Ի՞նչ է վեբ հավելվածների անվտանգությունը

Վեբ հավելվածների անվտանգությունը վեբի վրա հիմնված ցանկացած բիզնեսի հիմնական բաղադրիչն է: Համացանցի գլոբալ բնույթը ենթադրում է վեբ հարձակումներ տարբեր մասշտաբի ու բարդության տարբեր վայրերից: Վեբ դիմումների անվտանգությունը մասնավորապես կապված է անվտանգությանն առնչվող կայքերի, վեբ ծրագրերի և վեբ ծառայությունների հետ, ինչպիսիք են API- ները:

 

Որո՞նք են վեբ հավելվածների անվտանգության ընդհանուր խոցելիությունները

Վեբ հարձակումները տատանվում են տվյալների բազայի նպատակային մանիպուլյացիայից մինչև ցանցի լայնածավալ խափանում:

Cross site scripting (XSS) - XSS- ը խոցելիություն է, որը հաքերին թույլ է տալիս հաճախորդի կողմի սկրիպտները ներմուծել վեբ կայք՝ ուղղակի հասանելիությունը կարևոր տեղեկություններին ապահովելու համար, հանդես գալ օգտագործողի անունից կամ ապակողմնորոշել օգտագործողին կարևոր տեղեկատվությունը բացահայտելու համար:

SQL ներարկում (SQLi) – SQLi-ն մի մեթոդ է, որի միջոցով հաքերը օգտագործում է խոցելիությունները տվյալների բազային հարցումներ կատարելու համար: Հաքերները օգտագործում են SQLi- ն տեղեկատվությունը չարտոնված մուտք ունենալու, նոր օգտագործողի իրավասություններ ստեղծելու կամ փոփոխելու, զգայուն տվյալներն այլ կերպ շահարկելու կամ ոչնչացնելու համար:

Ծառայության մերժում (DoS) և բաշխված ծառայության մերժում (DDoS) հարձակումները - Մի շարք վեկտորների միջոցով հաքերները կարողանում են գերծանրաբեռնել նպատակային սերվերը կամ դրա հարակից ենթակառուցվածքը՝ հարձակման տարբեր տեսակների միջոցով: Երբ սերվերն այլևս ի վիճակի չէ արդյունավետորեն մշակել մուտքային հարցումները, նրա աշխատանքը դանդաղում է ինչի հետևանքով մերժվում են օգտագործողների հարցումները:

Հիշողության խափանում - Հիշողության խափանումը տեղի է ունենում այն ժամանակ, երբ հիշողության տեղակայումը ձևափոխվում է, ինչը հանգեցնում է ծրագրային ապահովման անսպասելի վարքի: Հաքերները կփորձեն շահագործել հիշողության խափանումը ծրագրային կոդի ներարկման կամ բուֆերի գերծանրաբեռնման հարձակումների միջոցով:

Բուֆերի գերծանրաբեռնում - Բուֆերի գերծանրաբեռնումը դա անոմալիա է, որը տեղի է ունենում այն ժամանակ, երբ ծրագրային ապահովումը ներմուծում է տվյալներ սահմանված հիշողության տարածք, որը հայտնի է որպես բուֆեր: Բուֆերի կարողության գերծանրաբեռնումը հանգեցնում է հարակից հիշողության տվյալների արտագրմանը: Այն կարող է օգտագործվել հիշողության մեջ վնասաբեր կոդ ներմուծելու և թիրախավորված համակարգչում պոտենցիալ խոցելիություն ստեղծելու համար:

Cross-site request forgery (CSRF) - ներառում է օգտագործողին կատարել հարցում, որն օգտագործում է նրա վավերացման գործընթացը: Երբ օգտագործողի համակարգչային հաշիվը վարկաբեկված է, հաքերը կարող է վերափոխել, ոչնչացնել կամ փոփոխել կարևոր տեղեկատվությունը: Սովորաբար թիրախավորված են արտոնյալ օգտագործողները, ինչպիսիք են ադմինիստրատորները:

Տվյալների խախտում - Հատուկ հարձակման վեկտորներից տարբերվող տվյալների խախտումը ընդհանուր տերմին է, որը վերաբերում է զգայուն կամ գաղտնի տեղեկությունների արտահոսքին և կարող է առաջանալ սխալներից կամ վնասաբեր գործողություններից: Տվյալների խախտում համարվող շրջանակը բավականին լայն է․ այն կարող է բաղկացած լինել՝ սկսած մի քանի արժեքավոր գրառումներից մինչև միլիոնավոր օգտագործողների հաշիվներ:

 

Որո՞նք են խոցելիություների մեղմացման լավագույն փորձերը

Վեբ ծրագրերը շահագործումից պաշտպանելու կարևոր քայլերը ներառում են արդի ծածկագրումը, պատշաճ վավերացումը, հայտնաբերված խոցելիությունների շարունակական շտկումը և ծրագրավորման հմտությունները: Հմուտ հաքերները նույնիսկ անվտանգության միջավայրում կարող են գտնել խոցելիություններ, հետևաբար առաջարկվում է համապարփակ անվտանգության ռազմավարության մոտեցում:

Վեբ հավելվածների անվտանգությունը կարող է բարելավվել` պաշտպանվելով DDoS, ծրագրային մակարդակի և DNS հարձակումներից: