Опубликован: 04.05.2010 | Доступ: свободный | Студентов: 4030 / 454 | Оценка: 4.64 / 4.44 | Длительность: 41:24:00
Лекция 13:

Безопасность в Веб-разработке

17.5.3.3. Пример настройки для IIS 7
  1. Зайти в сертификаты сервера (рис. 17.24).
  2. Создать "самозаверенный" сертификат (рис. 17.25).
    Создание сертификата в IIS 7.0

    увеличить изображение
    Рис. 17.25. Создание сертификата в IIS 7.0
  3. Зайти в привязки сайта (рис. 17.26).
    Создание сертификата в IIS 7.0

    увеличить изображение
    Рис. 17.26. Создание сертификата в IIS 7.0
  4. Добавить привязку по https. В качестве сертификата выбрать созданный ssl сертификат (рис. 17.27).
    Создание сертификата в IIS 7.0

    Рис. 17.27. Создание сертификата в IIS 7.0

17.5.4. Ключевые термины

SSL, HTTPS.

17.6. Краткие итоги

Безопасность информации (данных) – состояние защищенности информации (данных), при котором обеспечены ее (их) конфиденциальность, доступность и целостность.

Информационная безопасность – защита конфиденциальности, целостности и доступности информации.

Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности:

  1. Законодательная, нормативно-правовая и научная база.
  2. Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.
  3. Организационно-технические и режимные меры и методы (Политика информационной безопасности).
  4. Программно-технические способы и средства обеспечения информационной безопасности.

Политика безопасности (информации в организации) – совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Политика безопасности информационно-телекоммуникационных технологий – правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.

Виды угроз и способы борьбы с ними:

  • Аутентификация (Authentication)
    • Подбор (Brute Force)
    • Недостаточная аутентификация (Insufficient Authentication)
    • Небезопасное восстановление паролей (Weak Password Recovery Validation).
  • Авторизация (Authorization)
    • Предсказуемое значение идентификатора сессии (Credential/Session Prediction)
    • Недостаточная авторизация (Insufficient Authorization)
    • Отсутствие таймаута сессии (Insufficient Session Expiration)
    • Фиксация сессии (Session Fixation)
  • Атаки на клиентов (Client-side Attacks)
    • Подмена содержимого (Content Spoofing)
    • Межсайтовое выполнение сценариев (Cross-site Scripting, XSS )
    • Расщепление HTTP-запроса (HTTP Response Splitting)
  • Выполнение кода (Command Execution)
    • Переполнение буфера (Buffer Overflow)
    • Атака на функции форматирования строк (Format String Attack)
    • Внедрение операторов LDAP (LDAP Injection)
    • Выполнение команд ОС (OS Commanding)
    • Внедрение операторов SQL (SQL Injection)
    • Внедрение серверных расширений (SSI Injection)
    • Внедрение операторов XPath (XPath Injection)
  • Разглашение информации (Information Disclosure)
    • Индексирование директорий (Directory Indexing)
    • Идентификация приложений (Web Server/Application Fingerprinting)
    • Утечка информации (Information Leakage)
    • Обратный путь в директориях (Path Traversal)
    • Предсказуемое расположение ресурсов (Predictable Resource Location)
  • Логические атаки (Logical Attacks)
    • Злоупотребление функциональными возможностями (Abuse of Functionality)
    • Отказ в обслуживании (Denial of Service)
    • Недостаточное противодействие автоматизации (Insufficient Anti-automation)
    • Недостаточная проверка процесса (Insufficient Process Validation)
  • Вирусы и приложения типа "троянский конь"

XSS ( Сross Site Sсriрting ) – тип уязвимости интерактивных информационных систем в Интернете, возникающий, когда в генерируемые сервером страницы по какой-то причине попадают пользовательские скрипты.

XSS -фильтр работает как компонент IE8, который просматривает все запросы и ответы, проходящие через браузер.

Фишинг – вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей – логинам и паролям.

Internet Explorer 8 имеет фильтр SmartScreen.

Data Execution Preventionфункция безопасности, встроенная в семейство операционных систем Windows, которая не позволяет приложению исполнять код из области памяти, помеченной как "только для данных".

DEP в Internet Explorer 8 помогает избежать атак путем предотвращения запуска кода, размещенного в участке памяти, помеченном как неисполняемый.

SSL – криптографический протокол, который обеспечивает установление безопасного соединения между клиентом и сервером.

SSL предоставляет канал, имеющий 3 основные свойства:

  • Аутентификация;
  • Надежность;
  • Частность канала.

HTTPS – расширение протокола HTTP, поддерживающее шифрование. Данные, передаваемые по протоколу HTTP, "упаковываются" в криптографический протокол SSL или TLS, тем самым обеспечивается защита этих данных.