-приложений в Битрикс24 до версии 20.0.0 включительно разрешает XSS через параметр arParams[IBLOCK_ID] к URI /comComponents/bitrix/photogallery_user/templates/.default/galleries_recalc.php. Злоумышленник имеет возможность внедрить произвольный веб-скрипт, что может привести к краже учетных данных путем социальной инженерии и краже файлов cookie.

  3. Атаки CSRF
    Злоумышленники могут заставить пользователя выполнить нежелательное действие на сайте, например, изменить настройки и с помощью социальной инженерии попросить пользователя перейти на вредоносный ресурс.

    Bitrix определенной версии имеет уязвимости content spoofing ajax и content spoofing image.

    Сontent spoofing ajax - допускает подмену контента через параметры items[1][TITLE],ITEMS[1][DETAIL_LINK] к URIComponents/bitrix/mobileapp.list/ajax.php.

    Злоумышленник может изменить контент веб-страницы, электронного письма или другого цифрового сообщения, чтобы исказить личность отправителя или предполагаемое сообщение. Это может включать изменение текста, изображений или ссылок в контенте, чтобы ввести пользователей в заблуждение и заставить их нажать на вредоносную ссылку или раскрыть конфиденциальную информацию.

    Сontent spoofing image - допускает подмену контента через параметр img в URI bitrix/tools/imagepg.php.

    Злоумышленник может изменить контент веб-страницы, электронного письма или другого цифрового сообщения, чтобы исказить личность отправителя или предполагаемое сообщение. Это может включать изменение текста, изображений или ссылок в контенте, чтобы ввести пользователей в заблуждение и заставить их нажать на вредоносную ссылку или раскрыть конфиденциальную информацию.

  4. Неправильная настройка серверов
    Иногда безопасность нарушается из-за неверных настроек(misconfig) серверов или программного обеспечения.

    Как пример приведу практику по заказчику, на внешнем периметре были доступны файлы архива сайта и портала bitrix24, где находятся файлы с чувствительной информацией .settings.php и dbcon.php.

  5. Open redirection
    Этот сценарий, возможно уязвим для атак с перенаправлением URL-адресов.

    Перенаправление URL-адресов иногда используется как часть фишинговых атак, которые сбивают посетителей с толку относительно того, какой веб-сайт они посещают. Удаленный злоумышленник может перенаправить пользователей с вашего сайта на указанный URL-адрес.

    Эта проблема может помочь злоумышленнику проводить фишинговые атаки, распространение троянов, спамеров и получение пользовательских данных.


Как правильно провести аудит безопасности web-приложения?

Чтобы обеспечить безопасность web-приложения, важно провести аудит, который поможет выявить слабые места. Вот несколько ключевых шагов:
  1. Анализ кода
    Начнем с проверки исходного кода приложения. Использование инструментов, таких как OWASP ZAP или Fortify, помогает найти уязвимости и ошибки в логике работы приложения. Но лучше это предоставить специалисту.
  2. Пентест (тестирование на проникновение)
    Для более глубокого анализа безопасности стоит провести тесты на проникновение, имитируя атаки хакеров. Для этого обычно приглашаются тестировщики из сторонних организация.
  3. Проверка серверов и сетевой безопасности
    Важно удостовериться, что серверы и вся инфраструктура приложения настроены правильно. Это включает проверку брандмауэров, балансировщиков нагрузки и других сетевых компонентов.
  4. Управление доступом
    Проверьте систему аутентификации и авторизации. Обычно на проектах встречается множественная точка входа. Эта misconfigurations позволяет увеличить скорость brute force злоумышленнику на целевой сервер.
  5. Обновления и патчи
    Регулярные обновления системы и программного обеспечения — важная часть стратегии безопасности. Обновления устраняют известные уязвимости и делают систему более защищенной.

    Из популярных и опасных на данный момент это - уязвимость модуля landing системы управления содержимым сайтов (CMS) 1С-Битрикс. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить команды ОС на уязвимом узле, получить контроль над ресурсами и проникнуть во внутреннюю сеть.


Пример Bitrix24: как решается вопрос безопасности?

Bitrix24 — это популярная платформа для управления бизнесом, которая также является web-приложением. Рассмотрим, какие меры безопасности встроены в систему Bitrix24.

  1. Шифрование HTTPS (SSL/TLS)
    Bitrix24 использует SSL/TLS для защиты всех данных, передаваемых между пользователями и серверами.
  2. Многофакторная аутентификация
    Для повышения уровня безопасности Bitrix24 предлагает возможность использовать многофакторную аутентификацию, что помогает защитить аккаунты пользователей от несанкционированного доступа.
  3. Регулярные обновления безопасности
    Команда Bitrix24 часто обновляет свою платформу, устраняя уязвимости и добавляя новые функции для повышения безопасности. Это позволяет поддерживать систему в актуальном и защищенном состоянии. Так же сам Bitrix24 часто выставляется на Bug Bounty площадках для привлечения белых хаккеров на тестирование на проникновение, чтобы еще больше поднять безопасность системы.

Итоги

Анализ защищенности web-приложений — это не одноразовая задача, а процесс, который должен постоянно поддерживаться. От правильной настройки серверов и базы данных до регулярных обновлений безопасности — каждая деталь имеет значение. Рекомендуется проводить пентест раз в полгода и важно привлекать разные компании для тестирования на проникновение.

В рамках одной статьи описать все детали просто невозможно. Если вас интересует вопросы безопасности в своей компании, обращайтесь по кнопке 

Оставить заявку
❮❮❮ Вернуться
Cookie-файлы
Настройка cookie-файлов
Детальная информация о целях обработки данных и поставщиках, которые мы используем на наших сайтах
Аналитические Cookie-файлы Отключить все
Технические Cookie-файлы
Другие Cookie-файлы
Мы используем файлы Cookie для улучшения работы, персонализации и повышения удобства пользования нашим сайтом. Продолжая посещать сайт, вы соглашаетесь на использование нами файлов Cookie. Подробнее о нашей политике в отношении Cookie.
Принять все Отказаться от всех Настроить
Cookies