Академический Документы
Профессиональный Документы
Культура Документы
КЫРГЫЗСКОЙ РЕСПУБЛИКИ
КЫРГЫЗСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ
УНИВЕРСИТЕТ им. И.Раззакова
ОТЧЕТ
По Лабораторной работе №2
Дисциплина: Проектирование и обеспечение безопасности ПО 2
Бишкек 2023
Цель лабораторной работы:
Целью лабораторной работы является изучение уязвимостей Command Execution и
Clickjacking и методов их предотвращения.
Рисунок 1
Рисунок 2
Однако в этой атаке атакующий замечает, что доменное имя передается в GET-запросе как
параметр domain. Злоумышленник решает добавить команду, например, ;echo Haxxed к
доменному имени
Рисунок 3
Рисунок 4
Рисунок 5
Далее, хакер добавляет прозрачное изображение (TIF) поверх встроенного фрейма с более
высоким Z-индексом и оборачивает фрейм в тег ссылки (<a>).
Теперь пользователь, желающий посмотреть ваше видео, может быть обманут и
вынужден выполнить любое действие, которое может быть направлено на атаку вашего
намерения, включая потенциально вредные действия, такие как скачивание вредоносного
программного обеспечения или переход на мошеннические веб-сайты. Нажимая на
кнопку открытия видео мы переходим на сайт злоумышленника.
Риски клик-джекинга:
Вероятность: Инциденты случаются время от времени.
Возможность использования: Очень просто эксплуатировать.
Воздействие: Потенциально вредное.
Каким образом настойчивый хакер может использовать атаку клик-джекинга:
Наш пример иллюстрирует, как пользователь может быть обманут, чтобы
непроизвольно поставить "лайк" на Facebook. Однако атаки клик-джекинга
могут быть использованы для более серьезных целей, таких как:
Получение учетных данных пользователя для входа, путем отображения
поддельного окна входа поверх настоящего.
Обман пользователей для активации веб-камеры или микрофона, путем
скрытого отображения элементов поверх страницы настроек Adobe Flash.
Распространение червей и вирусов в социальных сетях, таких как Twitter и
MySpace.
Схемы онлайн-мошенничества, где пользователи могут быть обмануты,
чтобы непроизвольно нажимать на ссылки и выполнять нежелательные
действия.
Распространение вредоносных программ, перенаправляя пользователей на
вредные ссылки для загрузки.
Меры защиты от клик-джекинга: Атаки с использованием клик-джекинга
заключаются в том, что ваш сайт встраивается в iframe на сайте
злоумышленника, а затем невидимые элементы отображаются поверх
фрейма. Для обеспечения защиты от клик-джекинга необходимо
гарантировать, что ваш сайт не может быть встроен в iframe на вредном
сайте. Это можно достичь, передав специальные инструкции браузеру через
HTTP-заголовки или с использованием клиентского JavaScript, особенно в
старых браузерах (так называемое "фрейм-убийство").
Политика безопасности содержания (Content Security Policy): HTTP-
заголовок Content-Security-Policy (CSP) является частью стандарта HTML5 и
предоставляет более мощные возможности для обеспечения безопасности
веб-сайта, чем устаревший заголовок X-Frame-Options. CSP позволяет
владельцам веб-сайтов контролировать, откуда могут быть загружены
ресурсы, такие как скрипты, стили и шрифты, а также определять, какие
домены могут встраивать страницу.
Чтобы ограничить, где ваш сайт может быть встроен, вы можете
использовать директиву frame-ancestors:
Content-Security-Policy: frame-ancestors 'none': Это означает, что ваш сайт не
может быть встроен во фрейм ни на одном сайте, независимо от попыток
других сайтов.
Content-Security-Policy: frame-ancestors 'self': Страницу можно отображать во
фрейме только на том же источнике, откуда она была загружена.
Content-Security-Policy: frame-ancestors uri: Страницу можно отображать во
фрейме только на указанных источниках.
X-Frame-Options: Заголовок HTTP X-Frame-Options представляет собой
старый стандарт, который регулирует, разрешено ли браузеру отображать
страницу внутри фрейма, iframe или объекта. Он изначально создавался для
предотвращения клик-джекинга, но теперь устарел и был заменен более
мощной политикой безопасности содержания (CSP).
Существуют три значения для этого заголовка:
DENY: Страницу нельзя отображать во фрейме, независимо от источника,
пытающегося это сделать.
SAMEORIGIN: Страницу можно отображать во фрейме только на том же
источнике, откуда она была загружена.
ALLOW-FROM uri: Страницу можно отображать во фрейме только на
указанных источниках.
Фрейм-убийство (Frame-Killing): В старых браузерах распространенным
методом защиты от клик-джекинга было внедрение небольшого JavaScript-
кода на страницу для предотвращения ее встраивания во внешние iframe.
Этот метод предотвращал попытки вредоносного встраивания страницы и
защищал пользователей от нежелательных действий.
Заключение :
Проведенные практические эксперименты и моделирование атак позволили
лучше понять уязвимости и их последствия, а также оценить эффективность
методов защиты. Тем не менее, важно отметить, что безопасность веб-
приложений - это непрерывный процесс, и важно постоянно обновлять
методы защиты и проводить регулярные проверки на наличие
уязвимостей.Таким образом, безопасность веб-приложений - это важный
аспект в разработке и эксплуатации веб-сервисов, и понимание уязвимостей
и методов их защиты является неотъемлемой частью обеспечения
безопасности как для веб-разработчиков, так и для конечных пользователей.