最近、ある顧客のためにWebアプリケーションのセキュリティに関するレビュードキュメントを作成しました。その後、公開するのがいいと思いました。

この記事は非専門家向けに書かれたので、Habrの要求の厳しいユーザーにとってより興味深いものにするために、テキストを私の人生のいくつかのケースで希釈しました。

このドキュメントでは、Webアプリケーションの主要な脆弱性とそれらを防ぐ方法をリストしています;各脆弱性は、次の主要なカテゴリのいずれかに属します。

組織-脆弱性の基礎は人的要因です。この脆弱性は、サイトを操作するための特定のルールを使用するか、特別なソフトウェアを使用して解決されます。
デザイン—アプリケーション自体の脆弱性。これらの脆弱性は、開発中の攻撃の可能性を考慮することで排除されます;それらのほとんどは基本的な機能のレベルで解決でき、人的要因を最小限に抑えることができます。
悪用-サーバーまたはインフラストラクチャレベルで攻撃を行うことができ、これらの問題はWebサイト管理者によって解決されます。

サイトへの認証とアクセス。

安全でないパスワード。

カテゴリ：組織の脆弱性

単純なパスワード（qwerty、パスワード、生年月日、電話番号）を使用すると、パスワードまたはソーシャルエンジニアリングを列挙してサイト管理にアクセスできます。

一般的なケースでは、自動生成されたパスワードを使用することをお勧めしますが、それはその人がそれを覚えることができ、紙に書き留めてモニターに掛けることができないという確信がある場合のみです。

それ以外の場合は、複雑なニーモニックパスワードを使用する必要があります。いくつかの文字を数字または特殊文字に変更して、詩や歌の最初の文字を別のキーボードレイアウトで使用します。

root / nothingまたはadmin / admin（ Yotovsky egg ）など、デフォルトのパスワードを残すためのお気に入りのトピックがまだあり、誰もそれを知らないと思います。

初めてログインするときに「一時的な」パスワードを強制的に変更することをお勧めします。

パスワードハイジャック。

カテゴリ：組織、運用。

パスワードは、ユーザーからサーバーに転送されるときに傍受される可能性があります。これは、サーバーでの作業時にセキュア接続（https、ftps）を強制的に使用することで解決されます。

KhayloadまたはRITで話している（まだ覚えていない） Sergei Ryzhikovが、安全な接続を介して出席者のどれが管理エリアに行ったのかを尋ねたのを覚えています。ここから、wi-fiスニファーとの会議をいくつか歩くと、ラネットがわずかに変わる可能性があると結論付けることができます。

さらに、いわゆる「フィッシング」サイトを使用して盗難が可能です。ユーザーのブラウザのサイトは同一のものに置き換えられます。ログインフォームにデータを入力すると、パスワードは攻撃者に送られます。この場合、「署名済みサイト証明書」が重要です。このような証明書を使用する場合、特別な会社（たとえばhttp://verisign.com ）は、これが実際にサイトであると確認し、さらに、署名された証明書はサイトのユーザーに対して同じことを証明します（支払いの際に重要です）。このサービスには年間約800ドルの費用がかかります（費用は会社、サービスプロバイダーの保護レベルと信頼性の影響を受けます）

特にこの点で、通常の証明書を作成するのが面倒である組織に私はいつも驚いていますが、ウェブマネーに触れています。ありがたいことに、彼らはすでに通常の証明書を作成することができましたが、1か月前、正直に言って、ブラウザが私がお金を預けているサイトを誓うという事実から、私は正直にうんざりしました。多数のIE + Flashがそれらの使用を拒否しています。テストサーバーで静かに動作していたマルチブートローダーが本番環境で動作しなくなった理由を突き止めるのに、かなりの時間を費やしました。

