6 марта 2015 в 00:43

Аудит безопасности сайта - выявление рисков и угроз

• Информационная безопасность

Аудит безопасности сайта (проверка сайта на уязвимости) - ряд процедур, нацеленных на обеспечение стабильной работы веб-ресурса, безопасности данных и снижения рисков.

Ни для кого не секрет, что экономическая ситуация сейчас диктует новые правила, в том числе и в конкурентной борьбе. Если раньше «война технологий», кибершпионаж и деструктивные действия были, в основном, уделом больших корпораций или целых государств, то теперь эти методы вполне успешно применяются в малом и среднем бизнесе.

Сайты оффлайн компаний пока оставим в стороне, а сегодня поговорим про коммерческие вебсайты, чей основной доход связан с интернет деятельностью.

Аудит безопасности сайта - это комплекс работ по выявлению ошибок в коде сайта и программном обеспечении сервера, воспользовавшимися которыми злоумышленники могут атаковать и взломать сайт.

Мотивация, которую применяют злоумышленники может быть различной - это и бахвальство, и поиск выгоды как для себя лично, так и работая на «заказ».

Из последних «громких» примеров - взлом фриланс-биржы FL.ru

скриншот сообщения взломщика от имени одного из администраторов

Здесь ресурсу явно нанесен репутационный ущерб, лояльность пользователей снижена. Новых пользователей, возможно, будет сложно привлекать: www.google.ru/search?ie=UTF-8&hl=ru&q=FL.ru
В результате поисковой выдачи GOOGLE по запросу FL.RU вторым идет топик на Хабре о сливе пользовательской базы.

Что бы дал аудит безопасности биржы FL.RU - подбор паролей учетных записей администраторов ресурса помог бы выявить эти учетные записи. Дополнительные рекомендации и правила по их соблюдению помогли бы избежать такой досадной оплошности. Отсутсвие ограничения доступа к критичному функционалу (учетные записи пользователей) с недоверенного IP адреса только усугубил положение.

Репутационные риски взлома сайта компании естественно повлияют на доходность компании. Но существует и прямая угроза кражи данных, представляющих ценность для компании. Веб сайт компании, связанный с онлайн-деятельностью - интернет магазин, электронная биржа и проч. - основной инструмент получения прибыли - зачастую содержит в себе базу данных клиентов, тем более ценную, если сервис подразумевает длительную работу с клиентом, повторные покупки и прочее.

Также большой ущерб компании может нанести манипуляция платежными данными, мошеннические транзакции в системах ввода/вывода средств или системах оплаты.

Злоумышленников, атакующих сайт, условно можно разделить на два типа:

1. Берем всё, что плохо лежит.

Такого рода злоумышленники пытаются получить доступ к большому количеству сайтов, используют примитивные техники, «шумят в логах». Обычно такого рода субъекты сканируют сайт(ы) популярными сканерами уязвимостей или ищут уязвимые CMS под конкретный эксплоит. Их может интересовать как пользовательская база, так и банальный iframe на т.н. exploit-pack.

поиск подельников для совершения правонарушения по статье 273 УК РФ

Вовремя проведенный аудит безопасности веб приложений поможет выявить уязвимые компоненты и проблемные области сайта. Рекомендации помогут быть готовыми к отражению хакерских атак.

2. Атакуем конкретную цель.

Такого рода злоумышленники обычно мотивированы на получение определенных данных или их уничтожение:

объявления на «околохакерских» форумах

В данном случае злоумышленник не ограничится пассивными методами - скорее всего он будет атаковать сайт до тех пор, пока не получит требуемый результат, использую все возможные комбинации векторов атаки.

Существенно повысить защищенность сайта может помочь комплексный аудит безопасности, как правило включающий в себя следующие действия:

• Поиск уязвимостей серверных компонентов;
• Поиск уязвимостей в веб-окружении сервера;
• Проверка на удаленное выполнение произвольного кода;
• Проверка на наличие инъекций (внедрение кода);
• Попытки обхода системы аутентификации веб-ресурса;
• Проверка веб-ресурса на наличие «XSS» / «CSRF» уязвимостей;
• Попытки перехватить привилегированные аккаунты (или сессии таких аккаунтов);
• Попытки произвести Remote File Inclusion / Local File Inclusion;
• Поиск компонентов с известными уязвимостями;
• Проверка на перенаправление на другие сайты и открытые редиректы;
• Сканирование директорий и файлов, используя перебор и «google hack»;
• Анализ поисковых форм, форм регистраций, форм авторизации и т.д.;
• Проверки ресурса на возможность открытого получения конфиденциальной и секретной информации;
• Атаки класса «race condition»;
• Внедрение XML-сущностей;
• Подбор паролей.

Аудит безопасности сайта - это упреждающая мера, которая позволяет получить адекватную оценку защищенности ресурса компании, полную информацию о найденных уязвимостях, возможные сценарии атак и рекомендации по их устранению. Это, по сути, не событие, а непрерывный процесс по обеспечению безопасности бизнес-процессов сайта компании, сохранению деловой репутации, экономического роста и развития бизнеса.

