Suche nach Webressourcensicherheit. Informationssicherheit, Schutz und sichere Verwaltung von Webressourcen. Angebliche wissenschaftliche Neuheit

Website-Scanner sind spezielle Programme, die Schwachstellen und Fehler in Webanwendungen erkennen.

Sie ermöglichen es Ihnen, die Website mit den Augen eines Roboters zu betrachten und zu verstehen, wie er sie sieht Suchprogramme, die den Zustand der Ressourcen analysieren und mögliche Fehler beheben.

Die Funktionsweise von Website-Scannern lässt sich mit Diagnosegeräten für den menschlichen Körper vergleichen, die verschiedene Krankheiten und Pathologien rechtzeitig erkennen und erfolgreich bekämpfen können, insbesondere wenn sie sich in einem frühen Entwicklungsstadium befinden.

Welche Daten können mit einem Website-Scanner erfasst werden?

Beim Einsatz von Webscannern kann Folgendes erkannt werden:

• Verstöße im Kodierungsprozess – Fehler im Zusammenhang mit der falschen Verarbeitung ein- und ausgehender Daten (SQL-Injections, XSS).
• Verstöße bei der Nutzung und Konfiguration von Webanwendungen – fehlerhafte Konfiguration ihrer Umgebung (Anwendungsserver, SSL/TLS und verschiedene Komponenten von Drittanbietern).
• Verstöße beim Betrieb der Ressource – Verwendung veralteter Software, leichte Passwörter, Sicherheit archivierter Daten, Servicemodule im direkten Zugriff auf den Server.
• Falsche IP-Filterkonfiguration führt zu Denial-of-Service. Einschließlich Angriffe auf den Server mit Richtung große Menge automatische Anfragen, die es nicht schnell verarbeiten kann, wodurch es „einfriert“ und keine Anfragen von echten Benutzern mehr verarbeiten kann.
• Schlechter Betriebssystemschutz auf dem Server. Wenn es verfügbar ist, haben Betrüger die Möglichkeit, beliebigen Code zu erstellen.

Funktionsprinzipien von Website-Scannern

1. Sammeln von Informationen über die analysierte Ressource.
2. Überprüfung der Ressourcensoftware auf Schwachstellen mithilfe spezieller .
3. Identifizierung schwacher Sektoren im System.
4. Empfehlungen zur Fehlerbeseitigung aussprechen.

Arten von Website-Sicherheitsscannern

Je nach Zweck werden diese Programme in mehrere Gruppen eingeteilt:

• Netzwerkscanner. Sie öffnen alle Arten von Netzwerkdiensten, bestimmen das Betriebssystem usw.
• Scanner zum Erkennen von Fehlern in Skripten. Erkennen Sie Schwachstellen wie XSS, SQL Inj, LFI/RFI usw. oder Fehler, die nach der Verwendung nicht persistenter Komponenten, Verzeichnisindizierung usw. verbleiben.
• Nutzen Sie Auswahltools. Sie suchen nach Exploits in Software und Skripten.
• Programme zur Injektionsautomatisierung. Dazu gehören Dienstprogramme, die Injektionen erkennen und verwenden.
• Debugger. Programme zur Fehlerbeseitigung und Codebearbeitung in Ressourcen.

Darüber hinaus gibt es auch allgemeine Website-Schwachstellenscanner, die mehrere Kategorien solcher Programme gleichzeitig kombinieren.

Kostenlose Dienste

Netzwerkdienste:

• Nmap ist ein Open-Source-Programm. Wird verwendet, um Netzwerke unabhängig von der Anzahl der Objekte zu untersuchen und ihren Zustand zu bestimmen.
• IP Tools ist ein Protokollanalysedienst, der Filterstandards, einen Adapter zum Auswählen, Dekorieren von Protokollen usw. bereitstellt.

Scanner zur Fehlererkennung in Skripten:

• Nikto – bietet eine umfassende Untersuchung von Servern auf Fehler und überprüft eine große Anzahl potenziell unerwünschter Dateien und Anwendungen.
• Skipfish – bietet rekursives Scannen von Anwendungen und anschließende Analyse basierend auf speziellen Wörterbüchern.

Exploit-Erkennungsprogramme:

• Metasploit ist ein Perl-basiertes Programm, das umfassende Tests verschiedener Plattformen und Anwendungen ermöglicht.
• Nessus – verwendet im Analyseprozess sowohl Standardtestmethoden als auch separate Methoden, die das Verhalten von Betrügern bei der Einführung in das System simulieren.

Programme zur Injektionsautomatisierung:

• SQLMap ist ein Dienst mit einem zugänglichen Schlüsselcode, der zur Analyse von SQL-Schwachstellen verwendet wird.
• bsqlbf-v2 ist ein Programm zum Auffinden blinder SQL-Injections.

Debugger:

• Burp Suite ist eine Reihe eigenständiger Dienste, die auf Java basieren.

Zweck eines Website-Virenscanners

Eigentümer oder Administratoren von Ressourcen stoßen häufig auf Sicherheitsverletzungen, die dazu führen, dass die Website von Suchmaschinen gesperrt oder von einem Antivirenprogramm blockiert wird. Vom Hosting kommen Fixierungsschreiben, Nutzer beschweren sich über diverse Werbefenster Dritter oder Weiterleitungen zu anderen Ressourcen.

Es besteht die Notwendigkeit, die Ursachen dieser Probleme zu ermitteln. Hierbei handelt es sich um einen speziellen Vorgang, der von Website-Virenscannern durchgeführt wird. Es umfasst 2 Hauptphasen:

1. Analyse von Hosting-Komponenten und Datenbanken zur Erkennung schädlicher Skripte und Injektionen.
2. Überprüfen der Ressource mit einem Site-Seitenscanner. Identifizierung versteckter Weiterleitungen und anderer Probleme, die mit Schwachstellen-Scanprogrammen nicht gefunden werden können.

Website-Virenscanner führen statistische und dynamische Untersuchungen durch, um das Vorhandensein schädlicher Elemente festzustellen. statistische Analyse– Dies ist die Identifizierung schädlicher Komponenten, Links, Spam und anderer statistischer Knoten auf den analysierten Seiten. Die Erkennung solcher Elemente erfolgt mithilfe einer Signaturdatenbank oder einer ständig aktualisierten Datenliste. Wenn sich im Seitencode ein schädliches Element befindet und es dem Scanner mithilfe der Datenbank bekannt ist, wird es vom Programm erkannt.

Anders als statistisch dynamische Analyse– Dies ist die Untersuchung von Website-Webdokumenten durch Simulation von Benutzeraktionen. Es werden Ergebnisse generiert – was passiert am Ende, wie reagiert die Seite auf Anfragen.

Zu den beliebtesten Website-Virenscannern gehören Nod, Dr.Web, Kaspersky usw. Sie alle sind sehr effektiv, wenn Sie die Versionen mit den neuesten Updates verwenden. Sie arbeiten online.

Einführung

In der modernen Wirtschaft erfreuen sich Webtechnologien großer Beliebtheit. Bei den meisten Websites großer Unternehmen handelt es sich um eine Reihe von Anwendungen, die über Interaktivität, Personalisierungstools, Möglichkeiten zur Interaktion mit Kunden (Online-Shops, Remote-Banking) und häufig Möglichkeiten zur Integration mit internen Funktionen verfügen geschäftliche Anwendungen Firmen.

Sobald eine Website jedoch im Internet verfügbar ist, wird sie zum Ziel von Cyberangriffen. Am meisten auf einfache Weise Angriffe auf eine Website bestehen heutzutage darin, die Schwachstellen ihrer Komponenten auszunutzen. Und das Hauptproblem besteht darin, dass Schwachstellen auf modernen Websites mittlerweile weit verbreitet sind.

Sicherheitslücken sind eine unmittelbare und wachsende Bedrohung. Sie sind größtenteils das Ergebnis von Sicherheitsmängeln im Webanwendungscode und Fehlkonfigurationen von Website-Komponenten.

Lassen Sie uns einige Statistiken geben. Laut Daten aus dem Bericht über Cyber-Bedrohungen für das erste Halbjahr 2016 veröffentlicht High-Tech Bridge Web-Sicherheitstrends für das erste Halbjahr 2016, erstellt von High-Tech Bridge:

• über 60 % der Webdienste oder APIs für mobile Anwendungen mindestens eine gefährliche Schwachstelle enthalten, die eine Gefährdung der Datenbank ermöglicht;
• 35 % der Websites, die für XSS-Angriffe anfällig sind, sind auch anfällig für SQL-Injections und XXE-Angriffe;
• 23 % der Websites enthalten die POODLE-Schwachstelle und nur 0,43 % – Heartbleed;
• Fälle der Ausnutzung gefährlicher Schwachstellen (z. B. Ermöglichen von SQL-Injection) bei RansomWeb-Angriffen haben sich verfünffacht;
• 79,9 % der Webserver haben falsch konfigurierte oder unsichere HTTP-Header;
• Die heute erforderlichen Updates und Fixes sind nur auf 27,8 % der Webserver installiert.

