Мазмұны

Кіріспе 3

1 Web сайттағы ақпараттық шабуылдарды айқындаудың негізгі әдiстерi 5

1.1Web-сайттардың ақпараттық қауіпсіздігіне қауіп-қатерлер 5

1.2 Web-сайттарға шабуылдар 8

1.3 Веб-сайттар қауіпсіздігінің осалдықтары мен қауіптерін жіктеу және сипаттау 9

1.4 Енгізілген жіктемені талдау негізінде Web-сайттардың осалдықтары мен оларға жасалатын шабуылдардың синтезделген тізбесі 15

2 Негізгі бөлім 18

2.1 Веб - бағдарлама туралы идентификациялық ақпаратты алу және қауіпсіздік бюллетеньдерінің көмегімен осалдығын анықтау 18

2.2 Енуге тестілеу әдісі 19

2.3 SSL сертификат және HTTPS протоколы 21

2.4 Шабуылдарды желілік деңгейде анықтау 22

2.5 Сымсыз шабуылдарды айқындау жүйелігіне шабуыл жасау. 27

Қорытынды 33

Қолданылған әдебитеттер тізімі 34

Қосымшалар.........................................................................................................35

Кіріспе

Бүгінгі таңда, сарапшылардың айтуынша web сайттар ақпараттық қауіпсіздік жағынан ең қауіпті жүйелердің бірі болып табылады, сондықтан веб-бағдарламалардың қауіпсіздігі ең өзекті тақырыптардың біріне жатады. Интернеттің жылдам дамуы кезеңінде көптеген шабуылдар осы веб-бағдарламаларда орын алады.

Web сайттардың қауіпсіздігі ақпараттық қауіпсіздікті қамтамасыз етудегі ең өзекті мәселелердің бірі болып табылады. Бұл мәселенің өзектілігі ресми статистика арқылы расталады, оның негізінде Web-сайттардың70% -ында сыни осалдық анықталды және барлық қосымшаларда осалдықтар орташа болып табылады. Соңғы үш жылда жоғары қауіпті кемшіліктерге ұшыраған жүйелердің үлесі 60-70% ішінде бірте-бірте артып келеді, бұл бағдарламалаушылардың кодты сапаға қатысты проблемаларға және әкімшілердің қосымшаларды конфигурациялау қауіпсіздігіне назар аудармайтындығын көрсетті.

Кез келген ұйымның қызметі қандай да бір түрде веб-технологиялармен байланысты. Интернет-дүкендердің, нарықтардағы, түрлі бизнесқосымшалардың және қашықтан басқаратын банктік қызметтердің вебпорталдары кең таралған. Қазіргі заманғы ұйымды (ол ірі корпорация немесе шағын жеке компания болсын) Интернет желісінде өзінің ресми сайты болмауын елестету қиын. Клиенттік бағдарламалық жасақтаманы орнату және оны үнемі жаңартып отыру қажет корпоративтік қосымшалар бұрында қалып қойды. Веб-технологиялар бір платформада барлық іс-әрекеттерді атқару үшін бизнес-процестерді едәуір жеңілдетуге септігін тигізді.

Веб технологияларының артықшылықтарын барынша арттыру үшін мақсатты аудиторияға арналған ресурстардың қолжетімділігін қамтамасыз ету қажет, мысалы, Интернет желісі арқылы. Жалпыға қолжетімді веб- бағдарламалар зиянкестер үшін тартымды болып табылады. Веб- қосымшаларға жасалған шабуылдар оларға келесі мүмкіндіктерді береді: компанияның ішкі ресурстарына қолжетімділік, құпия ақпарат, бағдарламаның функционалдық жүйесін немесе бизнес-логиканы бұзу - кез- келген шабуыл шабуылдаушы үшін қаржылық пайда әкелуі мүмкін, сондай-ақ веб-бағдарламаның иесіне қаржылық және беделді шығындарға алып келеді. Сонымен қатар, веб-қосымшаларды пайдаланушылар тәуекелге ұшырайды, өйткені табысты шабуылдар тіркелу деректерін ұрлайды, пайдаланушылардың атынан сайттарда әрекеттерді орындайды және зиянды бағдарламалармен жұмыс жасауға қажетті ресурстарды жұқтырады. Веб- ресурстардың иелерінің басым көпшілігі веб-қосымшаның өмірлік циклінің барлық сатыларында қауіпсіздіктің қағидаларын сақтамайды, соның салдарынан осалдықтар дамудың ерте кезеңдерінде анықталмайды, ал ол бір уақытта тауып оны эксплуатация жасағаннын өзінде ол веб-бағдарламада басқа уақытта қайта шығып қалады, сол себепті зиянкестерге оны бұзу едәуір оңайға түседі. Сондықтан веб-қосымшалардың қауіпсіздігін қамтамасыз ету қазіргі заманғы компаниялардың ақпараттық қауіпсіздік қызметтерінің басымдықтарының бірі болып табылады.

Зерттеудің объектілері - Web сайттардың қауіпсіздігіне қауіп-қатерлер болып табылады.

Зерттеудің құралдары - осалдықтарды іздеу әдісі және wеb-сайттардың қауіпсіздігін бағалау.