Не ждите, пока Ваш сайт будет атакован злоумышленниками - закажите комплексный аудит безопасности сайта у профессионалов.

Важность информационной безопасности растет с каждым годом, ведь мошенничество процветает, появляются новые методы обмана в Сети. И одним из простейших вариантов мошенничества в Интернете остается рассылка вредоносных ссылок. Перейдя по такой ссылке, пользователь оказывается на сайте злоумышленников, откуда могут загрузиться вирусы, бэкдоры и прочее вредоносное ПО. Данный метод пользуется популярностью, потому что люди каждый день пересылают друг другу ссылки на статьи, файлы, видео и другой контент, и внимательность снижается. Пользователи привыкают к тому, что все ссылки ведут на знакомые, безопасные, проверенные сайты и перестают всматриваться в текст того, на что кликают мышью.

Некоторые сайты выглядят абсолютно нормально при сессии с компьютера. Однако зайдя на них с мобильного устройства, можно попасть на сайт с неприятным контентом, от которого устройство просто заблокируется. Перенаправление может произойти абсолютно незаметно, поэтому опытные пользователи вообще воздерживаются от перехода по ссылкам с телефонов или планшетов.

Воспользуйтесь несколькими простыми советами, чтобы избежать урона, который может быть причинен злоумышленниками:

Запомните! Мошенники всегда будут пытаться надуть честных граждан и будут придумывать новые методы обмана, поэтому любые требуют регулярного обновления. Всегда задумывайтесь, перед тем как принять решение, не полагайтесь на рефлекторные, автоматические действия!

Способ №1. Онлайн-проверка на Dr. Web

На сайте разработчика антивирусных программ Dr. Web есть страница с функцией онлайн-проверки любых ссылок из Интернета. Вы можете самостоятельно найти подобные сайты, принадлежащие знаменитым компаниям-разработчикам антивирусных пакетов.

На странице Dr. Web Вы найдете строку для ввода ссылки. Аккуратно скопируйте ссылку, которая требует проверки (не переходите по ней), вставьте в строку. Для проверки потребуется весь URL целиком.

Нажмите на кнопку и подождите, пока появится результат. В открывшемся окошке Вы найдете исчерпывающую информацию по введенному URL и всем дочерним ссылкам, содержащимся на нем.

Способ №2. 2ip

2ip.ru – это популярный в русскоязычном сегменте Интернета сайт, содержащий в себе много полезной информации и удобные функции. Одна из них – проверка сайта на вирусы.

Зайдите на 2ip.ru, введите в специальную строку адрес проверяемой ссылки и после нажатия на «Проверить» дождитесь результата.

Отличие данного сервиса от проверки через Dr. Web заключается в том, что Dr. Web дает более подробную информацию, приводя полноценный отчет по всем дочерним ссылкам.

Видео — Как проверить ссылку на безопасность

В последнее время основной средой обитания вирусов стал интернет, так как только там они могут эффективно распространяться по компьютерам пользователей. Прошли те времена, когда системы заражались через диски или флеш-карты. С увеличением количества скачиваемой информации, увеличилось число зараженных компьютеров, так как пользователи воспринимают угрозу из интернета как нечто абстрактное и то, что их не коснется.

К сожалению это не так. Пренебрежение элементарными основами безопасности может поставить под удар наши данные, хранящиеся на жестких дисках . Показательными стали заражения компьютеров крупных корпораций вирусом-шифровальщиком , который вымогал деньги за разблокировку, а в противном случае зашифровывал данные. Большинство заразились им из-за банальной невнимательности.

Профилактика заражения

В первую очередь нужно использовать антивирусные программы. Большинство из них способны фильтровать трафик, заранее предупреждая пользователей об опасности, таящейся на открываемом ресурсе. Даже бесплатные версии способны существенно усилить защиту компьютера.

Во-вторых стоит перейти на браузеры , в которых встроена проверка сайтов . Они предупреждают об опасности, которая поджидает пользователей на том или ином сайте. Один из таких – Яндекс.Браузер . В него по умолчанию встроен плагин , сканирующий сайт и ограничивающий доступ к откровенно-зловредным ресурсам. Если пользователь попытается зайти на такую страницу, он увидит уведомление об опасности и предложение закрыть вкладку.

В-третьих, старайтесь не переходить по подозрительным ссылкам в социальных сетях. Вконтакте сам предупреждает о том, что сайт может быть опасен, поэтому не стоит пренебрегать советам сервиса. Большая часть заражений происходит как раз таким образом.

Используем Google для проверки

Этот вариант подходит для владельцев сайтов, которые хотят убедиться, что их творения не принесет вреда пользователям всемирной паутины. Если сайт вам не принадлежит, то проверить его через поисковики не получится.