Zum Schutz von Webressourcen verwenden Infunterschiedliche Tools. Beispielsweise werden SSL-Zertifikate zur Verschlüsselung des Datenverkehrs verwendet und eine Web Application Firewall (WAF) wird am Perimeter von Webservern installiert, was eine umfangreiche Konfiguration und langes Selbstlernen erfordert. Ein ebenso wirksames Mittel zur Gewährleistung der Website-Sicherheit ist die regelmäßige Überprüfung des Sicherheitsstatus (Suche nach Schwachstellen). Die Tools zur Durchführung solcher Überprüfungen sind Website-Sicherheitsscanner, die in dieser Überprüfung besprochen werden.

Auf unserer Website gab es bereits eine Rezension zu Sicherheitsscannern für Webanwendungen – „“, in der Produkte von Marktführern bewertet wurden. In diesem Testbericht gehen wir nicht weiter auf diese Themen ein, sondern konzentrieren uns auf einen Testbericht über kostenlose Website-Sicherheitsscanner.

Das Thema Freie Software ist heute besonders aktuell. Aufgrund der instabilen Wirtschaftslage in Russland optimieren derzeit viele Organisationen (sowohl im kommerziellen als auch im öffentlichen Sektor) ihre IT-Budgets und oft fehlt das Geld, um teure kommerzielle Produkte zur Analyse der Systemsicherheit zu kaufen. Gleichzeitig gibt es viele kostenlose (kostenlose, Open-Source-)Dienstprogramme zur Suche nach Schwachstellen, von denen die Leute einfach nichts wissen. Darüber hinaus sind einige von ihnen nicht minderwertig Funktionalität gegenüber ihren bezahlten Konkurrenten. Daher werden wir in diesem Artikel über die interessantesten kostenlosen Website-Sicherheitsscanner sprechen.

Was sind Website-Sicherheitsscanner?

Website-Sicherheitsscanner sind Softwaretools (Hardware und Software), die nach Fehlern in Webanwendungen (Schwachstellen) suchen, die zur Verletzung der Integrität von System- oder Benutzerdaten, zu deren Diebstahl oder zur Erlangung der Kontrolle über das System als Ganzes führen.

Mithilfe von Website-Sicherheitsscannern können Sie Schwachstellen in den folgenden Kategorien erkennen:

• Schwachstellen in der Codierungsphase;
• Schwachstellen in der Implementierungs- und Konfigurationsphase einer Webanwendung;
• Schwachstellen in der Betriebsphase der Website.

Zu den Schwachstellen in der Codierungsphase gehören Schwachstellen im Zusammenhang mit der fehlerhaften Verarbeitung von Eingabe- und Ausgabedaten (SQL-Injections, XSS).

Zu den Schwachstellen in der Website-Implementierungsphase gehören Schwachstellen im Zusammenhang mit falschen Einstellungen der Webanwendungsumgebung (Webserver, Anwendungsserver, SSL/TLS, Framework, Komponenten von Drittanbietern, Vorhandensein des DEBUG-Modus usw.).

Zu den Schwachstellen in der Betriebsphase einer Website zählen Schwachstellen im Zusammenhang mit der Verwendung veralteter Software, einfacher Passwörter, der Speicherung archivierter Kopien auf einem Webserver im öffentlichen Zugriff, dem Vorhandensein öffentlich zugänglicher Servicemodule (phpinfo) usw.

So funktionieren Website-Sicherheitsscanner

Im Allgemeinen ist das Funktionsprinzip eines Website-Sicherheitsscanners wie folgt:

• Sammlung von Informationen über das untersuchte Objekt.
• Prüfung der Website-Software auf Schwachstellen mithilfe von Schwachstellendatenbanken.
• Identifizieren von Systemschwächen.
• Bildung von Empfehlungen zu deren Beseitigung.

Kategorien von Website-Sicherheitsscannern

Website-Sicherheitsscanner können je nach Zweck in die folgenden Kategorien (Typen) unterteilt werden:

• Netzwerkscanner - dieser Typ Der Scanner zeigt verfügbare Netzwerkdienste an, installiert deren Versionen, ermittelt das Betriebssystem usw.
• Scanner zur Suche nach Schwachstellen in Webskripten– Diese Art von Scanner sucht nach Schwachstellen wie SQL-Inj, XSS, LFI/RFI usw. oder Fehlern (nicht gelöschte temporäre Dateien, Verzeichnisindizierung usw.).
• Exploit-Finder– Dieser Scannertyp ist für die automatische Suche nach Exploits in Software und Skripten konzipiert.
• Werkzeuge zur Injektionsautomatisierung- Dienstprogramme, die sich speziell mit der Suche und Nutzung von Injektionen befassen.
• Debugger- Tools zum Beheben von Fehlern und zum Optimieren des Codes in einer Webanwendung.

es gibt auch universelle Dienstprogramme, die die Funktionen mehrerer Scannerkategorien gleichzeitig umfassen.

Nachfolgend finden Sie eine kurze Übersicht über kostenlose Website-Sicherheitsscanner. Da es viele kostenlose Dienstprogramme gibt, werden in der Überprüfung nur die beliebtesten kostenlosen Tools zur Analyse der Sicherheit von Webtechnologien berücksichtigt. Bei der Einbeziehung eines bestimmten Dienstprogramms in die Überprüfung wurden spezielle Ressourcen zum Thema Web-Technologie-Sicherheit analysiert:

Ein kurzer Überblick über kostenlose Website-Sicherheitsscanner

Netzwerkscanner

Nmap

Scannertyp: Netzwerkscanner.

Nmap (Network Mapper) ist ein kostenloses Open-Source-Dienstprogramm. Es dient dazu, Netzwerke mit einer beliebigen Anzahl von Objekten zu scannen, den Status von Objekten des gescannten Netzwerks sowie von Ports und den entsprechenden Diensten zu ermitteln. Nmap verwendet dafür viel verschiedene Methoden Scans wie UDP, TCP-Verbindung, TCP-SYN (halboffen), FTP-Proxy (FTP-Durchbruch), Reverse-Ident, ICMP (Ping), FIN, ACK, Weihnachtsbaum, SYN und NULL-Scan.

Nmap unterstützt außerdem eine Vielzahl zusätzlicher Funktionen, nämlich: Definieren Betriebssystem Remote-Host mithilfe von TCP/IP-Stack-Fingerabdrücken, Stealth-Scanning, dynamische Berechnung der Latenz und Paketneuübertragung, paralleles Scannen, Erkennung inaktiver Hosts mithilfe paralleler Ping-Abfrage, Scannen mithilfe falscher Hosts, Erkennung von Paketfiltern, direktes (ohne Verwendung von Portmapper) RPC-Scanning , Scannen mittels IP-Fragmentierung sowie willkürliche Angabe von IP-Adressen und Portnummern gescannter Netzwerke.

Nmap wurde von Zeitschriften und Communities wie Linux Journal, Info World, LinuxQuestions.Org und Codetalker Digest mit dem Status „Sicherheitsprodukt des Jahres“ ausgezeichnet.

Plattform: Das Dienstprogramm ist plattformübergreifend.

Erfahren Sie mehr über den Nmap-Scanner.

IP-Tools

Scannertyp: Netzwerkscanner.

IP Tools ist ein Protokollanalysator, der Filterregeln, Filteradapter, Paketdekodierung, Protokollbeschreibung und vieles mehr unterstützt. Genaue Information Jedes Paket ist in einem Stilbaum enthalten. Über ein Rechtsklick-Menü können Sie die ausgewählte IP-Adresse scannen.

Zusätzlich zum Paket-Sniffer bietet IP Tools ein komplettes Set an Netzwerk-Tools, darunter einen Statistikadapter, IP-Verkehrsüberwachung und mehr.

Erfahren Sie mehr über den IP-Tools-Scanner.

Skipfish

Der plattformübergreifende Web-Schwachstellenscanner Skipfish vom Programmierer Michal Zalewski führt eine rekursive Analyse einer Webanwendung und deren wörterbuchbasierte Prüfung durch und erstellt anschließend eine Sitemap mit Anmerkungen zu den erkannten Schwachstellen.

Das Tool wird intern von Google entwickelt.

Der Scanner führt eine detaillierte Analyse der Webanwendung durch. Es ist auch möglich, ein Wörterbuch für spätere Tests derselben Anwendung zu erstellen. Der detaillierte Bericht von Skipfish enthält Informationen zu erkannten Schwachstellen, die URL der Ressource, die die Schwachstelle enthält, und die gesendete Anfrage. Im Bericht werden die erhaltenen Daten nach Schweregrad und Schwachstellentyp sortiert. Der Bericht wird im HTML-Format generiert.

Es ist erwähnenswert, dass der Web-Schwachstellenscanner von Skipfish sehr viel Datenverkehr erzeugt und das Scannen sehr lange dauert.

Plattformen: MacOS, Linux, Windows.

Erfahren Sie mehr über den Skipfish-Scanner.

Wapiti

Scannertyp: Scanner zur Suche nach Schwachstellen in Webskripten.

Wapiti ist Konsolen-Dienstprogramm zur Prüfung von Webanwendungen. Es funktioniert nach dem „Black-Box“-Prinzip.

Wapiti funktioniert wie folgt: Zunächst analysiert der WASS-Scanner die Site-Struktur, sucht nach verfügbaren Skripten und analysiert Parameter. Wapiti schaltet dann den Fuzzer ein und scannt weiter, bis alle anfälligen Skripte gefunden sind.

