PERES, Paulo Júnior de Jesus [1]
PINTO, Aurílio Guimarães [2]
FREITAS, Caio Guimarães [3]
LEITE, Francisco Canindé da Silva [4]
SILVA, Francisco Eronildo da [5]
OLIVEIRA, Geveson de Souza [6]
RIBEIRO, Dallas dos Santos [7]
ALMEIDA, Cristiany Caliri de [8]
MORAIS, Gilvanete Melo de [9]
PERES, Paulo Júnior de Jesus; et.al. Здание включено безопасности веб-приложений. Междисциплинарный основной научный журнал знаний. 07 издание. том 03 02 года. PP 44-51, октябрь 2017. ISSN: 0959-2448
Резюме
С ростом Интернета, и ваши увеличения использования в качестве средства для предоставления услуг и коммуникаций необходимых разработчикам веб-систем имеют столько же внимания безопасности практики в разработке систем. Это факт, что создание безопасного веб-приложения является очень сложной задачей в сегодняшний день, потому что для системы, чтобы считаться безопасным, зависит исключительно от кода, разработанного самим разработчиком, но также сервер приложений, сервер базы данных, сети коммуникации и многие другие вещи, которые находятся вне досягаемости разработчик системы. В этом свете цель этой статьи должна быть ссылка относительно основных уровней используемых хакерами код уязвимости веб-систем и возможных путей предотвращения атак. Понятия, используемые в этой статье может использоваться в любом языке программирования, потому что теории являются универсальными, однако для иллюстрации коды написаны на языке программирования, как он в настоящее время является одним из языков программирования более PHP распространение среди сообщества. В этом смысле эта статья приходит внести свой вклад в сообщество, будучи быстро база исследования по предупреждению нападения на системы.
1. Введение
В текущем контексте он является общим для компаний, государственных органов и учреждений искать ловкость в распространении информации для клиентов и сотрудников, agilizing процесс принятия решений в этой среде. Однако чтобы эту стратегию работы, важно, что есть безопасность обработки и отображения информации о деятельности предприятия.
В этом смысле Интернет приходит как средства для облегчения и обеспечения такого распределения данных и информационной деятельности. Эта возможность, виртуальной торговли или электронной коммерции. По словам Тейшейра:
В Бразилии в настоящее время, 45,6% от вашего населения имеет доступ к Интернету (около 90 миллионов человек). Если мы сделаем сравнение между 2012 и годами 2000, мы видели значительный рост, около 1500%, количество пользователей Интернета в Бразилии (2015, Тейшейра, стр. 19).
Электронная торговля или электронной коммерции, согласно Сальвадор (2013) может быть определена как коммерческие операции, сделанные в виртуальной среде, с помощью электронных средств, то есть, возможность купить какой-либо элемент в километрах, не выходя из дома или офиса, с помощью смартфона, компьютер или другое устройство. Где удобство, простота доступа и, главным образом, потребители цены привлекают к электронной коммерции.
Однако это необходимо, что разработчики обращать внимание информационной безопасности при разработке приложений для Интернета, потому что информация доступна для всех типов пользователей. По словам Агилар соответствует концепции информационной безопасности:
Информационная безопасность относится к существующим защиты информации конкретной компании или лица, то есть, применять корпоративной информации о людях. Информация означает любой контент или данные, имеющие значение для любой организации или лица. Он может храниться для использования ограничены или подвергаться общественности для консультаций или приобретения. (АХМАД, 2008).
По словам Феррейра (2017), в этой вселенной возможности, которые Интернет стал, злонамеренные пользователи имеют возможность хищения конфиденциальной информации, как банковские пароли:, конфиденциальной информации, среди прочих возможностей.
Цель этой статьи показывают некоторые методы, используемые чтобы предотвратить себя от кражи информации или вторжения систем и мер для обеспечения разработчиков систем, которые работают через Интернет (WEB разработка) развивать безопасные системы, снижение уязвимости к атак различных уровней.
2. XSS (КРЕСТ СКРИПТИНГ)
Второй поток (2017), XSS возникает, когда веб приложение выполнять вредоносные данные, отправленные пользователем. В целом нарушителя будет воспользоваться отсутствием злобу человека, который разработал веб-приложения для вставки вредоносного кода, который будет обманывать приложения или для сбора ограничен информационной системы.
