Безопасность в Веб-разработке

17.5.3.3. Пример настройки для IIS 7

1. Зайти в сертификаты сервера (рис. 17.24).
   

   
   увеличить изображение
   Рис. 17.24. IIS 7.0
2. Создать "самозаверенный" сертификат (рис. 17.25).
   

   
   увеличить изображение
   Рис. 17.25. Создание сертификата в IIS 7.0
3. Зайти в привязки сайта (рис. 17.26).
   

   
   увеличить изображение
   Рис. 17.26. Создание сертификата в IIS 7.0
4. Добавить привязку по https. В качестве сертификата выбрать созданный ssl сертификат (рис. 17.27).
   

   
   Рис. 17.27. Создание сертификата в IIS 7.0

17.5.4. Ключевые термины

SSL, HTTPS.

17.6. Краткие итоги

Безопасность информации (данных) – состояние защищенности информации (данных), при котором обеспечены ее (их) конфиденциальность, доступность и целостность.

Информационная безопасность – защита конфиденциальности, целостности и доступности информации.

Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности:

1. Законодательная, нормативно-правовая и научная база.
2. Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.
3. Организационно-технические и режимные меры и методы (Политика информационной безопасности).
4. Программно-технические способы и средства обеспечения информационной безопасности.

Политика безопасности (информации в организации) – совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Политика безопасности информационно-телекоммуникационных технологий – правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.

Виды угроз и способы борьбы с ними:

• Аутентификация (Authentication)
  • Подбор (Brute Force)
  • Недостаточная аутентификация (Insufficient Authentication)
  • Небезопасное восстановление паролей (Weak Password Recovery Validation).
• Авторизация (Authorization)
  • Предсказуемое значение идентификатора сессии (Credential/Session Prediction)
  • Недостаточная авторизация (Insufficient Authorization)
  • Отсутствие таймаута сессии (Insufficient Session Expiration)
  • Фиксация сессии (Session Fixation)
• Атаки на клиентов (Client-side Attacks)
  • Подмена содержимого (Content Spoofing)
  • Межсайтовое выполнение сценариев (Cross-site Scripting, XSS )
  • Расщепление HTTP-запроса (HTTP Response Splitting)
• Выполнение кода (Command Execution)
  • Переполнение буфера (Buffer Overflow)
  • Атака на функции форматирования строк (Format String Attack)
  • Внедрение операторов LDAP (LDAP Injection)
  • Выполнение команд ОС (OS Commanding)
  • Внедрение операторов SQL (SQL Injection)
  • Внедрение серверных расширений (SSI Injection)
  • Внедрение операторов XPath (XPath Injection)
• Разглашение информации (Information Disclosure)
  • Индексирование директорий (Directory Indexing)
  • Идентификация приложений (Web Server/Application Fingerprinting)
  • Утечка информации (Information Leakage)
  • Обратный путь в директориях (Path Traversal)
  • Предсказуемое расположение ресурсов (Predictable Resource Location)
• Логические атаки (Logical Attacks)
  • Злоупотребление функциональными возможностями (Abuse of Functionality)
  • Отказ в обслуживании (Denial of Service)
  • Недостаточное противодействие автоматизации (Insufficient Anti-automation)
  • Недостаточная проверка процесса (Insufficient Process Validation)
• Вирусы и приложения типа "троянский конь"

XSS ( Сross Site Sсriрting ) – тип уязвимости интерактивных информационных систем в Интернете, возникающий, когда в генерируемые сервером страницы по какой-то причине попадают пользовательские скрипты.

XSS -фильтр работает как компонент IE8, который просматривает все запросы и ответы, проходящие через браузер.

Фишинг – вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей – логинам и паролям.

Internet Explorer 8 имеет фильтр SmartScreen.

Data Execution Prevention – функция безопасности, встроенная в семейство операционных систем Windows, которая не позволяет приложению исполнять код из области памяти, помеченной как "только для данных".

DEP в Internet Explorer 8 помогает избежать атак путем предотвращения запуска кода, размещенного в участке памяти, помеченном как неисполняемый.

SSL – криптографический протокол, который обеспечивает установление безопасного соединения между клиентом и сервером.

SSL предоставляет канал, имеющий 3 основные свойства:

• Аутентификация;
• Надежность;
• Частность канала.

HTTPS – расширение протокола HTTP, поддерживающее шифрование. Данные, передаваемые по протоколу HTTP, "упаковываются" в криптографический протокол SSL или TLS, тем самым обеспечивается защита этих данных.