O chionn timcheall air bliadhna, chuir sinn air bhog aig DataLine gus so-leòntachd ann an tagraidhean IT a sgrùdadh agus a sgrùdadh. Tha an t-seirbheis stèidhichte air fuasgladh sgòthan Qualys, mu dheidhinn obrachadh . Thairis air bliadhna de bhith ag obair leis an fhuasgladh, rinn sinn sganaidhean 291 airson diofar làraich agus chruinnich sinn staitistig air so-leòntachd cumanta ann an tagraidhean lìn.
Anns an artaigil gu h-ìosal seallaidh mi dhut dè dìreach na tuill ann an tèarainteachd làrach-lìn a tha falaichte air cùl diofar ìrean de dhealasachd. Chì sinn dè na so-leòntachd a lorg an sganair gu sònraichte tric, carson a dh’ fhaodadh iad tachairt, agus mar as urrainn dhut thu fhèin a dhìon.
Bidh Qualys a’ roinn a h-uile so-leòntachd a thaobh tagradh lìn ann an trì ìrean de dhealasachd: ìosal, meadhanach agus àrd. Ma choimheadas tu air an cuairteachadh le “tromachd”, tha e coltach nach eil a h-uile dad cho dona. Tha glè bheag de chugallachd ann le ìre àrd de chudromachd, sa mhòr-chuid tha iad uile neo-èiginneach:
Ach chan eil neo-chunbhalach a 'ciallachadh gun chron. Faodaidh iad cuideachd milleadh mòr adhbhrachadh.
Prìomh chugallachd “neo-èiginneach”.
- So-leòntachd susbaint measgaichte.
Is e an inbhe airson tèarainteachd làrach-lìn gluasad dàta eadar an neach-dèiligidh agus an frithealaiche tro phròtacal HTTPS, a bheir taic do chrioptachadh agus a dhìonas fiosrachadh bho eadar-theachd.
Bidh cuid de làraich a’ cleachdadh susbaint measgaichte: Tha cuid de dhàta air a ghluasad tro phròtacal HTTP mì-chinnteach. Seo mar a tha e air a thoirt seachad mar as trice susbaint fulangach - fiosrachadh a bheir buaidh air taisbeanadh na làraich a-mhàin: dealbhan, stoidhlichean css. Ach uaireannan seo mar a tha e air a chraoladh susbaint gnìomhach: sgriobtaichean a tha a 'cumail smachd air giùlan na làraich. Anns a 'chùis seo, a' cleachdadh bathar-bog sònraichte, faodaidh tu fiosrachadh a mhion-sgrùdadh le susbaint gnìomhach a 'tighinn bhon fhrithealaiche, atharraich na freagairtean agad air an itealan agus toirt air an inneal obrachadh ann an dòigh nach robh an luchd-cruthachaidh an dùil.
Bidh dreachan nas ùire de bhrobhsairean a’ toirt rabhadh do luchd-cleachdaidh gu bheil làraich le susbaint measgaichte cunnartach agus a’ cur bacadh air an t-susbaint. Bidh luchd-leasachaidh làrach-lìn cuideachd a 'faighinn rabhaidhean brabhsair anns a' chonsail. Mar eisimpleir, seo mar a tha e a’ coimhead a-staigh :
Dè tha cunnartach: Bidh luchd-ionnsaigh a’ cleachdadh protocol mì-chinnteach gus casg a chuir air fiosrachadh luchd-cleachdaidh, sgriobtaichean a chuir an àite agus iarrtasan a chuir chun làrach às a leth. Fiù mura do chuir neach-tadhail làrach a-steach dàta, chan eil seo ga dhìon phishing - a’ faighinn fiosrachadh dìomhair a’ cleachdadh dhòighean meallta. Mar eisimpleir, le bhith a’ cleachdadh sgriobt, faodaidh tu an neach-cleachdaidh ath-stiùireadh gu làrach-lìn neo-shàbhailte a tha masquerades mar neach air a bheil an neach-cleachdaidh eòlach. Ann an cuid de chùisean, tha an làrach droch-rùnach a’ coimhead eadhon nas fheàrr na an tè thùsail, agus faodaidh an neach-cleachdaidh am foirm a lìonadh e fhèin agus dàta dìomhair a chuir a-steach.Dè bu chòir do leasaiche lìn cuimhneachadh: Fiù ma tha rianadair na làraich air teisteanas SSL/TLS a chuir a-steach agus a rèiteachadh, dh’ fhaodadh so-leòntachd èirigh mar thoradh air mearachd daonna. Mar eisimpleir, mura cuir thu ceangal càirdeach air aon de na duilleagan, ach ceangal iomlan bho http, agus a bharrachd air sin cha do shuidhich thu ath-sheòlaidhean bho http gu https.