Пример этой уязвимости находится в методе передачи Get типа переменных (переменных, переданных в URL-адрес сайта) такие как: http://www.igreja.com.br/mostar.php?site=sexo.php.
Это может создавать реальная неприятность на сайт потому что злонамеренный пользователь может пройти любой адрес веб-сайта выше, что вы могли бы сделать, например, что эта страница будет работать как порнографический сайт.
Согласно Flux (2017) чтобы избежать, что приложение быть уязвимыми для такого рода атак могут быть предприняты шаги, как:
- С помощью переменных типа для конфиденциальных данных противопоказан, так как она подрывает безопасность системы;
- Использование фильтров в захвате данных пользователя для данного блока любого рода вредоносного кода или URL-адрес вводится внешними пользователями. Эти фильтры могут быть реализованы путем программист или возможности сервера приложений.
3. SQL-ИНЪЕКЦИИ
Согласно Мюллер (2013) атаки посредством SQL-инъекции инъекции кода SQL в переменные, передаваемые веб-форм и призван выполнить произвольный код SQL в веб-приложении.
Это очень распространенным и опасным атака, примером является следующий сценарий под названием «remover.php», транскрипция код следующим:
<? php
$sql = «удалить из клиентов где код =». $ _GE[‘codigo’]T;
mysql_query ($sql) или умереть (mysql_error ());
?>
Анализируя выше сценарий, ниже приводится пример того, как злонамеренный пользователь может выполнить SQL инъекций нападение через URL-адрес: http://seusite.com.br/remover.php?codigo=666+OR+1. Таким образом, используя это заявление результатом будет удаление всех записей из клиентов сущности.
Согласно онлайн руководство по PHP самый безопасный путь, управляя тип переменных, которые поступают по полям форм, таким образом, в виде предупреждения, ниже приведен пример кода:
<? php
settype ($offset, «целое»);
$query = «выберите идентификатор, имя от продуктов ORDER BY имя предел 20 смещение $offset;»;
Пожалуйста, обратите внимание на %d в строке формата, используя %s, было бы бесполезно
$query = sprintf («выберите id, имя из продуктов ORDER BY имя смещение предел 20% d;»
$offset);
?>
В приведенном выше коде функция «settype» имеет функцию для проверки, если получил действительно переменная целого типа, предотвращения вредоносного кода, что фрагменты включаются в переменной.
4. Регулярное выражение Denial of Service (секреты будут доводиться)
Автор Focke (2017) описывает регулярные выражения (REGEX) как метод для использования функций языка программирования используются для лечения информации от пользователя. Эти функции пытаются кодировать значения переменных, так что они не могут повредить или обойти систему.
Ниже в примере на языке программирования ASP:
<%
Dim переменной
Переменная = север. htmlEncoder (запрос («var»))
%>
Ниже приводится еще один пример, используя язык программирования PHP:
<? php
Если (! ereg («^ [0-9,a-z,A-Z](+)[.,_,-] ([0-9,a-z,A-Z]() +)[@] [0-9,a-z,A-Z]* (+[.,_,-]) [0-9,a-z,A-Z](() +[.])[a-z,A-Z] * () {2,[0-9,a-z,A-Z]3} —? $», $ _ POS («переменная»)) {}
Эхо «недопустимые символы в поле email!»;
}
?>
По словам Маттос (2013) чтобы предотвратить этот тип атаки, это необходимо для разработчика для создания фильтров записи исправить ошибки алгоритмы выполнения стандартов кода REGEX, язык программирования, используемый.
5. ПРИЛОЖЕНИЯ CGI
Во-вторых способствовать (2017) средствам интерфейса (CGI), тип matalinguagem или промежуточного платформо независимые, представленной на веб-серверах, которые позволяют запускать программы/скрипты из URL-адреса. Эти сценарии обычно написаны на Perl, Shell, Tcl, Java, Python или C (наиболее написано на интерпретируемых языках) и расположен в директории/cgi-bin.
CGI-приложений, написанных без ухода может вызвать серьезные проблемы для уязвимостей веб-серверов. Второй Фостер:
CGI программирование отличается от традиционного программирования, в основном, из-за вашей среды и функции вашего шлюза между клиентом и сервером, который заканчивается влияющие на многое в аспекте безопасности (следует помнить, что эти приложения работают в небезопасных условиях и что, Теоретически может быть выполнен любым). (Фостер, 2017)
CGI скрипта в том же веб-сервере UID не обязательно плохой костюм, но если любое приложение CGI имеет дыру в безопасности, позволяющая злоумышленнику запускать программы под UID веб-сервер, это может вызвать серьезную проблему для вашего сайта. (Фостер, 2017).
