С тестированием приложений всегда трудности. Время, силы, способные это сделать люди — всё превращается в задачи, требующие решения. А особенно тестирование на уязвимость от хакерских атак, потому что не все знают, какими способами пользуются цифровые преступники. Для того, чтобы решить эту проблему, IBM создала Rational AppScan — программу, которая автоматически сканирует веб-приложения на предмет уязвимостей и генерирует отчетность о результатах тестов.
Как и всякие другие штуки, хакерские активности тоже исследуют и считают. При этом цифры иногда получаются отличные от тех, что бытуют в профессиональной среде. Например, в Gartner посчитали, что цели 75% всех атак — это веб-приложения. И что уязвимыми оказываются две третьих всех приложений. Что, по факту, означает, что если у вас нет собственного специалиста по безопасности, вас взломают когда захотят, даже если вы используете firewall и регулярно его проверяете. Самыми популярными средствами атак оказались XSS и SQL-иньекции, перед которыми вся защита уровня сервера оказывается бесполезной: атака идёт на уровне приложений. Кроме того, постольку, поскольку сервера люди защищать научились и тратят на это деньги, а вот с приложениями всё не так, то отсюда и такая величина, как 75%. Плюс, тестирование безопасности проводится в конце сдачи проекта, и на него часто распространяют «остаточный принцип», что тоже сказывается на результате.
Рассмотрим две самые популярные технологии: XSS и SQL-иньекции.
Суть технологии XSS (cross-site scripting) заключается в том, чтобы передать жертве javascript в адресной строке. Например, прислать электронное письмо на фирменном шаблоне банка, которым жертва пользуется. Какое-то из слов будет выделено как ссылка, и пользователь вряд ли обратит внимание на то, что содержится в адресе после доменного имени, если вообще будет смотреть на адрес.
А дальше этот javascript получает доступ к контексту безопасности сайта, потому что он был вызван внутри него. И это означает, что таким образом можно украсть cookies, отслеживать все действия в браузере с момента запуска скрипта, переправить пользователя на мошеннический сайт, и даже полностью модифицировать содержание просматриваемых страниц.
Неудивительно, что это самая популярная технология на сегодняшний день. Но SQL-иньекции не сильно от неё отстают. Принцип их действия, как несложно понять из названия, это отправка SQL-команд вместе с данными, вводимыми пользователем. Очень часто программист, по лени или по незнанию, пренебрегает проверкой присланных данных, и вставляет их прямиком в формируемый SQL-запрос в том виде, котором они пришли. И если злоумышленник отправит туда SQL-команды, они будут выполнены, так как попадут прямиком в тот запрос, который автоматически сформирован некачественной программой.
Простейший пример: пользователь нажимает на ссылку с названием продукта, которая содержит цифровой ID этого продукта в адресной строке. Скрипт на сайте подставляет этот ID в шаблон запроса прямо из адресной строки, и выполняет его. SQL это открытый широко использующийся язык, и несложно догадаться, что выглядит шаблон как-то вроде SELECT * FROM products WHERE id='...', где вместо многоточия и подставляется число из адресной строки. Достаточно вначале написать апостроф, чтобы в id передалось пустое значение, и продолжить писать уже собственные команды. Трюк прост, но популярен.
IBM Rational AppScan исрользует использует подход к приложению как к “черному ящику”. Сначала он обследует веб-приложение и строит собственную модель сайта. Исходя из этих результатов, он определяет векторы атак, основываясь на выбранной политике тестирования. Затем он начинает отправлять различные HTTP-запросы, подходящие под эту политику, и анализирует HTTP-ответы.
Что мы получаем в результате? Мощный и понятный инструмент, который может автоматически сканировать и тестировать веб-приложения на типовые уязвимости, включая сервисы и javascript, исправлять их (в том числе, давая список действий для закрытия обнаруженных уязвимостей, если это нельзя сделать автоматически). IBM Rational AppScan прекрасно интегрируется с другими средствами тестирования, и может иметь с ними совместное расписание и отчетность. Всего же он предоставляет более 40 готовых отчетов на соответствие требованиям безопасности.
Очень важным свойством IBM Rational AppScan является то, что он не требует наличия в команде дорогих специалистов по безопасности, так как предоставляет очень подробные отчёты и инструкции. Например, каждая уязвимость снабжена доступным описанием того, как она работает и чем она опасна, в том числе и при помощи видеороликов. То есть, к просветительскому компоненту ребята из IBM подошли со всей ответственностью.