パスワードの盗難

カテゴリ：組織

パスワードの盗難は、ソーシャルエンジニアリングまたはマルウェアを使用して実行されます。

防止のルールはかなり一般的です：

パスワードをクリアテキストで保存または送信しないでください。電子メールやICQ、Skypeなどを介してパスワードを送信しないでください。パスワードを送信した場合、メールのアーカイブまたはメッセンジャーの履歴に保存される可能性が高いことを覚えておくことが重要です。
ブラウザまたはFTPクライアントでパスワードを覚えてはいけません。

保存されたFTPパスワードを使用してサイトに悪意のあるコードを挿入するウイルスは一般的です。
ウイルス対策ソフトウェアを使用する
パスワードを定期的に変更する

別の行として、サイトにアクセスできる各人は自分のユーザー名とパスワードを持っている必要があることに注意する必要があります。これは将来、ハッキングの原因を特定し、従業員が解雇された場合に自分を守るのに役立ちます。

Webスタジオの大きな頭痛の種は、サーバーの履歴、メールアーカイブ、共有ファイルに保存されるクライアントサイトのパスワードです。特別な種類のマスターパスワードは、サイトの半分に適しており、マネージャー、開発者、親relative、退職し、解雇された従業員の素晴らしい銀河。定期的に、ポートフォリオ全体を巡回し、最後にマスターパスワードをより良いものに変更する試みが行われます。これは通常、最初のどこかに縛られています。

最も簡単でエレガントな方法は、承認をスタジオサーバーに転送することです。 OpenIDを使用してサイトの管理パネルに入ることができます（任意ではありませんが、スタジオドメインに関連しています）。したがって、各開発者は自分のパスワードのみを知っており、アクセス許可は一元的に与えられます。さらに、システムログを使用して問題を解決します。これは、すべての人が全員であると同時に誰もいない「最も重要な管理者」に代わってすべてが行われる従来の場合とは異なり、ニュースを正確に削除した人が最終的に表示されるというものです。

積極的な防御

カテゴリ：デザイン。

サイトのアーキテクチャのレベルで特定の対策を講じる必要があります。これらの対策は、パスワードを紛失した場合に部分的に保護されます。

IP制限

管理インターフェイスへのアクセスは、IP、つまり入場は会社の内部ネットワークからのみ可能でなければなりません。

その他のすべてのケース（自宅での仕事、出張での仕事など）は例外として導入する必要があります：いつ、何時に（営業時間中に非公式のIPから誰かが入ってくるのは奇妙です）、 IP（可能な場合）およびサイトで作業できるユーザー。

実際、遠い国や匿名のプロキシに「さよなら」を言うのは悪くありません（もちろん、Kavkaz CenterのWebサイトを開発する場合を除きます）。

キャプチャ

許可の形式のCaptcha（画像からの記号）は、ウイルスまたはその他の悪意のあるプログラムが管理インターフェイスに入るリスクを減らします。

ちなみに、多くのキャプチャの問題は、空の文字列が空の文字列に等しいという開発者の不信感です。多くの場合、セッションを削除したり、隠しフィールドを削除したりします。

ワンタイムパスワード

効果的で安価なツールは、追加の「一時的な」パスワードの導入です。各ユーザーに対して乱数のマトリックスが生成されます。重要な操作を入力または実行する場合、特定の列と列にある2つ以上の数字を入力する必要があります。

そのため、下の図では、入力のために、たとえば、2行目の1列目と1行目の3列目から数字を入力することが提案されています。 それぞれ34と323。

12	43	323
34	23	77
348	948	293
657	904	44

このソリューションを使用すると、攻撃者はマトリックスの一部しかわからないため、パスワードの傍受の危険性を減らすことができます。

クライアント証明書

クライアント証明書を持っているユーザーのみにアクセスを制限することができます（つまり、サーバーへのすべてのリクエストはデジタル署名によって署名されます）。

私たちは、個人データを監視しながら、ユーザーの個人データを忘れないでください。

訪問者が個人データを入力するフィールドの自動入力をオフにします。カード番号とCVV2フィールドにオートコンプリートを残すクレジットカードアグリゲーターの感動的な懸念にいつも感動しています。他の人のコンピューターから何かを支払いたいときはとても素敵に見えます。