Второй человек (2017), один способ решения этой проблемы является через «Обертки», то есть программы, которые включают другие связанные программы, чтобы изменить способ они работают. Таким образом, в средах, где пользователям писать независимого приложения CGI, это хорошая стратегия, чтобы изолировать их друг от друга, то есть, механизмы осуществления на вашем сервере, так что доступ пользователя в сценарии будет не вмешиваться с данными других пользователей. suexec (http://www2.idiscover.co.uk/apache/docs/suexec.html) решает эту проблему (есть другие инструменты, которые также рассматривают эту проблему) вызывает запуск CGI под UID пользователя, сам, то есть, владелец приложения CGI приложений.
6. ТИП ДАННЫХ
Согласно онлайн руководство по PHP что уход всегда должны приниматься является, что некоторые языки программирования используют глобальных переменных, удовлетворяющие любой тип данных. Это неправильное использование, потому что он вызывает значительный уровень уязвимости в системе.
Человек (2017) описывает некоторые примеры пересечения переменные в языке программирования PHP:
<? php
$cod = $ _GET / [‘cod’]/ получить tipo
$cod = $ _ пост / [‘cod’]/ Запостить tipo
$cod = $ _ сессии[‘cod’] / / сессия tipo
$cod = $ _ COOKI[‘cod’]E / / tipo куки
?>
7. ЗАПИСЬ ФАЙЛОВ ЧЕРЕЗ ЗАГРУЗКУ
Всякий раз, когда вы пишете в файл через загрузку разработчик должен быть уверен в тип файла, запись на диск. Например файл изображения можно просто лечить с помощью проверки типов файлов. Это потому, что пользователи-злоумышленники могут отправлять файлы, которые каким-то образом влияет на сервер или приложение (лицо, 2017).
Согласно онлайн руководство по PHP следует пример проверки с использованием языка программирования PHP:
<? php
Функция type_up)
{
проверяет, если mime тип файла изображения
Если (! eregi («^ изображение / (pjpeg | jpeg png gif bmp || |) $», $this-> файл[“type”]а)) {}
Возвращает 0;
} else {}
возвращение 1;
}
}
?>
8. ФОРМЫ СТРАХОВАНИЯ С SYNCHONIZER МАРКЕРОВ
Согласно Bragil (2017) sincronizadora вилка — это метод, который использует переменной, созданной в начале сессии, с начальным значением, заданным разработчиком, с тем чтобы обеспечить, что форма была фактически создана серверным приложением.
Согласно Бразилии (2017), на сайт с проверкой подлинности вы можете начать чип значение во время входа в систему, затем убедитесь, что пользователь является допустимым:
Пример в PHP:
<??>
session_start ();
…
Инициализирует sincronizadora вилка с случайное значение
$ _SESSION[“synctoken”] = uniqid (время ());
….
?>
Теперь плагин sincronizadora записан в сессии, мы можно проиллюстрировать как для создания формы защищены ее:
<form name="frmteste" method="post" action="cadastro.php"></form>
…
<!– coloca todos os campos do formulário –>
<!– a nossa ficha fica como um campo hidden –>
<input type="hidden" name="token" value="<?=$_SESSION[“synctoken”]?>">
…
<div class="nicdark_archive1 nicdark_padding010" style="box-sizing:border-box;"><!–link pagination–></div>
Просмотр исходного кода, обратите внимание, что значение атрибута маркера случайное значение поля, введите «45jfg58955699j96uy8gtj85». Синхронизация происходит при обработке формы. В нашем примере, действие формы — это файл «cadastro.php», когда вы получаете данные формы, будет проверить, является ли значение поля маркера формы так же, как переменная $ _SESSION сессии[“synctoken”]. Если не, он имеет знак, что кто-то пытается сделать то, что не следует, другими словами, он, вероятно, кто-то спас страницу с формой на микро и пытается сделать некоторые «искусство». В этом случае, вы можете предпринять некоторые шаги, как собирать гражданина, отображать предложения запугивания, среди других. Если значение равно, зеленый свет, вы можете продолжить обработки (Bragil, 2017).