Der Wapiti WASS-Scanner funktioniert mit den folgenden Arten von Schwachstellen:

• Dateioffenlegung (lokal und remote include/require, fopen, readfile).
• Datenbankinjektion (PHP/JSP/ASP SQL-Injektionen und XPath-Injektionen).
• XSS-Injektion (Cross Site Scripting) (reflektiert und permanent).
• Erkennung der Befehlsausführung (eval(), system(), passru()…).
• CRLF-Injection (HTTP-Antwortaufteilung, Sitzungsfixierung ...).
• XXE-Injektion (XmleXternal Entity).
• Verwendung bekannter potenziell gefährlicher Dateien.
• Schwache .htaccess-Konfigurationen, die umgangen werden können.
• Vorhandensein von Sicherungsdateien mit vertraulichen Informationen (Offenlegung des Quellcodes).

Wapiti ist in den Dienstprogrammen der Kali-Linux-Distribution enthalten. Sie können die Quellen von SourceForge herunterladen und auf jeder Distribution verwenden, die auf dem Linux-Kernel basiert. Wapiti unterstützt die HTTP-Anforderungsmethoden GET und POST.

Plattformen: Windows, Unix, MacOS.

Erfahren Sie mehr über den Wapiti-Scanner.

Nessus

Der Nessus-Scanner ist ein leistungsstarkes und zuverlässiges Tool, das zur Familie gehört Netzwerkscanner, mit dem Sie nach Schwachstellen in Netzwerkdiensten suchen können, die von Betriebssystemen, Firewalls, Filterroutern und anderen Netzwerkkomponenten angeboten werden. Zur Suche nach Schwachstellen werden sowohl Standardtools zum Testen und Sammeln von Informationen über die Konfiguration und Funktionsweise des Netzwerks als auch spezielle Tools verwendet, die die Aktionen eines Angreifers nachahmen, um in mit dem Netzwerk verbundene Systeme einzudringen.

Erfahren Sie mehr über den Nessus-Scanner.

bsqlbf-v2

Scannertyp: Injektionsautomatisierungstool.

bsqlbf-v2 ist ein in Perl geschriebenes Skript. Brute Forcer für blinde SQL-Injections. Der Scanner arbeitet sowohl mit ganzzahligen Werten in der URL als auch mit String-Werten.

Plattformen: MS-SQL, MySQL, PostgreSQL, Oracle.

Erfahren Sie mehr über den bsqlbf-v2-Scanner.

Debugger

Rülpsen-Suite

Scannertyp: Debugger.

Burp Suite ist eine Sammlung relativ unabhängiger, plattformübergreifender Anwendungen, die in Java geschrieben sind.

Der Kern des Komplexes ist das Burp-Proxy-Modul, das die Funktionen eines lokalen Proxyservers übernimmt; Die restlichen Komponenten des Sets sind Spider, Intruder, Repeater, Sequencer, Decoder und Comparer. Alle Komponenten sind so zu einem Ganzen verbunden, dass Daten an jeden Teil der Anwendung gesendet werden können, beispielsweise vom Proxy bis zum Eindringling, um verschiedene Überprüfungen der Webanwendung durchzuführen, vom Eindringling bis zum Repeater für eine gründlichere manuelle Analyse HTTP-Header.

Plattformen: plattformübergreifend Software.

Erfahren Sie mehr über den Burp Suite-Scanner.

Geiger

Scannertyp: Debugger.

Fiddler ist ein Debug-Proxy, der den gesamten HTTP(S)-Verkehr protokolliert. Mit dem Tool können Sie diesen Datenverkehr untersuchen, einen Haltepunkt festlegen und mit ein- oder ausgehenden Daten „spielen“.

Funktionsmerkmale von Fiddler:

• Die Möglichkeit, alle von Internetbrowsern übermittelten Anfragen, Cookies und Parameter zu kontrollieren.
• Funktion zum spontanen Ändern von Serverantworten.
• Möglichkeit, Header und Anfragen zu manipulieren.
• Funktion zum Ändern der Kanalbreite.

Plattformen: plattformübergreifende Software.

Erfahren Sie mehr über den Fiddler-Scanner.

N-Stalker Web Application Security Scanner X Free Edition

Scannertyp: Scanner zur Suche nach Schwachstellen in Webskripten, Exploit-Suchtool.

Ein effektives Tool für Webdienste ist der N-Stealth Security Scanner von N-Stalker. Das Unternehmen verkauft eine Version von N-Stealth mit umfassenderem Funktionsumfang, die kostenlose Testversion reicht jedoch für eine einfache Evaluierung aus. Das kostenpflichtige Produkt verfügt über mehr als 30.000 Webserver-Sicherheitstests, aber die kostenlose Version erkennt auch mehr als 16.000 spezifische Lücken, darunter Schwachstellen in so weit verbreiteten Webservern wie Microsoft IIS und Apache. N-Stealth sucht beispielsweise nach anfälligen Common Gateway Interface (CGI)- und Hypertext Preprocessor (PHP)-Skripten, nutzt SQL Server-Penetrationsangriffe, gängige Cross-Site-Skripte und andere Lücken in beliebten Webservern aus.

N-Stealth unterstützt sowohl HTTP als auch HTTP Secure (HTTPS – mit SSL), gleicht Schwachstellen mit dem Common Vulnerabilities and Exposures (CVE)-Wörterbuch und der Bugtraq-Datenbank ab und generiert anständige Berichte. N-Stealth wird verwendet, um die häufigsten Schwachstellen in Webservern zu finden und dabei zu helfen, die wahrscheinlichsten Angriffsvektoren zu identifizieren.

Für eine zuverlässigere Einschätzung der Sicherheit einer Website oder Anwendungen empfiehlt sich natürlich der Kauf einer kostenpflichtigen Version.

Erfahren Sie mehr über den N-Stealth-Scanner.

Schlussfolgerungen

Das Testen von Websites zur Identifizierung von Schwachstellen ist eine gute vorbeugende Maßnahme. Derzeit gibt es viele kommerzielle und frei verfügbare Website-Sicherheitsscanner. Gleichzeitig können Scanner sowohl universell (umfassende Lösungen) als auch spezialisiert sein und nur darauf ausgelegt sein, bestimmte Arten von Schwachstellen zu identifizieren.

Einige kostenlose Scanner sind recht leistungsstarke Tools und zeigen bei der Überprüfung von Websites eine große Tiefe und gute Qualität. Aber bevor Sie es verwenden kostenlose Dienstprogramme Um die Sicherheit von Websites zu analysieren, müssen Sie deren Qualität sicherstellen. Dafür gibt es heute bereits viele Methoden (zum Beispiel Web Application Security Scanner Evaluation Criteria, OWASP Web Application Scanner Specification Project).

Nur umfassende Lösungen können ein möglichst vollständiges Bild der Sicherheit einer bestimmten Infrastruktur liefern. In manchen Fällen ist es besser, mehrere Sicherheitsscanner zu verwenden.

Kategorie: .

Autor: Maksadkhan Yakubov, Bogdan Shklyarevsky.

In diesem Artikel werden die Probleme bei der Verwaltung von Webressourcen sowie Methoden, Methoden und Empfehlungen zur sicheren Verwaltung und zum Schutz vor Hacking und Cyberangriffen erörtert.

Der erste Schritt beim Entwerfen, Erstellen oder Betreiben einer sicheren Website besteht darin, sicherzustellen, dass der Server, auf dem sie gehostet wird, so sicher wie möglich ist.

Die Hauptkomponente eines jeden Webservers ist das Betriebssystem. Die Gewährleistung der Sicherheit ist relativ einfach: Installieren Sie einfach rechtzeitig die neuesten Sicherheitsupdates.

Es sei daran erinnert, dass Hacker auch dazu neigen, ihre Angriffe zu automatisieren, indem sie Malware verwenden, die einen Server nach dem anderen durchläuft und nach einem Server sucht, auf dem das Update veraltet ist oder nicht installiert wurde. Daher wird empfohlen, sicherzustellen, dass Updates zeitnah und korrekt installiert werden; Jeder Server, auf dem sie installiert sind veraltete Versionen Aktualisierungen können angegriffen werden.

Außerdem sollten Sie die gesamte auf dem Webserver laufende Software rechtzeitig aktualisieren. Jegliche Software, die keine erforderlichen Komponenten enthält (z. B. ein DNS-Server oder Tools). Fernverwaltung(z. B. VNC oder Remotedesktopdienste) sollten deaktiviert oder entfernt werden. Wenn Remote-Verwaltungstools erforderlich sind, achten Sie darauf, keine Standardkennwörter oder leicht zu erratende Kennwörter zu verwenden. Dieser Hinweis gilt nicht nur für Remote-Administrationstools, sondern auch für Benutzerkonten, Router und Switches.

