Tīmekļa drošība ir svarīgs jautājums, kas jāņem vērā interneta vietņu, mājas lapu īpašniekiem, lai aizsargātu savu lietotāju sensitīvos datus, nepieļautu klientu finansiālos zaudējumus un datoru inficēšanu ar ļaunprogrammatūru, kas radušies tīmekļa lietotņu ievainojamības un to nepietiekamas drošibas rezultātā.
Atvērtais Tīmekļa Lietotņu Drošības Projekts OWASP (Open Web Application Security Project) ir bezpeļņas starptautiska organizācija, kas izstrādā tīmekļa lietotņu drošības metodoloģiju, dokumentāciju, līdzekļus un tehnoloģijas.
OWASP regulāri definē 10 kritiskākos tīmekļa lietotņu drošības riskus. Tālāk tiek dots jaunais, 2017.gada novembrī publicētais risku tops un īss to paskaidrojums.
1. Injekciju riski
Šajā kategorijā dominē SQL koda injekcijas datu bāzēs, kad, izmantojot datu ievadīšanas formas vietnes lapās, tiek iesūtītas komandas, lai veiktu neautorizētu datu iegūšanu vai datu bāzes modificēšanu.
2. Autentifikācijas riski
Ja, izstrādājot lietotni, ir pieļautas kļūdas lietotāju autentifikācijas un tīmekļa sesiju īstenošanā, ļaundaris var izlikties par citu lietotāju un iegūt pieeju funkcijām un datiem, kuriem viņam nav atļaujas. Šīs kategorijas uzbrukumos tiek izmantotas sīkdatnes (cookies) upura datorā, kas satur konkrētu tīmekļa vietņu sesiju identifikatorus.
3. Sensitīvo datu ekspozīcija
Runa ir par dažādiem personas datiem, piemēram, e-pastu adresēm, parolēm, kredītkaršu informāciju, kuru aizsardzība ne vienmēr ir pietiekamā mērā nodrošināta. Piemēram, veicot tiešsaistes maksājumus, informācijas apstrādei būtu jānotiek saskaņā ar maksājumu karšu datu drošības standartiem
PCI DSS. Šeit liela nozīme ir pareizai kriptogrāfisko procedūru pielietošanai, veicot sensitīvo datu šifrēšanu.
4. XXE (XML External Entities)
Šīs kategorijas riski attiecās uz tīmekļa lietotnēm, kuras izmanto XML datu formātu. Ievadītie XML dati var saturēt ārējās references, kas pie slikti konfigurētas XML apstrādes programmas dot iespēju ļaundarim veikt pakalpojuma atteikuma (DoS) uzbrukumu vai neautorizēti piekļūt konfidenciālām datnēm.
5. Piekļuves kontroles riski.
Tīmekļa lietotne var saturēt ievainojamības, kas ļauj piekļuvi funkcijām, kuras vietnes lietotājs nav autorizēts veikt, piemēram, ierindas lietotājs iegūst administratora atļaujas, manuāli veicot izmaiņas pārlūka adrešu laukā. Vai arī tīmekļa lapas adrese, kas ir redzama pārlūka adrešu lauciņā, satur references, kuras modificējot iegūst datus, kas nav paredzēti dotajam lietotājam. Spilgts šīs ievainojamības piemērs ir tā saucamā „Neo lieta”, kad, pamainot ciparus LR VID EDS sistēmas adrešu lauciņā, tika iegūts liels daudzums juridisko un fizisko personu datu.
6. Programmatūras konfigurācijas kļūdas
Jebkura mājas lapa, tīmekļa lietotne izmanto dažādu programmatūru (serveru, datu bāzu sistēmas, lietojumprogrammas un to bibliotēkas) un katrai no tām ir dažādi uzstādījumi, kuri var ietekmēt vietnes drošību. Šo risku novēršana galvenokārt ir sistēmu administratora pienākums.
7. XSS (Cross Site Scripting)
Vietnes lapā tiek aktivizēts uzbrucēja izveidots skripts (programmas kods), kurš nelegāli ir ievadīts datu bāzē vai arī lietotājs to aktivizē, noklikšķinot uz viņam atsūtīto saiti. Rezultātā lietotāja datorā tiek iniciētas nelegālas darbības vai arī notiek pāradresācija uz ļaundara izveidotu krāpniecisku vietni.
8. Nedroša deserializācija
Deserializācija ir programmēšanā izmantota operācija, kas paredzēta vietnē ievadīto datu transformēšanai, to formātu pārveidošanai, veicot datu saglabāšanu vai pārsūtīšanu. Ļaundaris var izmantot šāda veida operācijas, lai attālināti izpildītu savu kodu vai veiktu neautorizētu piekļuvi funkcijām un datiem.
9. Komponentu lietošana, kuros ir atklātas ievainojamības.
Programmatūrai, kas nodrošina tīmekļa vietņu funkcionēšanu, regulāri tiek atklātas dažādas bīstamības pakāpes drošības caurumi un ievainojamības. Šī informācija tiek publicēta brīvi pieejamās datu bāzēs. Programmatūras izstrādātāji parasti izstrādā atjauninājumus, kuros tiek novērstas iepriekš pieļautās kļūdas. Sistēmu administratoriem būtu jāseko uzturētās programmatūras stāvoklim un regulāri jāveic tās atjaunošana.
10. Nepietiekams monitorings un notikumu žurnālu analīze
Informācijas sistēmas nepārtraukti fiksē visus pieslēgumus, datu pieprasījumus, sistēmas kļūdas un incidentus tā saucamajos notikumu žurnālos (logs). Veicot šo datu regulāru un rūpīgu analīzi, iespējams atklāt ielaušanās mēģinājumus, aizdomīgus sistēmas paziņojumus un laikus novērst programmatūras ievainojamības, kā arī veikt preventīvus drošības pasākumus.
Piedāvātais tīmekļa vietņu drošības audits balstās uz OWASP izstrādāto metadoloģiju, izvērtējot iepriekš minētos riskus.
/ Par vietņu drošību