Жұмыстың мақсаты - wеb-сайттардың қауіпсіздігін талдау және талдау әдіснамасын әзірлеу. Тапсырмалар:

• wеb-сайттардың қауіпсіздігіне қойылатын осалдықтар мен қауіптердің негізгі түрлерін зерттеу және талдау. Зерттеудің негізінде wеb-сайттардың қауіпсіздігіне осалдықтар мен қауіптерді жіктеуді жасау;

• ағымдағы шабуылдардың және осалдықтардың талдауын жүргізу және әлеуетті осалдықтар мен типтік шабуылдардың синтезін жасау, тәуекел дәрежесі мен шабуылдың әлеуетін бағалауды жүргізу;

• wеb-сайттардың осалдықтарын анықтау және талдау әдістерін зерттеу және сипаттауды жүргізу, олардың мүмкіндіктерін талдау және әр әдіс бойынша артықшылықтар мен кемшіліктерін анықтау;

• wеb-сайттардың қауіпсіздік сканерлерін салыстырмалы тестілеуін өткізу;

• wеb-бағдарламалардың қауіпсіздігін талдау әдістемесі әзірленді.

Зерттеудің теориялық маңыздылығы бар осалдықтарды, wеb - сайттардың қауіпсіздігіне қауіп-қатерді зерттеуге және талдауға интеграцияланған тәсілді қолдану және мұндай осалдықтарды талдау және анықтау әдістері.

Жұмыстың практикалық маңыздылығы әзірленген әдістеме, жіктеу және тізімдер тәжірибеде қолданылуы мүмкін, осал тұстарын анықтау және зерттеу әдістерінің көмегімен жалпы қауіпсіздікті бағалау үшін wеb-сайттардың қауіпсіздігі бойынша тестілеуді жүргізу кезінде қолданылуы абзал.

1. Web сайттағы ақпараттық шабуылдарды айқындаудың негізгі әдiстерi

1. Web-сайттардың ақпараттық қауіпсіздігіне қауіп-қатерлер

Ақпараттық қауіпсіздік термині әдетте табиғи немесе жасанды сипатта болатын рұқсат етілмеген әрекеттердің (кездейсоқ немесе қасақана) әр түрлі түрлерінен ақпарат пен оның инфрақұрылымын қорғау деңгейіне қатысты болып келеді. Бұл әрекеттер ақпарат иелеріне немесе пайдаланушыларына, сондай-ақ қолдайтын инфрақұрылымға зиянынтигізуі мүмкін. Ақпараттық жүйелердің қауіпсіздік деңгейін жақсырақ түсіну үшін ақпараттық қауіпсіздіктің қауіп-қатерлерінің пайда болу көздеріне назар аудару керек.

Веб-бағдарламаның қауіпсіздігіне тікелей немесе жанама зиян келтіруі мүмкін ықтимал процесс, оқиға немесе құбылыс қауіп деп аталады. Қауіп ақпараттың өзіне де, осы ақпарат сақталатын әзірлеу процестеріне де және тасымалдаушыларға да әсер етуі мүмкін.

Ақпарат қауіпсіздігіне қауіп төндіруді жүзеге асыру әрекеті шабуыл деп аталады, ал осындай әрекет жасауға бастамашы тұлға – қаскүнем немесе шабуылдаушы болады.

Қауіпсіздік қатерінің көздері болуы мүмкін:

• жабдықтың (техникалық құралдардың) істен шығуы және бұзылуы;

• қаскүнемдердің қасақана әрекеттері;

• веб-бағдарлама компоненттерін жобалау және әзірлеу қателіктері;

• веб-бағдарламаны пайдалану қателіктері (пайдаланушылар, әкімшілер және басқа субъектілер).

Жиі қауіп - қатер веб-қосымшадағы осал жерлердің болуының салдары болып табылады, бірақ олардың кейбіреулері қандай да бір қателіктердің немесе қателіктердің нәтижесі ретінде қарауға болмайды. Олар әдетте қазіргі заманғы Web-сайттардыңтабиғатына байланысты болады. Мүмкін қауіптерді екі ішкі сыныпқа бөлуге болады: субъективті (жасанды) және объективті (табиғи) (1.1-сурет).

Субъективті - бұл адам қызметі арқылы туындаған қатерлер. Іс-әрекеттің себептеріне қарай, бұл қосалқы екі классқа бөлінуі мүмкін: қасақана емес және қасақана.

Қасақана емес - жұмыс барысында қателіктер мен ақпараттық және бағдарламалық қамтамасыз ету әрекеттерімен, веб-қосымшаның құрылымын, оның элементтерін және т.б. жобалаумен айналысатын кезде кететін қауіптер болып саналады.

Қасақана - бұл қауіптер идеологиялық көзқарастармен, кек алудан, зиянкестердің жалған мақсаттарымен және тағы басқалармен байланысты жасалынатын қауіп-қатерлер.

1.1-сурет. Веб-бағдарлама қауіптерінің классы

Объективті - бұл ақпараттық жүйеге және оның құрамдас бөліктеріне объективті физикалық құбылыстар мен табиғи стихиялық процестер арқылыықпал ететін қауіп-қатерлер.

Қауіп-қатерді іске асыру үшін қолданылатын негізгі құралдардың түріне сәйкес, жүйеге енудің барлық ықтимал арналары мен ақпараттың ағып кетуін үш топқа бөлуге болады 1.2-сурет, мұндай қолданылу тәсілі: субъект (адам), бағдарлама, жабдықтар.

1.2-сурет. Кіріс каналдарының жіктелуі

Веб-бағдарлама қауіпсіздігінің қауіп-қатерлерінің негізгі түрлері:

• конфиденциалдыққа қаупі – деректерге рұқсатсыз қатынас алу;

• тұтастылыққа қаупі – рұқсатыз деректерді өзгерту немесе оларды жою;