Is urrainn dhut susbaint measgaichte a lorg air làrach a’ cleachdadh brobhsair: rannsaich còd stòr na duilleige, leugh fiosan ann an consol an leasaiche. Ach, feumaidh an leasaiche a bhith a’ tinker leis a’ chòd airson ùine mhòr agus gu sgiobalta. Faodaidh tu am pròiseas a luathachadh le innealan sgrùdaidh fèin-ghluasadach, mar eisimpleir: , bathar-bog Taigh-solais an-asgaidh no bathar-bog pàighte Screaming Frog SEO Spider.
Cuideachd, faodaidh an so-leòntachd èirigh mar thoradh air duilgheadasan le còd dìleab - còd a chaidh a shealbhachadh. Mar eisimpleir, ma thèid cuid de dhuilleagan a chruthachadh le bhith a’ cleachdadh seann theamplaid, nach eil a’ toirt aire do ghluasad làraich gu https.
- Briosgaidean às aonais na brataichean "HTTPOnly" agus "tèarainte".
Tha am feart “HTTPonly” a’ dìon briosgaidean bho bhith air an giullachd le sgriobtaichean a bhios luchd-ionnsaigh a’ cleachdadh gus dàta luchd-cleachdaidh a ghoid. Chan eil a’ bhratach “tèarainte” a’ leigeil le briosgaidean a bhith air an cur ann an teacsa soilleir. Cha cheadaichear conaltradh ach ma thèid am protocol HTTPS tèarainte a chleachdadh gus briosgaidean a chuir.
Tha an dà fheart air an sònrachadh anns na feartan cookie:
Set-Cookie: Secure; HttpOnlyDè tha cunnartach: Mura do shònraich leasaiche na làraich na buadhan seo, dh’ fhaodadh neach-ionnsaigh fiosrachadh a’ chleachdaiche a ghlacadh bhon bhriosgaid agus brath a ghabhail air. Ma thèid briosgaidean a chleachdadh airson dearbhadh agus ùghdarrachadh, bidh e comasach dha seisean an neach-cleachdaidh a thoirt thairis agus gnìomhan a dhèanamh air an làrach às a leth.
Dè bu chòir do leasaiche lìn cuimhneachadh: Mar riaghailt, ann am frèaman mòr-chòrdte tha na buadhan sin air an suidheachadh gu fèin-ghluasadach. Ach fhathast thoir sùil air rèiteachadh an fhrithealaiche lìn agus suidhich am bratach: Set-Cookie HttpOnly; Tèarainte.
Anns a’ chùis seo, nì am feart “HTTPonly” briosgaidean do-fhaicsinneach don JavaScript agad fhèin.
- So-leòntachd a tha stèidhichte air slighe.
Bidh an sganair ag aithris a leithid de so-leòntachd ma lorgas e faidhle a tha ruigsinneach don phoball no eòlaire làrach-lìn le fiosrachadh a dh’ fhaodadh a bhith dìomhair. Mar eisimpleir, lorgaidh e faidhlichean rèiteachaidh siostam fa leth no ruigsinneachd don t-siostam faidhle gu lèir. Tha an suidheachadh seo comasach ma tha còraichean-slighe air an suidheachadh ceàrr air an làrach.
Dè tha cunnartach: Ma tha an siostam faidhle “a’ cumail a-mach, ”faodaidh neach-ionnsaigh tuiteam a-steach do eadar-aghaidh an t-siostaim obrachaidh agus feuchainn ri pasganan le faclan-faire a lorg ma tha iad air an stòradh ann an teacsa soilleir (na dèan sin!). No faodaidh tu hashes facal-faire a ghoid agus am facal-faire a sparradh gu brùideil, agus cuideachd feuchainn ri sochairean a thogail san t-siostam agus gluasad nas doimhne don bhun-structar.