Der nächste wichtige Punkt ist Antivirensoftware. Ihre Verwendung ist eine zwingende Voraussetzung für jede Webressource, unabhängig davon, ob sie als solche verwendet wird Windows-Plattformen oder Unix. In Kombination mit einer flexiblen Firewall wird Antivirensoftware zu einer der effektivsten Möglichkeiten, sich vor Cyberangriffen zu schützen. Wenn ein Webserver zum Ziel eines Angriffs wird, versucht der Angreifer sofort, Hacking-Tools oder Schadsoftware herunterzuladen, um Sicherheitslücken auszunutzen. Ohne hochwertige Antivirensoftware kann eine Sicherheitslücke lange Zeit unentdeckt bleiben und unerwünschte Folgen haben.

Die beste Option zum Schutz von Informationsressourcen ist ein mehrstufiger Ansatz. Auf der vorderen Flanke befinden sich Firewall und Betriebssystem; Das dahinter stehende Antivirenprogramm ist bereit, eventuell auftretende Lücken zu schließen.

Basierend auf den Parametern des Betriebssystems und der Funktionalität des Webservers können folgende allgemeine Techniken zum Schutz vor Cyberangriffen angegeben werden:

• Installieren Sie keine unnötigen Komponenten. Jede Komponente birgt eine eigene Bedrohung; je mehr es sind, desto höher ist das Gesamtrisiko.
• Halten Sie Ihr Betriebssystem und Ihre Anwendungen mit Sicherheitsupdates auf dem neuesten Stand.
• Verwenden Sie ein Antivirenprogramm und schalten Sie es ein automatische Installation Updates durchführen und regelmäßig deren korrekte Installation überprüfen.

Einige dieser Aufgaben mögen schwierig erscheinen, aber denken Sie daran, dass für einen Angriff nur eine einzige Sicherheitslücke erforderlich ist. Zu den potenziellen Risiken zählen in diesem Fall der Diebstahl von Daten und Datenverkehr, das Setzen der IP-Adresse des Servers auf eine schwarze Liste, eine Rufschädigung des Unternehmens und die Instabilität der Website.

Basierend auf dem Schweregrad der Schwachstelle gibt es normalerweise 5 Stufen, die den aktuellen Status der Webressource bestimmen (Tabelle 1). Typischerweise versuchen Angreifer, basierend auf ihren Zielen und Qualifikationen, auf der gehackten Ressource Fuß zu fassen und ihre Anwesenheit zu verschleiern.

Ein Site-Hack lässt sich nicht immer an äußeren Anzeichen erkennen (mobile Weiterleitung, Spam-Links auf Seiten, Banner anderer Personen, Verunstaltung usw.). Wenn die Website kompromittiert ist, sind diese äußeren Anzeichen möglicherweise nicht vorhanden. Die Ressource kann normal funktionieren, ohne Unterbrechungen, Fehler oder Aufnahme in Antiviren-Blacklists. Dies bedeutet jedoch nicht, dass die Website sicher ist. Das Problem besteht darin, dass es schwierig ist, die Tatsache des Hackens und Herunterladens von Hacker-Skripten zu bemerken, ohne eine Sicherheitsüberprüfung durchzuführen, und dass die Web-Shells, Hintertüren und andere Hacker-Tools selbst ziemlich lange auf dem Hosting verbleiben und nicht für ihre Zwecke verwendet werden können Sinn und Zweck der Sache. Doch eines Tages kommt es, dass sie von einem Angreifer massiv ausgenutzt werden, was zu Problemen für den Websitebesitzer führt. Bei Spam oder der Veröffentlichung von Phishing-Seiten wird die Website beim Hosting blockiert (oder ein Teil der Funktionalität wird deaktiviert) und das Auftreten von Weiterleitungen oder Viren auf den Seiten ist mit einem Verbot von Antivirenprogrammen und Sanktionen von Suchmaschinen verbunden. In einem solchen Fall ist es dringend erforderlich, die Website zu „behandeln“ und anschließend einen Schutz vor Hacking zu installieren, damit sich die Handlung nicht wiederholt. Oftmals erkennen Standard-Antivirenprogramme bestimmte Arten von Trojanern und Web-Shells nicht; der Grund dafür können vorzeitige Updates oder veraltete Software sein. Wenn Sie eine Webressource auf Viren und Skripte überprüfen, sollten Sie Antivirenprogramme verschiedener Spezialisierungen verwenden; in diesem Fall kann ein Trojaner, der von einem Antivirenprogramm nicht gefunden wird, von einem anderen entdeckt werden. Abbildung 1 zeigt ein Beispiel eines Scanberichts einer Antivirensoftware. Dabei ist zu beachten, dass andere Antivirenprogramme die Malware nicht erkennen konnten.

Trojaner wie „PHP/Phishing.Agent.B“, „Linux/Roopre.E.Gen“, „PHP/Kryptik.AE“ werden von Angreifern zur Fernsteuerung eines Computers eingesetzt. Solche Programme infiltrieren eine Website oft über E-Mail, kostenlose Software, andere Websites oder einen Chatroom. Meistens fungiert ein solches Programm als nützliche Datei. Dabei handelt es sich jedoch um einen bösartigen Trojaner, der persönliche Daten der Benutzer sammelt und an Angreifer weitergibt. Darüber hinaus kann es automatisch eine Verbindung zu bestimmten Websites herstellen und andere Arten von Malware auf das System herunterladen. Um eine Erkennung und Entfernung zu verhindern, deaktiviert „Linux/Roopre.E.Gen“ möglicherweise Sicherheitsfunktionen. Dieses Trojaner-Programm wurde mithilfe der Rootkit-Technologie entwickelt, die es ihm ermöglicht, sich im System zu verstecken.

• „PHP/WebShell.NCL“ ist ein Trojaner-Programm, das verschiedene Funktionen ausführen kann, beispielsweise das Löschen Systemdateien, Wird geladen Schadsoftware, vorhandene Komponenten ausblenden oder persönliche Informationen und andere Daten herunterladen. Dieses Programm kann allgemeine Antiviren-Scans umgehen und ohne Wissen des Benutzers in das System eindringen. Dieses Programm ist in der Lage, eine Hintertür zu installieren, über die Remote-Benutzer die Kontrolle über eine infizierte Website übernehmen können. Mit diesem Programm kann ein Angreifer einen Benutzer ausspionieren, Dateien verwalten, zusätzliche Software installieren und das gesamte System kontrollieren.
• „JS/TrojanDownloader.FakejQuery. A" - ein Trojaner, dessen Hauptziel Websites sind, die mit den CMS „WordPress“ und „Joomla“ entwickelt wurden. Wenn ein Angreifer eine Website hackt, führt er ein Skript aus, das die Installation von WordPress- oder Joomla-Plugins simuliert und dann schädlichen JavaScript-Code in die Datei header.php einfügt.
• „PHP/small.NBK“ - ist eine bösartige Anwendung, die Hackern den Zugriff ermöglicht Fernzugriff in ein Computersystem einzudringen und so Dateien zu ändern, persönliche Daten zu stehlen und weitere Schadsoftware zu installieren. Diese Arten von Bedrohungen werden aufgerufen Trojanisches Pferd, werden normalerweise von einem Angreifer oder von einem anderen Programm heruntergeladen. Sie können auch bei der Installation infizierter Anwendungen oder Online-Spiele sowie beim Besuch infizierter Websites auftreten.

Leider werden Hacker-Skripte weder durch äußere Zeichen noch durch externe Scanner erkannt. Daher melden weder Suchmaschinen-Antivirenprogramme noch Antivirensoftware, die auf dem Computer des Webmasters installiert sind, Sicherheitsprobleme auf der Website. Wenn sich Skripte irgendwo in den Systemverzeichnissen der Site befinden (nicht im Stammverzeichnis oder in Bildern) oder in vorhandene Skripte eingefügt werden, werden sie auch nicht versehentlich bemerkt.

Abbildung 1. Beispiel eines Scanberichts einer Antivirensoftware

Daher können die folgenden Empfehlungen notwendige Maßnahmen zum Schutz von Webressourcen sein:

1. Regulär Sicherung den gesamten Inhalt des Dateisystems, der Datenbanken und der Ereignisprotokolle (Logdateien).
2. Regelmäßige Aktualisierung des Content-Management-Systems auf die neueste stabile Version des CMS (Content-Management-System).
3. Verwendung komplexer Passwörter. Passwortanforderungen: Das Passwort muss mindestens acht Zeichen enthalten, bei der Passworterstellung müssen Groß- und Kleinschreibung sowie Sonderzeichen verwendet werden.
4. Es ist zwingend erforderlich, Sicherheits-Add-Ons oder Plugins zu verwenden, um Angriffe wie XSS-Angriffe oder SQL-Injection zu verhindern.
5. Die Verwendung und Installation von Add-ons (Plugins, Vorlagen oder Erweiterungen) sollte nur von vertrauenswürdigen Quellen oder offiziellen Entwickler-Websites erfolgen.
6. Scannen Sie das Dateisystem mindestens einmal pro Woche mit Antivirenprogrammen und verwenden Sie aktuelle Datenbanksignaturen.
7. Sorgen Sie für die Verwendung des „CAPTCHA“-Mechanismus, um die Website vor Hackerangriffen durch Brute-Force-Passwörter bei der Autorisierung und der Eingabe von Daten in jedes Anfrageformular (Feedback-Formular, Suche usw.) zu schützen.
8. Beschränken Sie die Möglichkeit, sich nach einer bestimmten Anzahl erfolgloser Versuche beim administrativen Kontrollfeld der Website anzumelden.
9. Konfigurieren Sie die Website-Sicherheitsrichtlinie mithilfe der Webserver-Konfigurationsdatei korrekt und berücksichtigen Sie dabei Parameter wie:

• Begrenzen Sie die Anzahl der IP-Adressen, die der Administrator für den Zugriff auf das Verwaltungskontrollfeld der Website verwendet, um den Zugriff darauf durch nicht autorisierte IP-Adressen zu verhindern;
• Verhindern Sie, dass Tags auf andere Weise als durch Textformatierung (z. B. p b i u) übertragen werden, um XSS-Angriffe zu verhindern.

