Реализация системы защиты информации в компьютерной сети

Атаки на сайт могут производиться различными способами, с разными мотивами. Можно выделить основные цели атак:

-выведение Web-ресурса из нормального рабочего состояния;

-получение конфиденциальной информации;

-несанкционированное использование материалов, выложенных на сайте, в личных целях.

Возможные способы взлома сайта можно разделить на три группы.

а) Захват контроля над Web-сервером, на котором расположен сайт.

Если сайт размещен на условиях хостинга, то при таком способе взлома угрозе подвергаются все ресурсы, расположенные на данном хостинге. Однако вероятность подобного взлома невысока, поскольку компании, предоставляющие подобные услуги, обычно хорошо прорабатывают вопросы безопасности своих ресурсов.

Примером данного атак данной группы может служить DoS атака.

DoS-атака (от англ. Denial of Service — «отказ в обслуживании») и DDoS-атака (Distributed Denial of Service — «распределённый отказ обслуживания») — это разновидности атак злоумышленника на компьютерные системы. Целью этих атак является создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднён. Разница же между обычным (DoS) отказом в обслуживании и распределённым (DDoS) состоит в географии трафика: обычный DoS (трафик, приводящий к отказу) приходит с одного компьютера, распределённый — из множества. Схема DoS атаки показана на рисунке 40.

Рисунок 40. Схема DoS атаки.

Простейший тип DoS – лавинная рассылка пакетов (packetflooding). Атакующий или группа атакующих посылают серверу управляющие пакеты Internet Control Message Packets (ICMP), требуя ответа. Сервер начинает посылать ответы на эти запросы. Если запросы поступают чаще, чем сервер успевает их обработать, скапливаются необработанные запросы, что приводит к существенному замедлению работы сервера или полному его отказу. Часто стоит потратить немного средств и времени, чтобы уменьшить риск подобной атаки.

б) Получение авторизационных данных для доступа к сайту (логин и пароль к FTP-аккаунту или к управляющей панели).

Злоумышленник может воспользоваться ими в целях изменения сайта или похищения с него информации. При этом никакие системы безопасности самого ресурса не смогут ему воспрепятствовать, т.к. для них действия злоумышленника будут абсолютно законными (выполняются после легального прохождения авторизации). Логины и пароли для работы с сайтом можно получить как с помощью социальной инженерии, так и с помощью атаки на те компьютеры, где эти данные могут быть сохранены или перехвата передаваемых данных.

Одной из разновидностью такой атаки является фишинг (phishing).

Фишинг — вид интернет - мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинами паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков (Ситибанк, Альфа-банк), сервисов (Rambler, Mail.ru) или внутри социальных сетей (Facebook, Вконтакте, Одноклассники.ru). В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом. После того, как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приёмами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определенному сайту, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам.

Фишинг — одна из разновидностей социальной инженерии, основанная на незнании пользователями основ сетевой безопасности: в частности, многие не знают простого факта: сервисы не рассылают писем с просьбами сообщить свои учётные данные, пароль и прочее. Схема фишинга приведена на рисунке 26.

Рисунок 41. Схема фишинга.

в) Получение доступа к сайту посредством уязвимостей в программном обеспечении.

Если на сайте установлены какие-либо программные пакеты, код которых выполняется на Web-сервере (например, CMS, форум или чат, картинная галерея, интернет-магазин), то они всегда потенциально опасны с точки зрения взлома. Если в программном комплексе есть уязвимость, то взломщик с помощью правильно составленного запроса к сайту может узнать пароли для управления сайтом или форумом или разместить на сайте свою программу, которая позволит загружать на сайт свои файлы, удалять и менять любые данные.

Против каждой из этих угроз есть своя защита, которую нужно грамотно применять.

Примерами таких атак на сайты может служить Межсайтовый скриптинг (Сross Site Sсriрting).

XSS («межсайтовый скриптинг») — тип уязвимости интерактивных информационных систем в Web. XSS возникает, когда в генерируемые сервером страницы по какой-то причине попадают пользовательские скрипты. Специфика подобных атак заключается в том, что вместо непосредственной атаки сервера они используют уязвимый сервер в качестве средства атаки на клиента. Алгоритм XSS показан на рисунке 27.

Рис. 2.3 Алгоритм XSS.

Сейчас XSS составляют около 15 % всех обнаруженных уязвимостей. Долгое время программисты не уделяли им должного внимания, считая их неопасными. Однако это мнение ошибочно: на странице или в HTTP-Cookie могут быть весьма уязвимые данные (например, идентификатор сессии администратора). На популярном сайте скрипт может устроить DoS-атакy.

Данная уязвимость дает возможность внедрить в HTML-страницу, которая генерируется скриптом (например, РHР), произвольный код путем простого присваивания значения нефильтруемой переменной. Существует два способа осуществления атаки XSS. Первый — использование РOST-запроса, второй — использование GET-запроса. Наиболее простым, но в то же время и «шумным» является второй способ. GET-запрос осуществляется через адресную строку браузера, поэтому особо осторожный пользователь может увидеть в ней незнакомые символы и насторожиться. Использовать РOST немного сложнее, однако он работает независимо от url-скрипта. Для осуществления такого рода необходимо использовать промежуточную страницу, которая вынудит пользователя отправить РOST-запрос уязвимому серверу.