Dè bu chòir do leasaiche lìn cuimhneachadh: Na dìochuimhnich mu chòraichean-slighe agus rèitich an àrd-ùrlar, frithealaiche lìn, tagradh lìn gus nach bi e comasach “teicheadh” bhon chlàr lìn.
- Foirmean airson dàta mothachail a chuir a-steach le lìonadh fèin-ghluasadach air a chomasachadh.
Ma bhios neach-cleachdaidh gu tric a’ lìonadh fhoirmean air làraich-lìn, bidh am brabhsair aca a’ stòradh an fhiosrachaidh seo a’ cleachdadh am feart fèin-lìonadh.
Faodaidh raointean le fiosrachadh mothachail a bhith ann am foirmichean air làraich-lìn, leithid faclan-faire no àireamhan cairt creideis. Airson raointean mar seo, is fhiach an gnìomh foirm fèin-lìonadh a chuir dheth air an làrach fhèin.
Dè tha cunnartach: Ma tha brabhsair an neach-cleachdaidh a’ stòradh fiosrachadh mothachail, faodaidh neach-ionnsaigh a ghlacadh nas fhaide air adhart, mar eisimpleir tro phishing. Gu dearbh, tha leasaiche lìn a dhìochuimhnich mun nuance seo a ’suidheachadh a luchd-cleachdaidh.
Dè bu chòir do leasaiche lìn cuimhneachadh: Anns a 'chùis seo, tha còmhstri clasaigeach againn: goireasachd vs tèarainteachd. Ma tha leasaiche lìn a’ smaoineachadh mu eòlas neach-cleachdaidh, faodaidh e fèin-choileanadh a thaghadh gu mothachail. Mar eisimpleir, ma tha e cudromach a leantainn - molaidhean airson ruigsinneachd susbaint do luchd-cleachdaidh le ciorraman.
Airson a’ mhòr-chuid de bhrobhsairean, ’s urrainn dhut fèin-choileanadh a chur à comas leis a’ bhuadh autocompete="off", mar eisimpleir:
<body> <form action="/gd/form/submit" method="get" autocomplete="off"> <div> <input type="text" placeholder="First Name"> </div> <div> <input type="text" id="lname" placeholder="Last Name" autocomplete="on"> </div> <div> <input type="number" placeholder="Credit card number"> </div> <input type="submit"> </form> </body>Ach chan obraich e airson Chrome. Tha seo air a chuairteachadh le bhith a 'cleachdadh JavaScript, gheibhear caochladh den reasabaidh .
- Chan eil bann-cinn X-Frame-Options suidhichte ann an còd na làraich.
Bidh an bann-cinn seo a’ toirt buaidh air frèam, iframe, inbed, no tagaichean nì. Le a chuideachadh, faodaidh tu casg a chuir air do làrach a chuir a-steach taobh a-staigh frèam. Gus seo a dhèanamh, feumaidh tu an luach X-Frame-Options a shònrachadh: àicheadh. No faodaidh tu X-Frame-Options a shònrachadh: sameorigin, an uairsin cha bhi cuir a-steach ann an iframe ri fhaighinn ach air an àrainn agad.
Dè tha cunnartach: Faodar dìth bann-cinn mar sin a chleachdadh air làraich droch-rùnach gu briogadh. Airson an ionnsaigh seo, bidh an neach-ionnsaigh a’ cruthachadh frèam follaiseach air mullach nam putanan agus a’ mealladh an neach-cleachdaidh. Mar eisimpleir: bidh sgamadairean a 'frèamadh duilleagan lìonra sòisealta air làrach-lìn. Tha an neach-cleachdaidh a 'smaoineachadh gu bheil e a' briogadh air putan air an làrach seo. An àite sin, tha an cliog air a chuir a-steach agus thèid iarrtas an neach-cleachdaidh a chuir chun lìonra sòisealta far a bheil seisean gnìomhach. Seo mar a bhios luchd-ionnsaigh a’ cur spama às leth an neach-cleachdaidh no a’ faighinn luchd-aontachaidh is toil leotha.
Mura cuir thu am feart seo à comas, faodaidh neach-ionnsaigh am putan tagraidh agad a chuir air làrach droch-rùnach. Is dòcha gu bheil ùidh aige anns a’ phrògram tar-chuir agad no do luchd-cleachdaidh.