一般に、ユーザーデータは最も予想外の場所で強調表示できます。数年前、Yandex RSSリーダーはユーザーが購読しているフィードのリストを表示しましたが、LiveJournalで承認されたユーザーのフィードにはユーザー名とパスワード（ http://bugtraq.ru/レビュー/アーカイブ/ 2007 / 01-03-07.html ）。

ちなみに、ユーザーデータをこれらのサイトと同じ場所に保存しない方がいいでしょう。たとえば、最近の2014年オリンピックの組織委員会のサイトは、求職者からの手紙を最近のニュースのリストに表示するのが好きでした。

アプリケーションの脆弱性

このセクションでは、アプリケーションコードで考えられる主な脆弱性と、開発中の「ヒューマンファクター」を排除および最小化する方法について説明します。

SQLインジェクション

カテゴリ：デザイン

この脆弱性により、攻撃者は入力されたデータを使用してデータベースクエリを変更できます。攻撃者はこの脆弱性を使用して、開発者によって提供されていないデータベースからデータを選択する（たとえば、パスワードを知らなくても管理インターフェイスに入ることができる）か、データベース内のデータを置き換える（たとえば、テーブルを削除したり、テストを置き換えたりする）ことができます。

原則として、この脆弱性は、リクエストのアセンブリ中のデータシールドによって排除されます。このコンテキストでは、最初にコードからデータベースに直接アクセスする機能を削除し、必要な変換を自動的に実行する特別なライブラリを介して排他的にデータベースを操作することが非常に望ましいです。

私は抵抗することができず、憎しみの小さな光線を生み出します。あるサードパーティオフィスがサイトへのサービスをオンにすると、これらのナイスガイは、一般的な承認を行うためにデータベースへのアクセスを許可するように求める手紙を私たちに送信しました。この提案に対して、怒った拒否と、適切なリダイレクトとEDSを備えた承認スキームを使用して返信しました。

それに応じて、彼らは私たちがどのような妄想や破壊工作者であるかについて上司に不満を言い、その結果、ユーザーの統合が「いつか」に移され、このすべてを「今のところ」立ち上げることに決めました。これらの「恐れと非難のない騎士」によって作成されたファイルのパスワードフィールドに一重引用符を挿入すると、SQLエラーに関するうれしいメッセージを受け取りました。

エラーが発生した場合にシステムが定期的に美しくフォーマットされたコードを発行し、その中の1つにコメント「WTF Kolya」が見つかったという事実によって、特定の海賊行為が与えられました。

コードインジェクション

カテゴリ：デザイン

ユーザーが入力したデータに基づいて実行可能コードが接続または生成された場合に発生します。これは、追加のチェックの導入、シールド、および特殊なライブラリの使用により排除されます。

コードインジェクションが教科書のバグ「include $ _GET ['file']」に限定されていると思われる場合は、少し混乱させたいと思います。
テキストまたは数式のパーサーは、ケース間でコードを実行できます（{％username％}の置き換え方法をもう一度確認してください）。
テンプレートエンジンは、テンプレートを数回通過してデータを実行できます（何らかのサブパターンを実行するために一度も2回パスしなかったことは確かです）。
正規表現が実行され、コードインジェクションも実行できます。
メタプログラミングが好きで、コントローラーがリクエストに基づいて自動的にメソッドを呼び出す場合、「間違った」メソッドを呼び出さないことを確認してください（自分で同様の穴を見逃した-コントローラーが無限再帰に追い込まれる可能性があります）。

クロスサイトスクリプティング

カテゴリ：デザイン

入力されたデータの検証と変換が不十分なため、サイトにhtmlまたはjavascriptコードを挿入するハッカー。サイトの外観を変更し、場合によっては「認証を盗む」ことができます（パスワードを入力せずに管理またはユーザーインターフェイスにアクセスします）。