1. Verschieben Sie Dateien mit Informationen zum Datenbankzugriff, FTP-Zugriff usw. aus Standardverzeichnissen in andere und benennen Sie diese Dateien anschließend um.

Selbst für einen weniger erfahrenen Hacker ist es ziemlich einfach, eine Joomla-Website zu hacken, wenn Sie keinen Schutz bieten. Doch leider schieben Webmaster den Schutz ihrer Website vor Hackerangriffen oft auf einen späteren Zeitpunkt auf, da sie dies für eine unwesentliche Angelegenheit halten. Die Wiederherstellung des Zugriffs auf Ihre Website wird viel mehr Zeit und Mühe kosten, als Maßnahmen zu ihrem Schutz zu ergreifen. Die Sicherheit einer Webressource ist nicht nur die Aufgabe des Entwicklers und Hosters, der für maximale Sicherheit der Server sorgen muss, sondern auch die Aufgabe des Site-Administrators.

Es gibt sehr viele Möglichkeiten für Angriffe auf eine Webressource und auch die Folgen dieser Angriffe. Und wie immer gibt es nur zwei Ziele – Ruhm mit der banalen Freude, die eigenen Fähigkeiten zu zeigen, und den allgegenwärtigen Nutzen, der sich in Form von direktem oder indirektem materiellem Gewinn, also Geld, manifestiert. Was steht also auf dem Spiel? Hier ein Beispiel für die häufigsten Angriffe auf Websites:

• Das Ersetzen der Homepage einer Website ist eine der häufigsten Formen von Hacking. Anstelle der üblichen Inhalte wird auf dem Cover der Website alles angezeigt – vom Namen eines böswilligen Hackers bis hin zu banalen Beleidigungen.
• Beim Löschen eines Dateisystems verschwinden einfach alle Informationen, was zu einem Fehler führt, wenn keine gespeicherte Kopie der Ressource vorhanden ist. Es ist zu beachten, dass auch die Datenbank mit Kundenpasswörtern sowie andere wichtige Daten verloren gehen können.
• Informationsfälschung – Angreifer können eine Telefonnummer oder andere Unternehmensdaten fälschen. In diesem Fall werden Ihre Clients automatisch zu Clients von Angreifern.
• Trojaner-Programme platzieren – in diesem Fall werden Sie den Besuch des Hackers höchstwahrscheinlich nicht bemerken, zumindest wird alles darauf ausgerichtet sein. Schädliche Programme können eine Vielzahl von Funktionen ausführen: Sie leiten auf die Website eines Angreifers weiter, stehlen persönliche Daten von Kunden, infizieren Besucher mit Viren und so weiter.
• Versenden von Spam – Ihre Website kann zum Versenden von Spam verwendet werden. In diesem Fall erreicht Ihre „echte“ Korrespondenz den Adressaten nicht, da die Domain Ihrer Organisation fast sofort in die zentrale Datenbank der Spammer eingetragen wird.
• Erzeugen einer hohen Last – das Senden absichtlich falscher Anfragen an den Webserver oder andere externe Aktionen, die zu Schwierigkeiten beim Zugriff auf die Website oder zum Absturz des Server-Betriebssystems führen. Diese Art von Angriff ist im Internet sehr verbreitet.

Die Folge all dieser Arten von Angriffen ist nicht nur ein vorübergehender Ausfall der Funktionalität der Ressource, sondern auch ein Vertrauensverlust in die Website in den Augen der Kunden. Ein Benutzer, der mit bösartigem Code auf Ihrer Ressource infiziert ist oder von Ihrer Website auf eine Website mit zweifelhaftem Inhalt weitergeleitet wird, wird es wahrscheinlich nie wieder wagen, Ihre Adresse in den Browser einzugeben.

Was zu tun ist?

Die Frage der Website-Sicherheit kann bereits in der Entwicklungsphase gestellt werden. Da sind viele CMS-Systeme(Content Management System – Content-Management-System), eine Art Vorlage, die die Verwaltung und Entwicklung der Website vereinfacht. Die gesamte Palette der CSM-Systeme lässt sich in offene (kostenlose) und proprietäre Systeme unterteilen. Unter den offenen können wir Drupal, Mambo, Joomla und Typo3 hervorheben, unter den kostenpflichtigen - 1C-Bitrix, NetCat, Amiro.CMS. Sie alle sind bis zu einem gewissen Grad sicher und haben eine Reihe von Vor- und Nachteilen. Welches CMS sollten Sie also wählen? Natürlich wird dieses Thema im Einzelfall weiterhin berücksichtigt, aber Statistiken zeigen, dass in Russland die überwiegende Mehrheit der Webstudios, die Drittentwicklungen zur Erstellung von Websites verwenden, das Produkt 1C-Bitrix verwenden. Dafür sprechen mehrere Faktoren:

• Durch die Fusion mit dem Unternehmen 1C hat sich Bitrix still und leise zum nationalen Standard für CMS-basierte Webentwicklung entwickelt.
• 1C-Bitrix verfügt über ein Sicherheitszertifikat von Positive Technologies (auf das weiter unten eingegangen wird), das bestätigt, dass das System für alle Arten bekannter Angriffe auf Webanwendungen unverwundbar ist.
• 1C-Bitrix ist derzeit das vielversprechendste Russischer Markt CMS-System mit der besten Wachstumsrate.
• Die Funktionalität des Produkts reicht völlig aus, um komplexe Unternehmenswebsites, Informations- und Referenzportale, Online-Shops, Medienseiten sowie fast jede andere Art von Webressource zu erstellen.

Die Erstellung von Websites auf Basis von 1C-Bitrix sowie die Übertragung vorhandener Ressourcen auf die Produkt-Engine ist eine der Möglichkeiten zur Lösung einer Reihe von Sicherheitsproblemen, vor allem Schwachstellenproblemen, auf die weiter eingegangen wird.

Die Site wurde bereits erstellt – ist sie anfällig?

Die Überprüfung einer vorhandenen Webressource auf Schwachstellen ist eine sehr arbeitsintensive Aufgabe. Der Prozess beschränkt sich nicht nur auf das direkte Scannen – die Website muss noch überarbeitet, Lücken geschlossen und eine Reihe von Problemen müssen auf Seiten des Anbieters gelöst werden. Also Schwachstellenscanner.

Schwachstellenscanner– Hierbei handelt es sich um spezielle Programme zur Analyse der Netzwerksicherheit, indem sie Netzwerkressourcen scannen, untersuchen und deren Schwachstellen identifizieren. Einfach ausgedrückt sucht der Scanner nach häufigen Lücken und Sicherheitslücken und erleichtert so nicht nur Website-Besitzern, sondern auch Hackern das Leben. Alle Schwachstellenscanner können je nach ihrer Arbeitsweise in drei Gruppen eingeteilt werden:

• Lokal – direkt auf dem zu testenden Knoten installiert und bietet hohe Zuverlässigkeit. Arbeiten Sie im Auftrag von Konto mit maximalen Privilegien und verwenden Sie nur eine Methode zur Suche nach Schwachstellen – den Vergleich von Dateiattributen.
• Passiv – sie nutzen den Netzwerkverkehr als Datenquelle, ermöglichen jedoch im Gegensatz zum Netzwerkverkehr, die Auswirkungen des Scanners auf Schwachstellen zu minimieren. Derzeit sind sie schlecht verbreitet, sehen aber sehr vielversprechend aus.
• Netzwerk-Geräte sind heute am beliebtesten. Führen Sie Prüfungen aus der Ferne durch und stellen Sie eine Verbindung über Netzwerkdienste her.

Es gibt viele Hersteller von Schwachstellenscannern und es gibt viele Rezensionen und Tests, die das Produkt eines bestimmten Unternehmens hervorheben. Lassen Sie uns einige der gängigsten Scanner auflisten: Nessus, XSpider, IBM Internet Scanner, Retina, Shadow Security Scanner, Acunetix, N-Stealth.

XSpider (ersetzt durch MaxPatrol) - Scanner von Russischer Hersteller Positive Technologien. Es verfügt über eine wirklich umfangreiche Liste von Funktionen – heuristische Analyse und Bestimmung von Servertypen, vollständiges Port-Scannen und Anzeigen von Diensten, Überprüfung auf Standardkennwörter, Analyse auf SQL-Injections, XSS-Angriffe und fast tägliche Aktualisierung von Schwachstellen. Im Vergleich zu seinen Mitbewerbern weist der Scanner eine bessere Identifizierung von Diensten und Anwendungen auf, was zu einer besseren und genaueren Identifizierung von Schwachstellen mit einem minimalen Prozentsatz an Fehlalarmen führt. Das Produkt ist eines davon beste Lösungen nicht nur auf der russischen, sondern auch auf der Weltbühne, deshalb haben wir beschlossen, ihn hervorzuheben.