Dè bu chòir do leasaiche lìn cuimhneachadh: Faodaidh an so-leòntachd tachairt ma tha X-Frame-Options le luach connspaideach air a shuidheachadh air an fhrithealaiche lìn no air cothromachadh luchdan. Anns a 'chùis seo, bidh am frithealaiche agus an cothromaiche dìreach ag ath-sgrìobhadh a' chinn-cinn, oir tha prìomhachas nas àirde aca an taca ris a 'chòd backend.
Cuiridh na luachan diùltadh agus an aon thùs aig bann-cinn X-Frame-Options bacadh air gnìomhachd neach-seallaidh lìn Yandex. Gus leigeil le iframes a chleachdadh airson an neach-coimhead lìn, feumaidh tu riaghailt air leth a sgrìobhadh anns na roghainnean. Mar eisimpleir, airson nginx faodaidh tu a rèiteachadh mar seo:
http{ ... map $http_referer $frame_options { "~webvisor.com" "ALLOW-FROM http://webvisor.com"; default "SAMEORIGIN"; } add_header X-Frame-Options $frame_options; ... } - So-leòntachd PRSSI (toirt a-steach duilleag stoidhle co-cheangailte ri slighe).
Is e so-leòntachd a tha seo ann an stoidhle na làraich. Bidh e a’ tachairt ma thèid ceanglaichean càirdeach mar href = ”/somefolder/styles.css/” a chleachdadh gus faighinn gu faidhlichean stoidhle. Gabhaidh neach-ionnsaigh brath air seo ma lorgas iad dòigh air an neach-cleachdaidh ath-stiùireadh gu duilleag droch-rùnach. Cuiridh an duilleag a-steach ceangal càirdeach a-steach don url aige agus atharrais air gairm stoidhle. Gheibh thu iarrtas mar badsite.ru/…/somefolder/styles.css/, as urrainn gnìomhan droch-rùnach a dhèanamh fo chumadh stoidhle.
Dè tha cunnartach: Dh’ fhaodadh neach-foill brath a ghabhail air an so-leòntachd seo ma lorgas iad toll tèarainteachd eile. Mar thoradh air an sin, tha e comasach dàta luchd-cleachdaidh a ghoid bho bhriosgaidean no comharran.
Dè bu chòir do leasaiche lìn cuimhneachadh: Suidhich bann-cinn X-Content-Type-Options gu: nosniff. Anns a 'chùis seo, bheir am brabhsair sùil air an t-seòrsa susbaint airson na stoidhlichean. Ma tha an seòrsa a bharrachd air teacsa / css, cuiridh am brabhsair stad air an iarrtas.
So-leòntachd èiginneach
- Tha duilleag le raon facal-faire air a ghluasad bhon fhrithealaiche thairis air seanal mì-chinnteach (tha foirm HTML anns a bheil raon(an) facal-faire air a thoirt seachad thairis air HTTP).
Tha am freagairt bhon t-seirbheisiche thairis air seanal gun chrioptachadh so-leònte ri ionnsaighean “Man in the middle”. Faodaidh neach-ionnsaigh casg a chuir air trafaic agus ceangal a dhèanamh eadar an neach-dèiligidh agus an frithealaiche fhad ‘s a tha an duilleag a’ siubhal bhon fhrithealaiche chun neach-dèiligidh.
Dè tha cunnartach: Bidh an neach-foill comasach air an duilleag a chuir na àite agus foirm airson dàta dìomhair a chuir chun neach-cleachdaidh, a thèid gu frithealaiche an neach-ionnsaigh.
Dè bu chòir do leasaiche lìn cuimhneachadh: Bidh cuid de làraich a’ cur còd aon-ùine do luchd-cleachdaidh tro phost-d/fòn an àite facal-faire. Anns a ’chùis seo, chan eil an so-leòntachd cho èiginneach, ach nì an uidheamachd beatha luchd-cleachdaidh iom-fhillte.
- A’ cur foirm le logadh a-steach agus facal-faire thairis air seanal mì-chinnteach (Cha tèid Foirm Logaidh a chuir a-steach tro HTTPS).