И их можно понять: чем выше средняя компьютерная грамотность, тем меньше проблем у нас, работников IT. Знание — это и есть самый эффективный путь защиты информации. Это приложение называется Rational не просто для красивого словца.
Любопытная статистика.
Как и всякие другие штуки, хакерские активности тоже исследуют и считают. При этом цифры иногда получаются отличные от тех, что бытуют в профессиональной среде. Например, в Gartner посчитали, что цели 75% всех атак — это веб-приложения. И что уязвимыми оказываются две третьих всех приложений. Что, по факту, означает, что если у вас нет собственного специалиста по безопасности, вас взломают когда захотят, даже если вы используете firewall и регулярно его проверяете. Самыми популярными средствами атак оказались XSS и SQL-иньекции, перед которыми вся защита уровня сервера оказывается бесполезной: атака идёт на уровне приложений. Кроме того, постольку, поскольку сервера люди защищать научились и тратят на это деньги, а вот с приложениями всё не так, то отсюда и такая величина, как 75%. Плюс, тестирование безопасности проводится в конце сдачи проекта, и на него часто распространяют «остаточный принцип», что тоже сказывается на результате.
Как это бывает
Рассмотрим две самые популярные технологии: XSS и SQL-иньекции.
Суть технологии XSS (cross-site scripting) заключается в том, чтобы передать жертве javascript в адресной строке. Например, прислать электронное письмо на фирменном шаблоне банка, которым жертва пользуется. Какое-то из слов будет выделено как ссылка, и пользователь вряд ли обратит внимание на то, что содержится в адресе после доменного имени, если вообще будет смотреть на адрес.
А дальше этот javascript получает доступ к контексту безопасности сайта, потому что он был вызван внутри него. И это означает, что таким образом можно украсть cookies, отслеживать все действия в браузере с момента запуска скрипта, переправить пользователя на мошеннический сайт, и даже полностью модифицировать содержание просматриваемых страниц.
Неудивительно, что это самая популярная технология на сегодняшний день. Но SQL-иньекции не сильно от неё отстают. Принцип их действия, как несложно понять из названия, это отправка SQL-команд вместе с данными, вводимыми пользователем. Очень часто программист, по лени или по незнанию, пренебрегает проверкой присланных данных, и вставляет их прямиком в формируемый SQL-запрос в том виде, котором они пришли. И если злоумышленник отправит туда SQL-команды, они будут выполнены, так как попадут прямиком в тот запрос, который автоматически сформирован некачественной программой.
Простейший пример: пользователь нажимает на ссылку с названием продукта, которая содержит цифровой ID этого продукта в адресной строке. Скрипт на сайте подставляет этот ID в шаблон запроса прямо из адресной строки, и выполняет его. SQL это открытый широко использующийся язык, и несложно догадаться, что выглядит шаблон как-то вроде SELECT * FROM products WHERE id='...', где вместо многоточия и подставляется число из адресной строки. Достаточно вначале написать апостроф, чтобы в id передалось пустое значение, и продолжить писать уже собственные команды. Трюк прост, но популярен.
Как с этим справляется IBM Rational AppScan?
IBM Rational AppScan исрользует использует подход к приложению как к “черному ящику”. Сначала он обследует веб-приложение и строит собственную модель сайта. Исходя из этих результатов, он определяет векторы атак, основываясь на выбранной политике тестирования. Затем он начинает отправлять различные HTTP-запросы, подходящие под эту политику, и анализирует HTTP-ответы.
Что мы получаем в результате? Мощный и понятный инструмент, который может автоматически сканировать и тестировать веб-приложения на типовые уязвимости, включая сервисы и javascript, исправлять их (в том числе, давая список действий для закрытия обнаруженных уязвимостей, если это нельзя сделать автоматически). IBM Rational AppScan прекрасно интегрируется с другими средствами тестирования, и может иметь с ними совместное расписание и отчетность. Всего же он предоставляет более 40 готовых отчетов на соответствие требованиям безопасности.
Очень важным свойством IBM Rational AppScan является то, что он не требует наличия в команде дорогих специалистов по безопасности, так как предоставляет очень подробные отчёты и инструкции. Например, каждая уязвимость снабжена доступным описанием того, как она работает и чем она опасна, в том числе и при помощи видеороликов. То есть, к просветительскому компоненту ребята из IBM подошли со всей ответственностью.
И их можно понять: чем выше средняя компьютерная грамотность, тем меньше проблем у нас, работников IT. Знание — это и есть самый эффективный путь защиты информации. Это приложение называется Rational не просто для красивого словца.