Was muss geändert werden?

Die Gewährleistung der Sicherheit einer Webressource ist ein Prozess, der eine Reihe bestimmter Aktionen kombiniert. Zunächst wird die bestehende Anlage auf ihre Sicherheit hin untersucht und anschließend eine Reihe von Maßnahmen und Arbeiten zur Erreichung dieser Sicherheit festgelegt. Dies können die Dienste von Programmierern sein, die die Website entwickeln oder optimieren, und die Dienste von Ingenieuren, die technische Probleme lösen, und natürlich ein bestimmtes Set organisatorische Maßnahmen. Alles hängt nur von den Wünschen und Fähigkeiten des Kunden ab.

1. Ziel und Ziele

Ziel der Arbeit ist die Entwicklung von Algorithmen zur Erhöhung der Sicherheit des Zugriffs auf externe Informationsressourcen aus betrieblichen Bildungsnetzwerken unter Berücksichtigung ihrer charakteristischen Sicherheitsbedrohungen sowie der Merkmale der Benutzerpopulation, Sicherheitsrichtlinien, Architekturlösungen und Ressourcen Bestimmung.

Ausgehend vom Ziel werden in der Arbeit folgende Aufgaben gelöst:

1. Führen Sie eine Analyse der wichtigsten Bedrohungen für die Informationssicherheit in Bildungsnetzwerken durch.

2. Entwickeln Sie eine Methode zur Einschränkung des Zugriffs auf unerwünschte Informationsressourcen in Bildungsnetzwerken.

3. Entwickeln Sie Algorithmen, die das Scannen von Webseiten, die Suche nach direkten Verbindungen und das Herunterladen von Dateien zur weiteren Analyse potenziell schädlichen Codes auf Websites ermöglichen.

4. Entwickeln Sie einen Algorithmus zur Identifizierung unerwünschter Informationsressourcen auf Websites.

2. Relevanz des Themas

Moderne intelligente Lernsysteme sind webbasiert und bieten ihren Benutzern die Möglichkeit, mit verschiedenen Arten lokaler und entfernter Bildungsressourcen zu arbeiten. Problem sichere Verwendung Im Internet veröffentlichte Informationsressourcen (IR) werden immer relevanter. Eine der Methoden zur Lösung dieses Problems besteht darin, den Zugriff auf unerwünschte Informationsressourcen einzuschränken.

Betreiber, die Bildungseinrichtungen einen Internetzugang bereitstellen, müssen sicherstellen, dass der Zugriff auf unerwünschte Informationen begrenzt wird. Die Einschränkung erfolgt durch Filterung nach Betreibern anhand von Listen, die regelmäßig nach dem festgelegten Verfahren aktualisiert werden. Angesichts des Zwecks und der Benutzergruppe von Bildungsnetzwerken ist es jedoch ratsam, ein flexibleres, selbstlernendes System zu verwenden, das unerwünschte Ressourcen dynamisch erkennt und Benutzer vor ihnen schützt.

Im Allgemeinen birgt der Zugriff auf unerwünschte Ressourcen die folgenden Bedrohungen: Propaganda illegaler und asozialer Handlungen, wie zum Beispiel: politischer Extremismus, Terrorismus, Drogenabhängigkeit, Verbreitung von Pornografie und anderen Materialien; Ablenkung von Schülern von der Nutzung von Computernetzwerken für Bildungszwecke; Schwierigkeiten beim Zugriff auf das Internet aufgrund der Überlastung externer Kanäle mit begrenzter Bandbreite. Die oben aufgeführten Ressourcen werden häufig zum Einschleusen von Malware und den damit verbundenen Bedrohungen verwendet.

Bestehende Systeme zur Beschränkung des Zugriffs auf Netzwerkressourcen verfügen über die Möglichkeit, nicht nur einzelne Pakete auf Einhaltung festgelegter Einschränkungen zu überprüfen, sondern auch deren Inhalt – Inhalte, die über das Netzwerk übertragen werden. Derzeit verwenden Inhaltsfiltersysteme die folgenden Methoden zum Filtern von Webinhalten: nach DNS-Namen oder spezifischer IP-Adresse, nach Schlüsselwörtern innerhalb von Webinhalten und nach Dateityp. Um den Zugriff auf eine bestimmte Website oder Gruppe von Websites zu blockieren, müssen Sie mehrere URLs angeben, die unangemessene Inhalte enthalten. Die URL-Filterung bietet eine umfassende Kontrolle über die Netzwerksicherheit. Es ist jedoch unmöglich, alle möglichen unangemessenen URLs im Voraus vorherzusagen. Zudem arbeiten einige Websites mit fragwürdigen Inhalten nicht mit URLs, sondern ausschließlich mit IP-Adressen.

Eine Möglichkeit, das Problem zu lösen, besteht darin, über das HTTP-Protokoll empfangene Inhalte zu filtern. Der Nachteil bestehender Content-Filtersysteme ist die Verwendung statisch generierter Zugriffskontrolllisten. Um sie zu füllen, stellen Entwickler kommerzieller Inhaltsfiltersysteme Mitarbeiter ein, die Inhalte in Kategorien einteilen und Datensätze in der Datenbank einordnen.

Um die Mängel bestehender Inhaltsfiltersysteme für Bildungsnetzwerke zu beseitigen, ist es relevant, Web-Traffic-Filtersysteme mit dynamischer Bestimmung der Kategorie einer Webressource basierend auf dem Inhalt ihrer Seiten zu entwickeln.

3. Wahrgenommene wissenschaftliche Neuheit

Ein Algorithmus zur Beschränkung des Zugriffs von Benutzern intelligenter Lernsysteme auf unerwünschte Ressourcen auf Internetseiten, basierend auf der dynamischen Bildung von Zugriffslisten auf Informationsressourcen durch deren verzögerte Klassifizierung.

4. Geplante praktische Ergebnisse

Die entwickelten Algorithmen können in Systemen zur Beschränkung des Zugriffs auf unerwünschte Ressourcen in intelligenten Computer-Lernsystemen eingesetzt werden.

5. Überprüfung von Forschung und Entwicklung

5.1 Überblick über Forschung und Entwicklung zum Thema auf globaler Ebene

Die Arbeit so berühmter Wissenschaftler wie: H.H. widmet sich den Problemen der Gewährleistung der Informationssicherheit. Bezrukov, P.D. Zegzda, A.M. Ivashko, A.I. Kostogryzov, V.I. Kurbatov K. Lendver, D. McLean, A.A. Moldovyan, H.A. Moldovyan, A.A. Malyuk, E.A. Derbin, R. Sandhu, J.M. Carroll und andere. Gleichzeitig trotz der überwältigenden Menge an Textquellen in Unternehmens- und offene Netzwerke Im Bereich der Entwicklung von Methoden und Systemen für die Informationssicherheit ist die Forschung zur Analyse von Sicherheitsbedrohungen und zur Untersuchung der Einschränkung des Zugriffs auf unerwünschte Ressourcen beim computergestützten Lernen mit Webzugriffsfunktionen derzeit unterrepräsentiert.

In der Ukraine ist V. V. Domarev der führende Forscher auf diesem Gebiet. . Seine Dissertationsforschung widmet sich den Problemen bei der Erstellung komplexer Informationssicherheitssysteme. Autor der Bücher: „Sicherheit Informationstechnologien. Methodik zur Schaffung von Schutzsystemen“, „Sicherheit von Informationstechnologien. „Systematischer Ansatz“ usw., Autor von mehr als 40 wissenschaftlichen Artikeln und Publikationen.

5.2 Überprüfung der Forschung und Entwicklung zum Thema auf nationaler Ebene

An der Nationalen Technischen Universität Donezk Entwicklung von Modellen und Methoden zur Erstellung eines Informationssicherheitssystems Firmennetzwerk Khimka S.S. war unter Berücksichtigung verschiedener Kriterien an dem Unternehmen beteiligt. . Der Schutz von Informationen in Bildungssystemen wurde von Yu.S. .

6. Probleme der Einschränkung des Zugriffs auf Webressourcen in Bildungssystemen

Die Entwicklung der Informationstechnologie ermöglicht es uns derzeit, über zwei Aspekte der Beschreibung von Ressourcen zu sprechen: Internetinhalte und Zugangsinfrastruktur. Unter Zugangsinfrastruktur versteht man in der Regel eine Reihe von Hardware und Software, die die Datenübertragung im IP-Paketformat gewährleistet, und Inhalt wird als Kombination aus Darstellungsform (z. B. als Folge von Zeichen in einer bestimmten Kodierung) und Inhalt (Semantik) definiert. von Informationen. Unter den charakteristischen Eigenschaften einer solchen Beschreibung sind folgende hervorzuheben:

1. Unabhängigkeit der Inhalte von der Zugangsinfrastruktur;

2. kontinuierliche qualitative und quantitative inhaltliche Veränderungen;

3. die Entstehung neuer interaktiver Informationsressourcen („Live-Journale“, soziale Netzwerke, freie Enzyklopädien usw.), bei denen Benutzer direkt an der Erstellung von Netzwerkinhalten beteiligt sind.