Преимущества многочисленны, как это простой и эффективный способ повышения безопасности веб-системы.
Заключение
Веб был разработан без большое беспокойство, или почти нет, безопасно. Основной целью было предоставить более дружественные информационные ресурсы, имеющиеся на момент. С быстрым ростом Интернета и диверсификации вашего использования безопасности стал точкой решающее значение, особенно для веб-как один из основных коммерческих призывов. В этом случае развития без безопасности, потому что решающее влияние на прибыль и на работу компании.
Мы могли бы привести других случаях вторжения или отсутствия безопасности в процессе разработки систем, однако мы лечим только основные моменты безопасного развития.
Наконец эта работа полностью расширяется, и другие авторы могут использовать эту статью как ссылку расширить количество атак и обороны использоваться команды разработки программного обеспечения.
Ссылки
Ахмад, Hong Кео. Информационная безопасность (ИТ). Доступна на:< http://www.administradores.com.br/informe-se/artigos/seguranca-da-informacao-ti/23933/=""> </> доступ на 25 октября 2017.
Bragil, Роджер. Формы безопаснее с synchonizer маркером. Доступна на: < http://phpbrasil.com/artigo/z61mreuozqth/formularios-mais-seguros-com-synchonizer-token-ficha-sincronizadora=""> доступ на: 25 октября 2017.
Феррейра, Родриго. «Веб-приложений безопасности». 1-е изд. Сан-Паулу: Дом кода. 2017. 156 p.
Флюс, Питер. XSS. < http://phpbrasil.com/articles/article.php/id/506="">Дата последнего доступа: 20 Окт. 17.
Focke, Эрика. «ИСПОЛЬЗОВАНИЕ РЕГУЛЯРНЫХ ВЫРАЖЕНИЙ ДЛЯ ПРОВЕРКИ ДЛЯ ПОЛЯ ФОРМЫ». < http://phpbrasil.com/articles/article.php/id/520="">Дата последнего доступа: 20 Окт. 17.
Фостер, Энтони. «Безопасность в CGI скриптах». < https://memoria.rnp.br/newsgen/9803/scripts.html="">. Доступ на: 25 октября 2017.
Мюллер, Иоанн Павел. «Безопасность для веб-разработчиков». 1-е изд. Сан-Паулу: Новые Tec. 2013. 416 p.
Сальвадор, Маурисио. «E-commerce Manager. 1° Эд. Сан-Паулу. Издатель: Школа электронной коммерции, 2013.
Тейшейра, Тарчизио. Электронная коммерция: как регулирование Интернет и гражданских ориентир для электронной коммерции в Бразилии. Сан-Паулу: Сарайва, к 2015 году.
Лица, Марсио. «Безопасность в PHP». 1 ред. Сан-Паулу: Новый Tec 2007. 152p.
«МЕЖСАЙТОВЫЙ скриптинг (XSS)». Доступна на: <http: br.ccm.net/contents/19-cross-site-scripting-xss="">доступ: 20 Окт</http:> из 17
«Онлайн руководство по PHP». Доступна на: <https: secure.php.net/manual/pt_br/security.database.sql-injection.php="">доступ: 20 Окт</https:> 17.
[1] Окончил в области компьютерных наук, он действует как общественных сервер на SUFRAMA, что административные аналитик-вы. Специалист по базам данных для УЛБРА.
[2] Окончил в области компьютерных наук, он действует как общественных сервер на SUFRAMA, что административные аналитик-вы.
[3] Окончил в области компьютерных наук, он действует как общественных сервер на SUFRAMA, что административные аналитик-вы.
[4] Окончил в области компьютерных наук, он действует как общественных сервер на SUFRAMA, что административные аналитик-вы.
[5] Окончил в области компьютерных наук, он действует как общественных сервер на SUFRAMA, что административные аналитик-вы.
[6] Окончил в области компьютерных наук, действует как сервер SUFRAMA, как административные аналитик-вы.
[7] Окончил в области компьютерных наук, действует как сервер SUFRAMA, как административные аналитик-вы.
[8] Окончил в области делового администрирования, выступает в качестве государственного служащего на SUFRAMA, как администратор.
[9] Окончил в экономике, выступает в качестве государственного служащего на SUFRAMA, как экономист.