出力中にデータをスクリーニングすることで解決されます。特に示されていない限り、ページに表示されるすべての情報の自動スクリーニングが最善の解決策です。

XSSは2番目の「すべて」です。ここでは、「許可されていないものはすべて禁止されています」という原則に従うことをお勧めします。まだ発明されていません。

多くの場合、入力データに対する過度の信頼は人々を失敗させます。リンクをチェックした後（ページナビゲーションなど）、リクエストから愚かに収集された場合、特に見栄えがよくなります。たとえば、多くの言語では、文字列「1aaaa」を数字「1」に簡単に減らすことができ、「aaa」の代わりにもっと悪いものを置くことができるという重要な事実は忘れられています

サイトの配色を設定するための別の行に言及したいのですが、スキンを作成するためのシステムに出くわしました。その作者は、エクスプレッションで規定されたJavaScriptコードを実行するIEのかわいい機能をまったく知りませんでした。

コードインジェクションはJavaScriptでも実行できることを忘れてはなりません。そのため、写真の一部にコメントを挿入できる写真サイトの1つがこのコメントを選別しなかったため、居心地の良い写真ページから多くの興味深いことができました。。

さらに多くの興味深い事例は、さまざまなポータルに共感するウェブマスターに関連しており、プロフィールへのリンクを挿入できます。LJはニックネームですが、十分に慎重にチェックしないことが多いので、希望する場合は、http：//myseosite.com/のように入力できます？それにより、TICおよびPRがわずかに修正されます。

CSRF クロスサイトリクエスト

カテゴリ：デザイン

この攻撃の目的は、ユーザーが気付かないうちに何らかのアクションを実行することです。

最も簡単な例は、攻撃者のサイトに、アドレスがセクションの削除アドレスと一致する画像があり、このページにアクセスすると、ブラウザが画像のURLを要求し、システムにログインしている場合、このセクションを気付かれずに削除することです。

この問題は、確認メカニズムを導入することで解決されます。特定のページから移動する場合にのみ特定のアクションを実行できます。このページには、一意のタイムコードを使用してリンクが生成されます。その有効性は、アクションが直接実行されるページによって確認されます。

あるプロジェクトでは、ユーザーはしばしばコミュニティから撤退し始めました。問題は、自殺ページにつながる悪意のあるiframeであることが判明しました。

隠しファイルにアクセスする

カテゴリ：デザイン。

攻撃者は、特別な方法でリクエストを作成し、サーバー上の任意のファイルを読み取ることができます。

要求に応じてファイル名の正確さを確認することで解決します。

ダウンロード可能なファイルの実行

カテゴリ：操作

サーバーにアップロードされたファイルを実行できるため、管理者インターフェイスにアクセスできる攻撃者はシステムに完全にアクセスできます。

注意事項（サーバー管理者レベルで実装）：

サーバー上の特定のディレクトリにのみ書き込む権限
このディレクトリのスクリプトを許可しない

起動時に確認する必要があることは別に注意する必要がありますが、すぐにすべての実行を禁止し、それをnginxに渡すことをお勧めします。

悪意のあるコードも画像に挿入される可能性があるため、ダウンロードするときは、ファイルの本質と名前の両方に注意する必要があります。

ところで、悪意のあるコードが.htaccessに挿入される可能性があります。phpファイルを接続できるマジックディレクティブphp_value auto_prepend_fileがあります。

コード開示

カテゴリ：操作/デザイン

ソースコードだけでなく、サービスおよび開発スクリプトへのアクセスにより、攻撃者はハッキングに関する追加情報を得ることができます。

パブリックドメイン内のデバッグ、システム、および開発スクリプトの場所
オープンアクセスでのサービススクリプトの場所：特定の周期で（クラウンで）実行されるプログラムは、外部から起動できます。これにより、サイトを無効にする大きな負荷を作成することができます。
ソースコードを表示できます。この脆弱性は、バージョン管理システムの不適切な構成が原因である可能性があります。