Для начала заходим в панель вебмастера . Она находится по ссылке google.com/webmasters/tools/home (нужно войти в свой Google аккаунт). После этого нажимаем на кнопку «Добавить ресурс » и вводим ссылку на сайт в окошко. После этого жмём «Добавить ».

После этого от нас потребуется подтвердить права на сайт. Для этого нужно разместить HTML шаблон на ресурсе, чтобы Google смог нас идентифицировать. Выполняем все действия из инструкции и жмём «Подтвердить ».

После подтверждения мы можем посмотреть всю информацию о нашем сайте. Для этого выбираем вкладку «Проблемы безопасности ». Если на странице есть вирусы – система нас об этом оповестит. Если нет – увидим такую картину.

Яндекс для проверки на вирусы

По большому счету, в Яндексе мы повторяем ту же процедуру, что и в Google:

Доктор Веб и Касперский

В большинстве своем, проверив сайт через эти два сервиса можно на 97% быть уверенным, что сайт не содержит вирусов. Эти лаборатории посвятили годы разработке антивирусных программ, поэтому сомневаться в их компетентности не приходится. Начнем с Доктора Веба.

Заходим на официальный сайт vms.drweb.ru/online. Кроме проверки на вирусы можно посмотреть обширную подборку информации о вирусах и их распространении. Главная часть страницы – адресная строка посередине, в которую вводим ссылку на проверяемый ресурс и жмём «Проверить ».

Через некоторое время мы получим подробное описание проведенных проверок, а так же заключение об опасности либо безопасности страницы.

Работа «Касперского » построена по тому же принципу. Однако здесь мы можем так же проверить и файлы . Вводим URL в адресную строку и жмём проверить .

В отличие от предыдущего сервиса, нас не грузят подробностями проверки, а сразу выдают результат.

Другие онлайн сервисы

Кроме уже рассмотренных есть и другие сервисы для проверки ссылок:

Очень часто случается, что нам предлагают перейти по какой-нибудь ссылке.
А мы опасаемся. Потому, что не уверены в том, что сайт, на который мы перейдём – безопасен для нашего компьютера.

Я проверяю все, неизвестные мне ссылки, на сайте Virustotal.com/ru .
Но в Интернете существует ещё множество сайтов, где вы можете это же сделать. А поскольку я выбрала для себя Virustotal, то и объяснять буду на примере именно этого сайта.

А так же, вы можете проверить безопасность ссылки в Dr.WEB
в режиме настоящего времени, онлайн – не уходя с этой страницы.
Внизу страницы – сайта Dr.WEB, для проверки ссылок.

в Virustotal.com/ru. в режиме настоящего времени, онлайн

Во-первых, для того, чтобы проверка ссылки проходила на русском языке –
надо заходить на Virustotal.com/ru с браузером Google Chrome или Internet Explorer. Потому, что Mozilla Firefox, Safari и Opera не переводят сразу текст с английского на русский. Ниже скриншот Virustotal.com/ru, открытый в браузере Safari.

Конечно, можно и без перевода проверить ссылку. Для этого нажмите ссылку «scan a URL» (подчёркнута красным). Откроется похожая вкладка, где вы вводите в строку URL, т.е. ссылку, которую хотите проверить и затем нажимаете ниже большую синюю кнопку «Scan in!» (сканировать) и через короткое время вам выдадут результат. Но тоже на английском языке.

Как проверить подозрительный файл на компьютере в Virustotal.com/ru

Как проверить файл с компьютера
на вирусы и трояны в Virustotal.com/ru

Как видите в верхней части скриншота, в строке «Обнаружение отношение:» стоит дробь 0/20. Ноль слева означает, что ни один из сканеров, участвующих в проверке этой ссылки не обнаружил ничего вредоносного на проверенном сайте. Если один, или несколько сканеров обнаружат на проверяемом сайте что-то негативное – то вместо цифры 0 будет стоять цифра, обозначающая количество негативных отзывов и цвет этой цифры будет уже не зелёный, а жёлтый или красный.

Цифра 20 справа – показывает количество участвовавших
в сканировании URL и поставивших в таблице отзыв «чистый сайт». А если один, или несколько сканеров обнаружат на проверяемом сайте что-то негативное – то вместо «чистый сайт» зелёного цвета – будет стоять отзыв о том, на сайте и цвет этой записи уже будет не зелёный. «Unrated сайтов» в результатах сканирования – означает «без рейтинга».

Значок в верхней правой части говорит о репутации проверяемой ссылки. Красный палец вниз и цифра – показывает негативные отзывы, зелёный палец вверх и цифра – показывает хорошие отзывы.

Поскольку моему сайту, на момент этой проверки, только пять месяцев –
то вполне естественно, что в значке о репутации сайта стоят нули.
Ни плохого, ни хорошего.

Как бесплатно проверить ссылку из интернета
в Dr.WEB в режиме настоящего времени, онлайн