Bei der Lösung von Problemen der Zugriffskontrolle auf Informationsressourcen sind die Fragen der Entwicklung von Sicherheitsrichtlinien, die in Bezug auf die Eigenschaften der Infrastruktur und des Netzwerkinhalts gelöst werden, von großer Bedeutung. Je höher die Beschreibungsebene des Informationssicherheitsmodells ist, desto stärker konzentriert sich die Zugriffskontrolle auf die Semantik von Netzwerkressourcen. Offensichtlich können MAC- und IP-Adressen (Verbindungs- und Netzwerkkommunikationsschicht) von Netzwerkgeräteschnittstellen keiner Datenkategorie zugeordnet werden, da dieselbe Adresse unterschiedliche Dienste darstellen kann. Portnummern (Transportschicht) geben in der Regel einen Eindruck von der Art des Dienstes, charakterisieren jedoch nicht qualitativ die von diesem Dienst bereitgestellten Informationen. Beispielsweise ist es nicht möglich, eine bestimmte Website allein auf der Grundlage der Transportschichtinformationen in eine der semantischen Kategorien (Medien, Wirtschaft, Unterhaltung usw.) einzuordnen. Sicherheit Informationssicherheit Auf Anwendungsebene kommt es dem Konzept der Inhaltsfilterung nahe, d. h. Zugriffskontrolle unter Berücksichtigung der Semantik von Netzwerkressourcen. Je inhaltsorientierter also das Zutrittskontrollsystem ist, desto differenzierter kann mit seiner Hilfe der Ansatz in Bezug auf unterschiedliche Nutzerkategorien und Informationsressourcen umgesetzt werden. Insbesondere kann ein semantisch orientiertes Kontrollsystem den Zugriff von Studierenden in Bildungseinrichtungen auf Ressourcen, die mit dem Lernprozess inkompatibel sind, wirksam einschränken.

Mögliche Optionen für den Prozess der Beschaffung einer Webressource sind in Abb. 1 dargestellt

Abbildung 1 – Der Prozess des Abrufens einer Webressource über das HTTP-Protokoll

Um eine flexible Kontrolle über die Nutzung von Internetressourcen zu gewährleisten, ist es notwendig, eine entsprechende Richtlinie für die Nutzung von Ressourcen durch eine Bildungseinrichtung im Betreiberunternehmen einzuführen. Diese Richtlinie kann entweder manuell oder automatisch implementiert werden. „Manuelle“ Implementierung bedeutet, dass das Unternehmen über einen speziellen Mitarbeiterstab verfügt, der die Benutzeraktivität in Echtzeit oder mithilfe von Protokollen von Routern, Proxyservern oder Firewalls überwacht Bildungseinrichtung. Eine solche Überwachung ist problematisch, da sie einen hohen Arbeitsaufwand erfordert. Um eine flexible Kontrolle über die Nutzung von Internetressourcen zu ermöglichen, muss das Unternehmen dem Administrator ein Tool zur Umsetzung der Ressourcennutzungsrichtlinie der Organisation zur Verfügung stellen. Diesem Zweck dient die Inhaltsfilterung. Sein Wesen liegt in der Zerlegung von Objekten Informationsaustausch auf Komponenten, Analyse der Inhalte dieser Komponenten, Bestimmung der Übereinstimmung ihrer Parameter mit der akzeptierten Richtlinie für die Nutzung von Internetressourcen und Ergreifen bestimmter Maßnahmen auf der Grundlage der Ergebnisse einer solchen Analyse. Bei der Filterung des Webverkehrs werden als Objekte des Informationsaustauschs Webanfragen, Inhalte von Webseiten und auf Benutzeranfrage übertragene Dateien verstanden.

Benutzer der Bildungseinrichtung erhalten ausschließlich über einen Proxyserver Zugang zum Internet. Jedes Mal, wenn Sie versuchen, auf eine bestimmte Ressource zuzugreifen, prüft der Proxyserver, ob die Ressource in einer speziellen Datenbank enthalten ist. Wird eine solche Ressource in die Datenbank der verbotenen Ressourcen aufgenommen, wird der Zugriff darauf gesperrt und der Benutzer erhält eine entsprechende Meldung auf dem Bildschirm.

Befindet sich die angeforderte Ressource nicht in der Datenbank der verbotenen Ressourcen, wird der Zugriff darauf gewährt, der Besuch dieser Ressource wird jedoch in einem speziellen Dienstprotokoll aufgezeichnet. Einmal am Tag (oder in anderen Abständen) erstellt der Proxyserver eine Liste der am häufigsten besuchten Ressourcen (in Form einer URL-Liste) und sendet sie an Experten. Experten (Systemadministratoren) prüfen mit der entsprechenden Methodik die resultierende Liste der Ressourcen und bestimmen deren Art. Wenn es sich bei der Ressource nicht um eine Zielressource handelt, klassifiziert der Experte sie (Porno-Ressource, Gaming-Ressource) und nimmt eine Änderung an der Datenbank vor. Nachdem alle erforderlichen Änderungen vorgenommen wurden, wird die aktualisierte Version der Datenbank automatisch an alle mit dem System verbundenen Proxyserver gesendet. Das Filterschema für Nicht-Zielressourcen auf Proxyservern ist in Abb. dargestellt. 2.

Abbildung 2 – Grundprinzipien der Filterung von Nicht-Zielressourcen auf Proxyservern

Die Probleme beim Filtern von Nicht-Zielressourcen auf Proxyservern sind wie folgt. Bei zentraler Filterung ist eine Hochleistungsausrüstung des Zentralknotens erforderlich, ein hoher Durchsatz der Kommunikationskanäle am Zentralknoten; ein Ausfall des Zentralknotens führt zum vollständigen Ausfall des gesamten Filtersystems.

Bei dezentraler Filterung „vor Ort“ direkt auf den Workstations oder Servern des Unternehmens sind die Kosten für Bereitstellung und Support hoch.

Bei der Filterung nach Adresse beim Absenden einer Anfrage gibt es keine vorbeugende Reaktion auf das Vorhandensein unerwünschter Inhalte und Schwierigkeiten beim Filtern „maskierter“ Websites.

Beim Filtern nach Inhalt ist es erforderlich, beim Empfang jeder Ressource große Informationsmengen zu verarbeiten, und die Komplexität der Verarbeitung von Ressourcen ist mit Tools wie Java und Flash vorbereitet.

7. Informationssicherheit von Webressourcen für Benutzer intelligenter Trainingssysteme

Betrachten wir die Möglichkeit, den Zugriff auf Informationsressourcen mithilfe einer gemeinsamen Lösung zu kontrollieren, die auf dem hierarchischen Prinzip der Integration von Zugriffskontrolltools in Internetressourcen basiert (Abb. 3). Die Beschränkung des Zugriffs auf unerwünschte IR von IOS kann durch eine Kombination von Technologien wie Firewalling, Verwendung von Proxyservern, Analyse anomaler Aktivitäten zur Erkennung von Eindringlingen, Bandbreitenbegrenzung, Filterung auf Basis von Inhaltsanalysen und Filterung auf Basis von Zugriffslisten erreicht werden. Eine der zentralen Aufgaben ist dabei die Erstellung und Nutzung aktueller Zugriffsbeschränkungslisten.

Die Filterung unerwünschter Ressourcen erfolgt gemäß den aktuellen Regulierungsdokumenten auf der Grundlage von Listen, die in der vorgeschriebenen Weise veröffentlicht werden. Die Beschränkung des Zugangs zu anderen Informationsressourcen erfolgt auf der Grundlage spezieller Kriterien, die vom Betreiber des Bildungsnetzwerks entwickelt wurden.

Benutzerzugriff unterhalb der angegebenen Häufigkeit, auch auf eine potenziell unerwünschte Ressource, ist akzeptabel. Es werden nur nachgefragte Ressourcen analysiert und klassifiziert, also solche, bei denen die Anzahl der Benutzeranfragen einen bestimmten Schwellenwert überschritten hat. Das Scannen und Analysieren erfolgt einige Zeit, nachdem die Anzahl der Anfragen den Schwellenwert überschreitet (während der Zeit minimaler Belastung externer Kanäle).

Es werden nicht nur einzelne Webseiten gescannt, sondern alle damit verbundenen Ressourcen (durch Analyse der Links auf der Seite). Dadurch können Sie mit diesem Ansatz beim Ressourcen-Scan das Vorhandensein von Links zu Malware feststellen.