Поскольку в данной работе речь идет о методах защиты содержимого сайта, особое внимание следует уделить возможным угрозам содержимому сайтов. Несанкционированное использование материала является наиболее распространенной угрозой.

Приведем классификацию угроз размещаемому на сайте материалу:

-по объекту угрозы:

-конфиденциальные сведения;

-обще пользовательская информация;

-интеллектуальная собственность.

-по цели реализации угрозы:

-получение конфиденциальных данных;

-искажение, подмена данных;

-несанкционированное использование данных в личных целях.

-по возможным последствиям угрозы:

-компрометация конфиденциальных данных;

-введение в заблуждение пользователей;

-нарушение авторских прав собственника информации.

В вопросе защиты содержимого сайта от копирования существует несколько отличных друг от друга подходов. Самым простым вариантом является использование возможностей Java Script для блокирования функций выделения и копирования как графических, так и текстовых элементов Web-страницы. Это не самый надежный, но при этом самый доступный вариант для большинства вебмастеров и серверов. В большей мере все эти подходы служат лишь для защиты от начинающих злоумышленников и от людей, малознакомых с подобными технологиями.

Запрет на кэширование страницы

Большинство специалистов по безопасности считают это первым шагом на пути к полноценной защите сайта от копирования. Для запрета на кэширование необходимо вставить между тегами <head>… </head> следующее:

или:

или:

Защита от копирования элементов страницы

Запрет на копирование картинок с сайта

Для защиты изображений от копирования можно оформить код картинки следующим образом:

<span oncontextmenu ="return false;" ondragstart = "return false"; ><imgsrc = "picture.jpg" galleryimg="no"></span>.

Запрет на выделение текста на сайте

Обычно для копирования текст надо сначала выделить, а потом копировать комбинацией клавиш Ctrl+C или через контекстное меню. Так вот можно запретить это самое выделение специальным скриптом. Для этого просто скопируйте код скрипта, представленного ниже, и вставьте его между тегами <head> и </head>.

functiondisableselect(e){return false;}

functionreEnable(){return true;}

//if IE4+

document.onselectstart = new Function ("return false");

//if NS6

if (windows.sidebar){

document.onmousedown = disableselect;

document.onclick = reEnable;

}

</script>

Есть второй способ запретить выделение текста на сайте. Для этого к тегу <body> пропишите как атрибут, чтобы в итог получилось так:

<bodyonselectstart = "returnfalse">.

Запрет на копирование клавишами Ctrl + C

Для того чтобы запретить копирование выделенного фрагмента с сайта комбинацией клавиш Ctrl + C, надо сразу после тега <body> приписать скрипт:

document.ondragstart = test;

//запрет на копирование

document.onselectstart = test;

//запрет на выделение

document.ontextmenu = test;

//запрет на выделение контекстного меню

function test(){return false;}

</script>

Или к тегу <body> приписываем атрибут, чтобы получилось так:

<bodyoncopy = "returnfalse">.

Запрет на вызов контекстного меню на сайте

В некоторых случаях может быть полезен запрет на вызов контекстного меню правой кнопкой мыши. То есть так вы зароете доступ к пункту меню «Копировать». Для этого вставьте код следующего скрипта сразу после тега <body>.

<!—

var message = "***";

/////////////////////////////

functionclickIE() {if (document.all) {alert(message);return false;}}

functionclickNS(e) {

if (document.layers || (document.getElementById&&!document.all)) {

if (e.which==2||e.which==3) {alert(message); return false;}}}

if (document.layers) {

document.captureEvents(Event.MOUSEDOWN);

document.onmousedown=clickNS;}

else {document.onmouseup = clickNS; document.onmousedown =clickNS;}

else {document.onmouseup = clickNS;

document.oncontextmenu =clickIE;}

document.oncontextmenu = new Function ("return false");

//-->

</script>

Приведенные скрипты являются наиболее распространенными в Web программировании. Однако существует еще множество различных скриптов, позволяющих защитить плоды интеллектуального труда от копирования, дублирования и несанкционированного использования.

Анализируя данные методы защиты, можно отметить:

Не смотря на то, что указанные способы защиты хорошо работают, опытные пользователи смогут обойти ограничения либо за счет отключения Java Script, либо за счет сборки HTML-страниц в сниффере.

Если мы хотим, чтоб наши статьи и изображения распространялись (с учетом защиты авторского права и рекламы сайта) – данные методы защиты нам не подходят.

Дата добавления: 2019-08-31; просмотров: 170; Мы поможем в написании вашей работы!

Поделиться с друзьями:

⇐ Предыдущая 1 2 3 4 5 678 Следующая ⇒

Мы поможем в написании ваших работ!