Anns a 'chùis seo, thèid foirm le logadh a-steach agus facal-faire a chuir bhon neach-cleachdaidh chun an fhrithealaiche tro sheanal gun chrioptachadh.
Dè tha cunnartach: Eu-coltach ris a’ chùis roimhe, tha seo mar-thà na chugallachd èiginneach. Tha e nas fhasa casg a chuir air dàta mothachail oir chan fheum thu eadhon còd a sgrìobhadh airson a dhèanamh.
- A’ cleachdadh leabharlannan JavaScript le so-leòntachd aithnichte.
Rè an scan, b’ e jQuery an leabharlann as motha a chleachdar le àireamh mhòr de dhreachan. Tha co-dhiù aon, no eadhon barrachd, so-leòntachd aithnichte aig gach dreach. Faodaidh a’ bhuaidh a bhith gu math eadar-dhealaichte a rèir nàdar an so-leòntachd.
Dè tha cunnartach: Tha buannachdan ann airson so-leòntachd aithnichte, mar eisimpleir:
Dè bu chòir do leasaiche lìn cuimhneachadh: Till gu cunbhalach chun chearcall: lorg so-leòntachd aithnichte - fix - check. Ma chleachdas tu leabharlannan dìleab a dh’aona ghnothach, mar eisimpleir gus taic a thoirt do bhrobhsairean nas sine no gus airgead a shàbhaladh, coimhead airson cothrom so-leòntachd aithnichte a chàradh. - Sgriobtadh thar-làraich (XSS).
Tha Sgriobhadh Thar-làraich (XSS), no sgrìobhadh thar-làraich, na ionnsaigh air tagradh lìn a bheir gu buil malware a thoirt a-steach don stòr-dàta. Ma lorgas Qualys a leithid de so-leòntachd, tha e a’ ciallachadh gum faod neach-ionnsaigh no gu bheil e air an sgriobt js aige fhèin a thoirt a-steach do chòd na làraich gus gnìomhan droch-rùnach a dhèanamh.XSS air a stòradh nas cunnartaiche, leis gu bheil an sgriobt freumhaichte air an fhrithealaiche agus air a chuir gu bàs a h-uile uair a thèid an duilleag ionnsaigh fhosgladh sa bhrobhsair.
XSS air a nochdadh nas fhasa a dhèanamh leis gum faodar sgriobt droch-rùnach a chuir a-steach do iarrtas HTTP. Gheibh an tagradh iarrtas HTTP, cha dhearbh e an dàta, pacaidh e, agus cuiridh e e sa bhad e. Ma chuireas neach-ionnsaigh stad air trafaic agus gun cuir e a-steach sgriobt mar
<script>/*+что+то+плохое+*/</script>an uairsin thèid iarrtas droch-rùnach a chuir às leth an neach-dèiligidh.
Eisimpleir iongantach de XSS: js sniffers a bhios ag atharrais air duilleagan airson a dhol a-steach do CVC, ceann-latha crìochnachaidh cairt, agus mar sin air adhart.
Dè bu chòir do leasaiche lìn cuimhneachadh: Anns a’ bhann-cinn Susbaint-Tèarainteachd-Poileasaidh, cleachd am feart script-src gus toirt air brobhsair an neach-cleachdaidh còd a luchdachadh sìos agus a chuir an gnìomh bho stòr earbsach a-mhàin. Mar eisimpleir, bidh script-src 'fèin' a' clàradh a h-uile sgriobt bhon làrach againn a-mhàin.
Is e còd Inline an cleachdadh as fheàrr: na ceadaich ach javascript in-loidhne a’ cleachdadh an luach neo-shàbhailte in-loidhne. Tha an luach seo a’ ceadachadh js/css in-loidhne a chleachdadh, ach chan eil e a’ toirmeasg a bhith a’ toirt a-steach faidhlichean js. Còmhla ri script-src 'fèin' tha sinn a' cur dheth sgriobtaichean bhon taobh a-muigh bho bhith gan cur gu bàs.Dèan cinnteach gun clàraich thu a h-uile càil a’ cleachdadh report-uri agus coimhead air oidhirpean gus a chuir an sàs air an làrach.
- SQL stealladh.