数ヶ月前、パパsvnのおかげで、好奇心some盛な仲間がRunetの主要なサイトについて多くのことを学びました。

ディスクがいっぱいです

カテゴリ：デザイン

入力データの検証が不十分であるか、キャッシュが誤って編成されているため、攻撃者は不要な情報でデータベースまたはディスクを詰まらせる可能性があり、作業が遅くなり、システムが動作しなくなる可能性があります。

役に立たない要求—この方法はDDOS攻撃の頻繁なケースであり、攻撃者はサイトに（彼またはXSSを使用して）フィードバック/投票フォームを送信するコードを配置します。この攻撃の結果、サイトデータベースまたはハードドライブはデータでいっぱいになります（とりわけ、調査の信頼性を平準化し、サポートサービスを混乱させます）。タグまたは深刻な場合はキャプチャを含めることで解決します（リクエストが頻繁に送信される場合は自動的にオンにできます）。
キャッシュの過成長。複雑なサンプルの結果は通常キャッシュされます（リソースを節約するためにディスクまたはメモリに保存されます）が、キャッシュは入力要求に基づいて形成されますが、入力データの検証が不十分な場合は、追加のパラメーターを入力して同様のキャッシュを作成できます。これは、一方ではディスクとメモリを詰まらせ、他方ではキャッシュのプラス効果を排除します（つまり、DOSの特殊なケースと見なすことができます）

キャッシュまたはキャッシュを要求する前に、より厳密なデータ検証によって解決されます。

クエリ文字列でキャッシュを特定したい場合は、いくつかの愚かなパラメーターを提供することで、誰かが非常に悪く、キャッシュを台無しにすることができ、その間にそれを放棄するという事実に備えてください。

特殊なケースは、前述の「001」と「1」が同じ数字ですが異なる行であるため、全体に対して不十分な縮小です。したがって、/ \ d + / regexpはまあまあですが、/ ^ [1-9] \ d * $ /-良い、適切な正規表現。

さらに、何かを読み始めるときは、それを読むことができることを確認する必要があります。mail.ru会社は、ウイルスのアーカイブをチェックし始めると、どういうわけかこの問題に遭遇しました。数テラバイトのつま先（これは自転車かもしれませんが、反省の理由があります）。

そして、Vkontakteサイトは何らかの形でトリックをプレイすることを決定し、サイト上で主要なRunet賞を持つページに目に見えないiframeを作成しました。これにより賞は少し愚かになりました。実際、この素晴らしい行為はDDOSに近いですが、言及に値します。

擬似暗号

多くの人は、乱数とmd5ハッシュは暗号であると考えています。実際、これはそうではありません。md5は長い間侵害されてきました。セキュリティの目的で、md5は使用しない方が良いでしょう。

ランダムシーケンスについては、完全にランダムではないことがよくあります。これは、たとえば、支払いカードなどに使用できないことを自動的に意味します。

特に、疑似ランダムはMS SQLサーバーによって生成されたGUIDであり、これについてはRSDNで詳細に説明します。

興味深いのは、独自の暗号化システムの発明の事例であり、これに続く広範な慣行は、何かを暗号化することであり、（公開鍵で何かに署名するオプションとして）遠くまで解読することもありません

サーバー構成

カテゴリ：操作

重要な問題は、正しいサーバー構成と定期的なソフトウェア更新です。新しいエラーや脆弱性が常に検出されるため、管理者は脆弱性メッセージ（bagtraq）とソフトウェアの更新（webサーバー、データベースサーバーなど）を監視する必要があります。

自分のサーバーが7つのロックの後ろに立つほど嘔吐した1つの組織に出くわすと、サイトを更新するために、CDのアーカイブでそこに行かなければなりませんでした。同時に、彼らが持っていたすべてのソフトウェアは4年前に提供され、それ以降は更新されていません。なぜなら、それは怖くて怠け者だからです。

DDOS

カテゴリ：操作/デザイン

攻撃を防ぐという点で最も難しいものの1つ。一番下の行は、サーバーへの要求のフラッド（フラッド）があり、これがリソースがわずかに不足し、サーバーが負荷に対処できない理由です。

