Утечка информации
Утечка информации представляет собой одну из очевидных и опасных уязвимостей веб приложений. Но сколько бы она не была очевидной, подобные ошибки встречаются сплошь и рядом. Согласно статистике уязвимостей за прошлый год утечка информации стоит на втором месте по популярности, после межсайтового скриптинга. Утечка информации из приложений возникает в результате отказа или неправильной работы приложения, а также в случае нарушения его логики.
Самыми распространенными случаями утечки информации являются:
- ошибки приложений;
- комментарии в коде;
- недостаточная аутентификация и авторизация;
- уязвимости конфигурации сервера.
Рассмотрим все эти проблемы по порядку.
Ошибки приложений
Сообщения об ошибках помогают разработчикам приложений в процессе отладки, но в готовом проекте они являются отличным инструментом для злоумышленников. Они возникают в результате ошибочного результата приложения. Например, при вводе символа кавычки в запрос MySQL. Страницы ошибок позволяют злоумышленникам извлекать важную информацию о конфигурации сервера, например версию MySQL или ASP.Net. Далее они ищут эксплойт для данной системы в Сети и применяют его на сайте жертвы. Чтобы избежать подобных ситуаций, следует закрывать сообщения об ошибках при выкладывании готового проекта в сеть.
Комментарии в коде
Комментарии в коде также являются одним из помощников программистов, однако не стоит там размещать конфиденциальную информацию. Мне пришлось работать с одним проектом, в котором в коде HTML-комментария были заключены неиспользуемые запросы в базу данных. Исходя из этой информации, даже не имея доступа к серверу, можно разгадать структуру базы данных, имена заголовков таблиц и их значения, первичные ключи и прочую важную информацию, вплоть до паролей доступов. При разработке многие машинально закрывают некоторые части кода для отладки приложения, а после того как оно начинает нормально работать, забывают их удалить. Этого тоже стоит избегать.
Недостаточная аутентификация и авторизация
Об этой проблеме было уже не раз сказано на страницах моего блога. В основном, утечка информации по вине недостаточной аутентификации возникает в том случае, когда пользователь с недостаточными правами доступа к определенным разделам приложения, случайным образом (или специально) проходит туда. Пока ничего не приходит из реальных примеров, но думаю суть ясна.
Утечка информации по вине недостаточной аутентификации может произойти, когда вы вводите логин и пароль при регистрации на сайте. Сообщение об ошибке "такой email не зарегистрирован" автоматически говорит злоумышленнику, что подбирать пароли нужно только к тем аккаунтам, которые подобную ошибку не возвращают. Тем самым можно сократить время атаки подбора по словарю.
Уязвимости конфигурации сервера
Данная уязвимость может возникнуть например в результате ошибок в файле .htaccess или php.ini. Ошибки могут привести к неверным редиректам или уязвимой базовой аутентификации. Защита от данного рода ошибок описана в статье про настройку сервера.
Напоследок, могу порекомендовать вам хорошее МФУ HP OfficeJet 7500. Из названия уже понятно, что штука офисная. Розничная пропажа предлагает эти устройства по весьма доступной цене. Короче, поставили в офисе - проблем не знаем.
