Сеть Интернет в Киеве в последнее время демонстрирует небывалые показатели роста, как по количеству пользователей, так и по числу веб-серверов. Одновременно с ростом использования Интернет в Украине в качестве бизнес-инструмента растет и ущерб, который наносит различным веб-сайтам и их владельцам несанкционированный доступ к находящейся там информации. Практика показывает, что эффективно защитить веб-сайт можно, лишь предусмотрев все опасности на стадии разработки.
В отраслевом отчете компании VeriSign по итогам 2-го квартала 2005 года фигурирует число в 82,9 млн доменов, из которых за отчетный период было зарегистрировано 8,1 млн доменных имен. Очевидно, что в связи с таким быстрым ростом количества используемых веб-приложений, именно они попали под пристальный взгляд как специалистов по сетевой безопасности, так и тех, кто, пользуясь различными уязвимостями веб-приложений, получают личную выгоду. Здесь специально не используется термин «хакеры», потому что «хакеры», обладая большим багажом знаний для поиска новых уязвимостей, далеко не всегда играют за «нападение»: все чаще и чаще высококлассные специалисты по сетевой безопасности играют в команде «защиты». В сети находится множество материалов по использованию известных уязвимостей веб-сайтов; для осуществления взлома достаточно знать лишь технические азы, а все остальное сделает специально написанная программа.
На самом деле, прежде чем говорить о проблемах безопасности веб-технологий, следует условно разделить веб-серверы на несколько групп: персональный сайт, информационный сайт (портал), корпоративный сайт и веб-сервер программных приложений.
Первую группу не так интересно рассматривать как с точки зрения взлома, так и с точки зрения защиты, так как взлом личного сайта вряд ли вызовет глобальные катаклизмы. Информационный портал уже более интересен для взломщика. Информация - это деньги, изменение информации на требуемую – тоже деньги. Взлом корпоративного сайта также является достаточно востребованным видом сетевой преступности: такие понятия, как промышленный шпионаж и информационная разведка, еще никто не отменял.
Но наиболее интересным представляется атака на веб-серверы приложений. Для начала давайте разберемся, что имеется в виду под веб-ориентированными приложениями. Такие понятия, как CRM, CMS, ERP, прочно вошли в бизнес-реалии современных компаний, а современные веб-технологии позволили перенести эти система (или их интерфейсы) на уровень веб-сервера. Согласитесь, гораздо удобнее получать доступ к последним отчетам о продажах компании из любой точки мира, имея на руках не громоздкое программное обеспечение, а всего лишь веб-браузер. Кроме удобства одним из ключевых преимуществ веб-ориентированных решений является кросс-платформенность. Разработаны веб-браузеры для любой операционной системы, и, соответственно, разработку приложения или интерфейса нужно вести всего лишь под одну платформу – веб. Логично, что подобная трансфигурация существенно сократила время и стоимость разработки и, как результат, цену продукта. Использование веб-ориентированных технологий стало тем самым ключом, открывающим двери к быстрой и эффективной разработке приложений. В результате множество компаний (как среди разработчиков программного обеспечения, так и среди его заказчиков) по всему миру приняли на вооружение подобный инструментарий.
Неавторизованный доступ к самому сердцу корпоративной информационной системы может нести огромные убытки для владельцев компании и баснословную выгоду для взломщика. Именно поэтому веб-ориентированные приложения должны быть качественно защищены, а возможность взлома должна быть если не исключена, то хотя бы минимизирована.
02.09.07 00:09 | Раздел: Интернет технологии