原則として、DOS攻撃は分散され、ボットネット（ウイルスに感染したコンピューターからのネットワーク）を使用して実行されます。

攻撃は特別なプログラムによって実行され、必要に応じて特定のタスク、つまり攻撃者を保護するためのトリックのほとんどは、必要に応じてバイパスできます。

DDOS攻撃は販売対象です。ボットネットの所有者に支払うことができる人はだれでも攻撃者になることができます

ボットネットのレンタルコストはかなり漠然としており、以前は数千米ドルと推定されていましたが、価格は急落し、攻撃1日あたり100〜150ドルの提案があります（これは前払い金を意味しますが、このような道徳的なビジネスではチャンスはお金を使うだけであるため、非常に高い）.DDOS攻撃は無礼の程度によって分けられます：

チャネルのオーバーフロー-要求の数が非常に多いため、ネットワーク接続リソースが使い果たされています。

ソリューション：
- より広いチャネルを購入する（10GBpsで十分）ことに加えて、バックアップチャネルが必要です。
- サーバーリソースは、ハードウェアソリューションを使用してポートでフィルタリングすることにより直接保護されます。
SYNフラッド。

ポイントは、サーバーが特別なTCPパケットにSYNフラグとSYN + ACKパケットで応答し、応答を待つことです。 DOSの場合、サーバーが待機中のビジーの間、応答は受信されません。

この場合、「SYS-reflection」攻撃は、SYNパケットが偽のIPアドレスを持つ3番目のサーバーに送信されるときにも使用できます。これは本質を変更しませんが、SYN / ACKパケットは数分で到着します。 IPによって。

ソリューション：
- SYN-COOKIEの使用
- アプリケーションサーバーを「気を散らす」ことなくそのような要求を処理する高速（好ましくはハードウェア）フロントエンドをインストールする
- 応答時間の制限と同時接続数の増加（合理的な制限内）
- 問題のあるIPアドレスの禁止の計算。
HTTPフラッド。

この場合、アプリケーションサービスが主な負荷を負担するため、大きな負荷がかかります。

ソリューション：
- 「ボット」からの実際のユーザーの分離：cookieの設定、javascriptまたはflashを使用したフラグの設定、captcha。後者はユーザーにとってあまり快適ではありませんが、GoogleやYandexでもこれを軽視していません。
  
  独自のトリックを使用して、次のことを考慮する必要があります。
  
  a）DOSロボットに加えて、検索エンジンのスパイダーがサイトに入ります。これは遮断する必要はありません
  
  b）保護手段をバイパスするようにボットをプログラムできます（Cookieは最も単純なものから保護し、最も複雑なものはJavaScriptを実行できます）。これらのソリューションは、攻撃のコストを増やすように設計されています
  
  c）保護装置からの負荷は、ロボットがそれを克服した場合よりも小さくなければなりません（まず、キャプチャの最適化が意図されています）
- トラフィックの異常を追跡するための専用のソフトウェアとハードウェア
- トラフィッククリーニングサービス—有害なリクエストを除外するサードパーティのリソース（ http://ddef.ru/defence/、http://highloadlab.ru/services/service_8.html ）。それらのいくつか（highloadlab）は無料です。
  
  これらのサービスはすべて、保護されたサイトの評判を厳密に監視し、プロジェクトが疑わしい場合は拒否する可能性があることに注意してください。

DDOSについては多くのことが書かれていますが、大部分は悲しいです-ボットはよりスマートになり、それらはますます増え、ゴンドールは生き残れなくなります。実際、真面目なアプローチで、彼はそれほど怖くはありません（lib.rus.ecはノンストップで、少なくともヘナで止められています）、しかし、あなたは常に最悪の事態に備え、スプラッシュページを作成する必要があります。血に浸り、YouTubeで新しいサービスに関するビデオをご覧ください。」

サイトセキュリティの歌詞