Реклама:

Пионером б указанной области уже тогда являлась корпорация Microsoft, которая занялась ликвидацией уязвимых мест в защите своего программного обеспечения путем реализации разработок в области безопасности и тестирования как составляющих продуктов, причем эти неотъемлемые компоненты программ внедрялись в самом начале цикла. Реализацию Microsoft Security Development I.ifecycle (SDL) можно просмотреть на сайте http.//msdn.microsoft.com/m$dnmag/issues/05/11/SDL/ default.aspx.

Эти позитивные изменения в области программного обеспечения привели к тому, что атаки на уровне операционных систем стали еще более сложными и изощренными. Хакеры начали выискивать более заманчивые цели. Они поднялись на несколько уровней выше — до модели ISO, после чего Web-приложения по различным причинам были обречены на новые атаки.

Прежде всего, весьма уязвимы для атак Web-приложения, поскольку лежащий в их основе протокол HTTP очень прост. Он основан на тексте и является статичным, поэтому вам не потребуется использовать специализированные средства для кодирования бинарных данных — простого клиента Telnet вполне достаточно для работы с пакетами HTTP. Статичность протокола означает, что после каждого полного обхода Web-приложения вы получаете все необходимые данные, что упрощает их воспроизведение, поскольку обычно не возникает необходимости задавать вначале некий тип сессии для организации атак. Другой нюанс заключается в том, что практически во всех приложениях на основе HTTP разрешен анонимный доступ, даже если отображается лишь страница регистрации. Эта страница уже является частью реального приложения и может использоваться для атаки кола приложения. Еще одна характерная черта Web-приложений состоит в том, что чаще всего они являются шлюзом или «последним бастионом» между Интернетом и внутренними ресурсами, каким является, например, база данных. Опять-таки это делает их очень привлекательными мишенями для злоумышленников.

Вместе с тем, развитие среды разработок Web-приложений позволяет легко создавать комплексные Web-приложения, управляемые данными. Возможность использования принципов программирования па основе представлений Windows в Web заинтересовала множество компаний и разработчиков. Но традиции в классических приложениях на основе сети интрапет защите не уделялось особого внимания, однако переход в такое совершенно иное окружение, как Интернет, полностью изменил ситуацию. Миллионы разработчиков с минимальным опытом работы в области зашиты начали писать приложения, которые становились доступными для любого злоумышленника в Интернете.

Я не хочу сказать, что эти разработчики являются плохими программистами, просто степень угрозы возросла до совершенно нового уровня. Несмотря на то что основные принципы создания надежных приложений не изменялись, все больше криминально настроенных «испытателей» искали дефекты в коле. Кроме того, появились новые методы атак, связанные с используемыми в Web-ири.чожепиях технологиями, как, например, вложение программного кода HTML.


⇐ Предыдущая страница| |Следующая страница ⇒