Abbildung 3 – Hierarchie der Zugriffskontrolltools auf Internetressourcen

(Animation, 24 Frames, 25 KB)

Die automatisierte Klassifizierung der Ressourcen erfolgt auf dem Unternehmensserver des Kunden – dem Eigentümer des Systems. Die Klassifizierungszeit wird durch die verwendete Methode bestimmt, die auf dem Konzept der verzögerten Ressourcenklassifizierung basiert. Dabei wird davon ausgegangen, dass der Benutzerzugriff unterhalb einer bestimmten Häufigkeit, selbst auf eine potenziell unerwünschte Ressource, akzeptabel ist. Dadurch wird eine kostspielige On-the-fly-Klassifizierung vermieden. Nur nachgefragte Ressourcen unterliegen der Analyse und automatisierten Klassifizierung, d. h. Ressourcen, bei denen die Häufigkeit von Benutzeranfragen einen bestimmten Schwellenwert überschritten hat. Das Scannen und Analysieren erfolgt einige Zeit, nachdem die Anzahl der Anfragen den Schwellenwert überschreitet (während der Zeit minimaler Belastung externer Kanäle). Die Methode implementiert ein Schema zur dynamischen Erstellung von drei Listen: „Schwarz“ (ChSP), „Weiß“ (BSP) und „Grau“ (GSP). Der Zugriff auf Ressourcen auf der schwarzen Liste ist verboten. Die weiße Liste enthält verifizierte zulässige Ressourcen. Die „graue“ Liste enthält Ressourcen, die mindestens einmal von Benutzern nachgefragt wurden, aber nicht klassifiziert wurden. Die Erstbildung und weitere „manuelle“ Anpassung der „schwarzen“ Liste erfolgt auf der Grundlage offizieller Informationen über die Adressen verbotener Ressourcen, die von der autorisierten Regierungsstelle bereitgestellt werden. Der anfängliche Inhalt der „weißen“ Liste besteht aus zur Verwendung empfohlenen Ressourcen. Jeder Anfrage nach einer Ressource, die nicht auf der schwarzen Liste steht, wird stattgegeben. Steht diese Ressource nicht auf der „weißen“ Liste, wird sie auf die „graue“ Liste gesetzt, wo die Anzahl der Anfragen an diese Ressource erfasst wird. Überschreitet die Häufigkeit der Anfragen einen bestimmten Schwellenwert, wird eine automatisierte Klassifizierung der Ressource durchgeführt und auf dieser Grundlage wird sie in die „schwarze“ oder „weiße“ Liste aufgenommen.

8. Algorithmen zur Bestimmung der Informationssicherheit von Webressourcen für Benutzer intelligenter Trainingssysteme

Zugriffsbeschränkungsalgorithmus. Beschränkungen des Zugriffs auf unerwünschte Ressourcen auf Internetseiten basieren auf der folgenden Definition des Konzepts des Risikos des Zugriffs auf unerwünschte IR in iOS. Das Risiko des Zugriffs auf unerwünschte i-te IR, klassifiziert als k-te IR-Klasse, ist ein Wert, der proportional zur Expertenbewertung des Schadens ist, der durch unerwünschte IR eines bestimmten IOS-Typs oder der Identität des Benutzers verursacht wird Anzahl der Zugriffe auf diese Ressource für einen bestimmten Zeitraum:

In Analogie zur klassischen Risikodefinition als Produkt aus der Eintrittswahrscheinlichkeit einer Bedrohung und den Kosten des verursachten Schadens interpretiert diese Definition Risiko als die mathematische Erwartung der Höhe eines möglichen Schadens durch den Zugriff auf eine unerwünschte IR. In diesem Fall wird die Höhe des erwarteten Schadens durch den Grad der Auswirkungen der IR auf die Persönlichkeit der Benutzer bestimmt, der wiederum direkt proportional zur Anzahl der Benutzer ist, die diese Auswirkungen erlebt haben.

Bei der Analyse einer Webressource müssen im Hinblick auf die Erwünschtheit oder Unerwünschtheit des Zugriffs darauf die folgenden Hauptkomponenten jeder ihrer Seiten berücksichtigt werden: Inhalt, d. h. Text und andere (Grafik, (Foto, Video) Informationen, die auf dieser Seite veröffentlicht werden; Inhalte, die auf anderen Seiten derselben Website veröffentlicht werden (Sie können mithilfe regulärer Ausdrücke interne Links aus dem Inhalt geladener Seiten abrufen); Verbindungen zu anderen Websites (sowohl im Hinblick auf das mögliche Herunterladen von Viren und Trojanischen Pferden) als auch im Hinblick auf das Vorhandensein unerwünschter Inhalte. Ein Algorithmus zur Einschränkung des Zugriffs auf unerwünschte Ressourcen mithilfe von Listen ist in Abb. dargestellt. 4.

Abbildung 4 – Algorithmus zur Einschränkung des Zugriffs auf unerwünschte Ressourcen

Algorithmus zur Identifizierung unerwünschter Webseiten. Um Inhalte – Webseitentexte – zu klassifizieren, müssen folgende Probleme gelöst werden: Festlegung von Klassifizierungskategorien; Extrahieren von Informationen aus Quelltexten, die automatisch analysiert werden können; Erstellung von Sammlungen klassifizierter Texte; Aufbau und Training eines Klassifikators, der mit den gewonnenen Datensätzen arbeitet.

Der Trainingssatz klassifizierter Texte wird analysiert und dabei Begriffe identifiziert – die am häufigsten verwendeten Wortformen im Allgemeinen und für jede Klassifizierungskategorie separat. Jeder Quelltext wird als Vektor dargestellt, dessen Komponenten die Merkmale des Vorkommens eines bestimmten Begriffs im Text sind. Um Vektorsparsität zu vermeiden und ihre Dimension zu reduzieren, empfiehlt es sich, Wortformen mithilfe morphologischer Analysemethoden auf ihre Ausgangsform zu reduzieren. Danach sollte der Vektor normalisiert werden, wodurch wir ein korrekteres Klassifizierungsergebnis erzielen können. Für eine Webseite können zwei Vektoren generiert werden: für die dem Benutzer angezeigten Informationen und für den Text, der Suchmaschinen bereitgestellt wird.

Es gibt verschiedene Ansätze zum Erstellen von Webseitenklassifikatoren. Die am häufigsten verwendeten sind: Bayesianischer Klassifikator; Neuronale Netze; lineare Klassifikatoren; Support-Vektor-Maschine (SVM). Alle oben genannten Methoden erfordern ein Training in einer Trainingssammlung und Tests in einer Testsammlung. Für die binäre Klassifizierung können Sie eine naive Bayes-Lösung wählen, die davon ausgeht, dass die Merkmale im Vektorraum unabhängig voneinander sind. Wir gehen davon aus, dass alle Ressourcen in wünschenswert und unerwünscht klassifiziert werden müssen. Dann wird die gesamte Sammlung von Webseitentextproben in zwei Klassen unterteilt: C=(C1, C2) und die A-priori-Wahrscheinlichkeit jeder Klasse ist P(Ci), i=1,2. Bei einer ausreichend großen Stichprobensammlung können wir davon ausgehen, dass P(Ci) gleich dem Verhältnis der Anzahl der Stichproben der Klasse Ci zur Gesamtzahl der Stichproben ist. Für eine zu klassifizierende Stichprobe D kann aus der bedingten Wahrscheinlichkeit P(D/Ci) gemäß dem Satz von Bayes der Wert P(Ci/D) ermittelt werden:

unter Berücksichtigung der Konstanz von P(D) erhalten wir:

Unter der Annahme, dass Terme im Vektorraum unabhängig voneinander sind, können wir die folgende Beziehung erhalten:

Um Texte mit ähnlichen Merkmalen genauer zu klassifizieren (z. B. um zwischen Pornografie und Belletristik zu unterscheiden, die erotische Szenen beschreiben), sollten Gewichtungskoeffizienten eingeführt werden:

Wenn kn=k; wenn kn kleiner als k ist, gilt kn.=1/|k|. Dabei ist M die Häufigkeit aller Begriffe in der Probendatenbank, L die Anzahl aller Proben.

9. Hinweise zur Verbesserung von Algorithmen

Zukünftig ist geplant, einen Algorithmus zur Analyse von Links zu entwickeln, um das Einschleusen von Schadcode in den Code einer Webseite zu erkennen und den Bayes'schen Klassifikator mit der Support-Vektor-Maschine zu vergleichen.

10. Schlussfolgerungen

Es wurde eine Analyse des Problems der Einschränkung des Zugriffs auf Webressourcen in Bildungssystemen durchgeführt. Die Grundprinzipien der Filterung von Nicht-Zielressourcen auf Proxyservern wurden basierend auf der Bildung und Verwendung aktueller Zugriffsbeschränkungslisten ausgewählt. Es wurde ein Algorithmus zur Beschränkung des Zugriffs auf unerwünschte Ressourcen mithilfe von Listen entwickelt, der es ermöglicht, Zugriffslisten für IR basierend auf einer Analyse ihres Inhalts unter Berücksichtigung der Besuchshäufigkeit und der Benutzerpopulation dynamisch zu erstellen und zu aktualisieren. Um unerwünschte Inhalte zu identifizieren, wurde ein Algorithmus entwickelt, der auf einem naiven Bayes-Klassifikator basiert.

Quellenverzeichnis

1. Zima V. M. Sicherheit globaler Netzwerktechnologien / V. Zima, A. Moldovyan, N. Moldovyan. - 2. Aufl. - St. Petersburg: BHV-Petersburg, 2003. - 362 S.
2. Vorotnitsky Yu. I. Schutz vor dem Zugriff auf unerwünschte externe Informationsressourcen in wissenschaftlichen und pädagogischen Computernetzwerken / Yu. I. Vorotnitsky, Xie Jinbao // Mat. XIV Int. conf. „Umfassender Informationsschutz.“ - Mogilev, 2009. - S. 70-71.