Tha an so-leòntachd a’ nochdadh gu bheil e comasach còd SQL a chuir a-steach gu làrach-lìn a gheibh cothrom air stòr-dàta na làraich-lìn gu dìreach. Tha in-stealladh SQL comasach mura tèid dàta bhon neach-cleachdaidh a sgrìobadh: chan eil e air a sgrùdadh airson ceart agus thèid a chleachdadh sa bhad sa cheist. Mar eisimpleir, bidh seo a’ tachairt mura dèan foirm air làrach-lìn sgrùdadh a bheil an cuir a-steach a’ freagairt ris an t-seòrsa dàta.Dè tha cunnartach: Ma chuireas neach-ionnsaigh ceist SQL a-steach don fhoirm seo, faodaidh e an stòr-dàta a mhilleadh no fiosrachadh dìomhair fhoillseachadh.
Dè bu chòir do leasaiche lìn cuimhneachadh: Na bi earbsa anns na thig bhon bhrobhsair. Feumaidh tu thu fhèin a dhìon air taobh an neach-dèiligidh agus taobh an fhrithealaiche.
Air taobh an neach-dèiligidh, sgrìobh dearbhadh achaidh a’ cleachdadh JavaScript.
Bidh gnìomhan togte ann am frèaman mòr-chòrdte cuideachd a’ cuideachadh gus faighinn seachad air caractaran amharasach air an fhrithealaiche. Thathas cuideachd a’ moladh ceistean stòr-dàta parameterized a chleachdadh air an fhrithealaiche.
Obraich a-mach càite dìreach a bhios an eadar-obrachadh leis an stòr-dàta a’ tachairt air an tagradh lìn.
Bidh eadar-obrachadh a’ tachairt nuair a gheibh sinn fiosrachadh sam bith: iarrtas le id (atharrachadh id), cruthachadh neach-cleachdaidh ùr, beachd ùr, no inntrigidhean ùra san stòr-dàta. Seo far am faod in-stealladh SQL tachairt. Fiù ma sguabas sinn às clàr bhon stòr-dàta, tha in-stealladh SQL comasach.
Molaidhean coitcheann
Na ath-chruthaich a’ chuibhle - cleachd frèaman dearbhte. Mar riaghailt, tha frèaman mòr-chòrdte nas tèarainte. Airson .NET - ASP.NET MVC agus ASP.NET Core, airson Python - Django no Flask, airson Ruby - Ruby on Rails, airson PHP - Symfony, Laravel, Yii, airson JavaScript - Node.JS-Express.js, airson Java - MVC an Earraich.
Lean ùrachaidhean reiceadair agus ùraich gu cunbhalach. Lorgaidh iad so-leòntachd, an uairsin sgrìobhaidh iad brath, bidh e ri fhaighinn gu poblach, agus tachraidh a h-uile càil a-rithist. Subscribe to ùrachaidhean gu tionndaidhean seasmhach bhon neach-reic bathar-bog.
Thoir sùil air còraichean-slighe. Air taobh an fhrithealaiche, bi an-còmhnaidh a’ làimhseachadh do chòd mar gum biodh e, bhon chiad litir chun na litreach mu dheireadh, air a sgrìobhadh leis an nàmhaid as gràin leat, a tha airson do làrach a bhriseadh, a’ briseadh ionracas an dàta agad. A bharrachd air an sin, uaireannan tha seo fìor.
Cleachd clones, làraich deuchainn, agus an uairsin cleachd iad airson cinneasachadh. Cuidichidh seo, an toiseach, gus mearachdan agus mearachdan a sheachnadh ann an àrainneachd chinneasach: bheir àrainneachd chinneasach airgead, tha àrainneachd toraidh shìmplidh deatamach. Nuair a bhios tu a’ cur ris, a’ càradh no a’ dùnadh duilgheadas sam bith, is fhiach obrachadh ann an àrainneachd deuchainn, an uairsin sgrùdadh a dhèanamh air gnìomhachd agus so-leòntachd a chaidh a lorg, agus an uairsin dealbhadh a bhith ag obair leis an àrainneachd cinneasachaidh.
Dìon an tagradh lìn agad le agus fhilleadh a-steach aithisgean bhon sganair so-leòntachd leis. Mar eisimpleir, bidh DataLine a’ cleachdadh Qualys agus FortiWeb mar phasgan de sheirbheisean.
Source: www.habr.com