Bezbednost web portala

Bezbednost web portala

offline
  • Peca  Male
  • Glavni Administrator
  • Predrag Damnjanović
  • SysAdmin i programer
  • Pridružio: 17 Apr 2003
  • Poruke: 23058
  • Gde živiš: Niš

O dinamički kreiranim Web stranicama se mnogo govori danas, toliko da bi neko pomislio da je to nešto revolucionarno novo. Ali nije, dinamički kreirane stranice ste već viđali puno puta: diskusije, knjige gostiju,... Međutim, novo je što je većina današnjih najuspješnjih sajtova skoro u potunosti dinamička, tj. sve stranice se kreiraju u letu.

Onoliko koliko su atraktivni ovako kreirani sadržaji i koliko doprinose svežini nekog sajta, toliko mogu da budu i opasni ukoliko nisu korektno instalirani. I ne samo to! Buduci da je Internet pun besplatnih skriptova sumnjivog kvaliteta, pravilna instalacija skripta koji nije pravilno napisan i koji ostavlja sigurnosne rupe u sistemu neće mnogo pomoći.

O čemu se zapravo radi? Većina Web brauzera ima mogućnost izvršavanja skriptova koji su ugrađeni u stranice koje se preuzimaju sa servera. Takvi skriptovi mogu biti napisani u raznim jezicima i pokreće ih klijentov brauzer. Kreator prezentacije će u stranice ugraditi razne korisne skriptove koji će pomoći posetiocima da se lepše osećaju na sajtu, da imaju lakšu navigaciju i slično. Međutim, ukoliko postoji mogućnost da sami posetioci unose podatke na osnovu kojih će biti kreirane stranice, kreator sajt više nema kontrolu da li je uz poruku u forumu ili knjizi gostiju ostavljen i skript!

Na primer, ukoliko imate diskusije, posetilac može ostaviti poruku ovoga oblika:

Pozdrav svima! Ovo je moja poruka
<SCRIPT>opasni kod</SCRIPT>

Ovo je kraj moje poruke

Kada ostali posetioci diskusionih strana otvore stranu sa tom porukom, ukoliko je podrška za skriptove uključena (a uključena je standardno!) opasni kod će biti izvršen bez znanja posetioca. Opasni kod može biti uključen u već pomenuti <SCRIPT> tag, ali i u <OBJECT>, <APPLET> ili <EMBED> tagove.

Svi profesionalni softveri koji pokreću diskusije imaju ugrađenu podršku za prepoznavanje i eliminisanje ovakvih napada. Međutim, veliki broj CGI skriptova koji su trenutno aktivni na Webu nema nikakvu zaštitu od napada ovoga tipa ili je kreatori sajta nisu uključili iz neznanja.

Postoje i drugi načini napada, češće korišćeni u e-mail ili newsgroup porukama. Ukoliko neki korisnik ostavi poruku tipa

[url=http://www.naprimer.com/komentar.cgi? komentar=<SCRIPT]opasni kod</SCRIPT>">Kliknite ovde![/url]

ostali korisnici mogu kliknuti na gornji link. Ako Web server vrati stranu korisniku uključujući i vrednost poslatog parametra komentar korisnikov brauzer će izvršiti opasni kod.

Treći primer se odnosi na klasične formulare koje sadrži skoro svaki sajt. <FORM> tag je potencijalna alatka napadača. Na primer, ubacivanjem opasnog <FORM> taga na pravo mesto, napadač može dobiti osetljive podatke od korisnika menjajući ponašanje postojećeg formulara.

I ostali HTML tagovi mogu biti u manjoj meri zloupotrebljeni menjajući izgled strane, ubacivanjem neželjenih slika ili zvukova i slično.



Dakle, obični korisnici Interneta mogu neželjeno pokrenuti izvršavanje skriptova koje je napisao neki zlobni korisnik na mnogo načina: klikom na sumnjivi link na We stranici, e-mail ili newsgroup poruci ili prostim gledanjem dinamički kreirane stranice.

Rešenja

Glavna odgovornost za sigurnost posetilaca leži na webmasterima. Njihov zadatak je da provere sigurnost svojih formulara i skriptova koji generišu dinamičke stranice na osnovu korisničkog ulaza. Eliminisanje neželjenih tagova je jednostavno i obavezno. Dobar korak u sužavanju prostora za delovanje eventualnih napadača je i definisanje seta karaktera za sve dinamički generisane strane.

Ne postoji nijedno 100% sigurno rešenje za korisnike. Ono što običan korisnik može da uradi je da isključi izvršavanje skriptova u svom brauzeru. Time će se zaštititi od izvršavanja neželjenih skriptova, ali će surfovanje po nekim sajtovima biti teže, ako ne i nemoguće. Takođe, nećete se zaštititi od zloupotrebe <FORM> taga. Na Vama je da odlučite. Ukoliko želite maksimalnu sigurnost, isključite skriptove, u suprotnom ih ostavite uključene za puni doživljaj surfovanja.

Najveća opasnost vreba od sajtova na koje dolazite prvi put, klikom na link sa nekog drugog sajta, e-mail, ICQ ili Odigo poruke.

Sledeći način da smanjite rizik prve posete sumnjivom sajtu je da ne kliknete na link, već da adresu sajta (samo adresu) ukucaju ručno u Web brauzer. Pri tome treba biti pažljiv jer se link može JavaScript-om maskirati i pravu adresu u Status baru brauzera sakriti prikazujući poruku ili čak potpuno drugu adresu!

Na kraju...

Nemojte da Vas ovaj tekst obeshrabi u korišćenju Interneta. Cilj je da kreatore prezentacija napomenemo na stvari koje su im možda promakle pažnji, a ostale korisnike da upoznamo sa načinom prevencije ovakvih pojava.



----------------
Napomena: Tekst je preuzet iz casopisa Internet Ogledalo i napisao ga je Vladan Zirojevic za rubriku "Zastita"!
----------------



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
Ko je trenutno na forumu
 

Ukupno su 508 korisnika na forumu :: 45 registrovanih, 2 sakrivenih i 461 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 1567 - dana 15 Jul 2016 19:18

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: amstel2, antonic.igor2050, Apok, Arhiv, babaroga2, Beli Laufer, brundo65, BSD2, cikadeda, Cobi026, d.arsenal321, danilopu, Dannyboy, darkangel, darkstar101, DENIRO, elvis3, havoc995, ILGromovnik, Ivan Gajic, Iwo Jima, Joja2, Kubovac, m0nstrum_, Mali Veseljak, Mercury2, Milos1977, Mirage 2000N, Mixelotti, Nebo_M, novator, pein, perko91, sakota79, sasa.zoric, Snorks, SOVO515, Srki94, Toni, TroxX, vespa nikola, VP3987, zelomikarakas, zlaya011, zoidbergs