Инженерный вестник Дона, №4 ( 201 7 )
|
Скачать 57.36 Kb.
|
|
Инженерный вестник Дона,  №4 (2017)ivdon.ru/ru/magazine/archive/n4y2017/4633  Проблемы безопасности сайтов и их защита от атаки, основанной на внедрении JavaScript-кодаЕ.А.Зайцева Донской Государственный Технический Университет, Ростов-на-Дону Аннотация: Статья посвящена вопросу уязвимости различных веб-платформ атакам типа «межсайтовый скриптинг». Особое внимание обращается на классификацию атак по их поведению: различают DOM-based, активные и пассивные атаки. На основе общих правил защиты веб-сайтов разобраны основные методы предотвращения кражи ценных данных и несанкционированного доступа злоумышленника к веб-сайту или приложению. В первую очередь это поиск мест, где можно осуществить инъекцию вредоносного кода, а затем добавление в код фильтрации вводимых данных для всех переменных. В дополнении к этому, необходимо использовать защиту от xss-атак со стороны сервера. Результатом данных мероприятий является устранение уязвимостей ещё на ранних стадиях разработки и повышению защищенности сайта в целом.Ключевые слова: интернет, веб-приложение, веб-сайт, угроза безопасности, атака, уязвимость, запрос, защита. В последнее время, самая популярная платформа для ведения какой-либо деятельности – интернет [1]. Разработчики приложений довольно быстро к этому адаптировались: появились такие технологии как электронная коммерция, общественный форум, электронное управление, электронный банкинг, торговые площадки и другие приложения, работающие в Интернете [2]. Но по мере увеличения использования Интернета он также выявил свои нежелательные стороны. Проект Топ-10 OWASP (США) составил список угроз безопасности приложений: в 2017 году на первом месте были т.н. code-injection (различного рода инъекций кода), а среди других можно было увидеть атаку XSS использующую в основе язык JavaScript [3]. Раньше корпоративное программное обеспечение было бы расположено в надежных сетях компании, имея лишь некоторую связью между компьютерами персонала или вообще без нее [4]. В результате работа всей сети была менее уязвима для различных атак. Сегодня же веб-приложения стали самым важным каналом связи между поставщиками услуг и их пользователями. Стало возможным создание красивых, функциональных и интерактивных страниц сайта благодаря широкому использованию языка сценариев JavaScript. И это растущее использование JavaScript увеличивает пробелы в безопасности веб-приложений, такие как SQL-инъекции и межсайтовые уязвимости [5]. Межсайтовый скриптинг (XSS). Межсайтовый скриптинг атакует веб-приложения, вставляя код или скрипт в веб-страницы, к которым обращаются пользователи. Ряд популярных веб-сайтов, включая Facebook, Twitter, McAfee, MySpace, eBay и Google, были основными объектами для подобных атак. XSS-атака использует незащищенный код веб-приложения, позволяя хакеру вводить вредоносный скрипт в веб-форму и дает ему доступ к приложению [6]. Исполняемый код XSS обычно написан на популярных сценариях и языках программирования, таких как JavaScript, vbscript, php и т. д. [7]. На рис.1 проиллюстрирована атака XSS. Таблицы  Рис. 1. – Работа XSS Предположим, есть форум или блог, на котором люди могут задать вопрос по некоторым темам и получить ответ на него от других пользователей. Для удобства поиска какого-либо вопроса все они хранятся в базе данных и отображаются списком, если кто-то запрашивает соответствующий раздел страницы. Такой список может выглядеть следующим образом (здесь нет кода XSS): List of questions: Question: "Which is the advantage of cloud computing in current times?” Question: "What is the best course or book for XSS for beginners to be professional? " |
Похожие:
 |
Инженерный вестник Дона, №1 ( 201 8) Влияние модификации носителя Al2O3 на свойства кобальтовых катализаторов синтеза Фишера-Тропша |
 |
Инженерный вестник Дона, №4 ( 201 6) Исследование возможности возведения строительных объектов на плитных фундаментах мелкого заложения при реконструкции застройки города... |
|
Инженерный вестник Дона Ключевые слова: асинхронный двигатель, датчик тока, микроконтроллер, спектр тока, быстрое преобразование Фурье |
|
Инструкция по регистрации на молодёжный форум Молодая Волна 2017.... Если у Вас нет аккаунта на сайте, пройдите процедуру регистрации, четко следуя инструкции |
|
Инструкция об организации пропускного режима ау во «Санаторий «Жемчужина Дона» Ау во «Санаторий «Жемчужина Дона», в целях обеспечения общественной безопасности, предупреждения возможных террористических, экстремистских... |
|
Вестник Смоленской Государственной Медицинской Академии спецвыпуск... Резюме. В работе рассмотрены методы диагностики и лечения резидуального холедохолитиаза, используемые в хирургических отделениях... |
|
Ежедневный Вестник Новостей = №02 ежедневный вестник новостей №02 Шавкат Мирзиёев: Люди на местах должны ощутить происходящие в каждой сфере перемены 2 |
|
Вестник психотерапии. – 2007. №22(27). – С. 96-100 Никитин И. А., Голуб Я. В. Применение биологической обратной связи по электромиограмме и аудиовизуальной стимуляции в лечении детей,... |
|
Правила оформления статей для публикации в журнале «Вестник физиотерапии и курортологии» Журнал «Вестник физиотерапии и курортологии» публикует статьи по проблемам физиотерапии, курортологии, восстановительной медицины... |
|
Вестник архивной службы курской области Вестник архивной службы Курской области. Информационно-методический бюллетень для архивных учреждений Курской области / под ред.... |
|
Контроллеры температуры екс 201 и екс 301 Контроллеры екс 201 (для установки на панель) и екс 301 (для монтажа на din -рейку) специально разработаны для управления работой... |
|
Библиотечная Ассоциация Республики Карелия Карельская республиканская... Библиотечный вестник Карелии: Сб. Вып. 7 (14): Безбарьерная библиотечная среда / барк, Карел респ б-ка для слепых; Отв ред. Зайцева... |
|
Экологический вестник козловского района чувашской республики выпуск 1 Экологический вестник Козловского района Чувашской Республики. Выпуск Ответственный редактор, составитель к б н. Димитриев А. В.... |
|
Волгоградская академия вестник волгоградской академии мвд россии Вестник Волгоградской академии мвд россии. Выпуск 1 (20) 2012 : научно-ме-тодический журнал. — Волгоград : ва мвд россии, 2012. —... |
|
Волгоградская академия вестник волгоградской академии мвд россии Вестник Волгоградской академии мвд россии. Выпуск 4 (15) 2010 : научно-ме-тодический журнал. — Волгоград : ва мвд россии, 2010. —... |
|
Каталог «Экспорт Дона 2009-2010» Отрасли Контактные данные (фио, наименование должности руководителя, адрес, телефон, e-mail, адрес в Интернете) |