Πανελλήνιο Σχολικό Δίκτυο Το Δίκτυο στην Υπηρεσία της Εκπαίδευσης

  • Μεγαλύτερο μέγεθος γραμματοσειράς
  • Προκαθορισμένο μέγεθος γραμματοσειράς
  • Μικρότερο μέγεθος γραμματοσειράς

Θέματα ασφαλείας δικτυακών τόπων

Η ενότητα αυτή αφορά στα προβλήματα ασφαλείας τα οποία προκύπτουν από την απρόσεκτη χρήση εφαρμογών (κυρίως διαχείρισης ιστοσελίδων), οι οποίες έχουν υλοποιηθεί με τη γλώσσα php.  Παραδείγματα τέτοιων εφαρμογών είναι ενδεικτικά οι Mambo, PostNuke, PHPNuke, Joomla, WordPress και phpBB.

Οι εφαρμογές αυτές γίνονται συχνά στόχος επίθεσης από κακόβουλους χρήστες, με αποτέλεσμα την μή εξουσιοδοτημένη πρόσβαση και αλλοίωση του περιεχόμενου του ιστοχώρου που εξυπηρετούν. Τα προβλήματα ασφαλείας συνήθως οφείλονται σε κομμάτια κώδικα που κάνουν κακή χρήση της γλώσσας προγραμ-ματισμού PHP  (π.χ. components ή plugins) και όχι σ? αυτή καθ? αυτή τη γλώσσα. Πρόσφατο κενό ασφαλείας εντοπίστηκε στο component oziogallery2 του Joomla.

Όταν ανακαλύπτονται κενά ασφαλείας σε κάποια δικτυακή εφαρμογή, αυτά συνήθως ανακοινώνονται στην επίσημη ιστοσελίδα της ομάδας που την αναπτύσσει αλλά ταυτόχρονα και σε ιστοσελίδες ειδικευμένων ομάδων ασφαλείας όπως για παράδειγμα οι http://nvd.nist.gov και http://www.frsirt.com.

Κατά κανόνα, όταν παραβιάζεται η ασφάλεια κάποιας εφαρμογής php οι επιτιθέμενοι εκμεταλλεύονται ευπάθειες του λογισμικού, οι οποίες είναι γνωστές και έχουν αντιμετωπισθεί από τους παρόχους του λογισμικού. Οι διαχειριστές όμως έχουν αμελήσει να ενημερώσουν το λογισμικό τους, με αποτέλεσμα να παραμένουν ευάλωτοι.

Προτεινόμενα βήματα για την πρόληψη παραβίασης της ασφάλειας των web εφαρμογών που χρησιμοποιούμε είναι:

  • Όταν επιλέγουμε την web εφαρμογή που θα χρησιμοποιήσουμε, να λαμβάνουμε υπόψη την υποστήριξη που αυτή παρέχει σε θέματα ασφάλειας (έγκαιρη αντιμετώπιση προβλημάτων ασφάλειας, ευκολία εγκατάστασης των σχετικών διορθώσεων).
  • Να παρακολουθούμε ηλεκτρονικές ομάδες συζητήσεων (forum) που ασχολούνται με την ασφάλεια τουλάχιστον για το λογισμικό που χρησιμοποιούμε, ώστε να ενημερωνόμαστε έγκαιρα όταν υπάρχουν νέες εκδόσεις που αντιμετωπίζουν ανακοινωμένες ευπάθειες.
  • Πριν την εγκατάσταση πρόσθετων προγραμμάτων (components, plugins) να κάνουμε έλεγχο για τυχόν κενά ασφαλείας.
  • Να φροντίζουμε για την ενημέρωση του λογισμικού μας και των επιμέρους προγραμμάτων που χρησιμοποιεί, όπως components/plugins αμέσως μόλις δημοσιοποιηθεί τρόπος αντιμετώπισης κάποιας ευπάθειας (ενημέρωση ασφαλείας).
  • Να μην αποκαλύπτουμε δημόσια τις ακριβείς εκδόσεις των εφαρμογών που  χρησιμοποιούμε, γιατί έτσι διευκολύνουμε την αναζήτηση των ευπαθών συστημάτων με χρήση μηχανών αναζήτησης από κακόβουλους χρήστες.
  • Να ενεργοποιούμε μόνο τα χαρακτηριστικά που είναι απολύτως απαραίτητα στις εφαρμογές αυτές, π.χ. αν είναι δυνατό να αποφεύγουμε την ενεργοποίηση των ομάδων συζητήσεων (for a - phpBB) στα CMS, γιατί συχνά αποτελούν στόχο επίθεσης.


Χρήσιμοι σύνδεσμοι :

  1. http://news.netcraft.com/archives/2006/01/31/php_apps_a_growing_target_for_hackers.htm
  2. http://nvd.nist.gov/nvd.cfm
  3. http://www.frsirt.com/english

Εκφράζουμε τα  συγχαρητήρια μας για τους εξαιρετικούς δικτυακούς τόπους που αναπτύσσετε,  από άποψη τεχνολογιών, και περιεχόμενου..


 

Υποστήριξη

Πως μπορώ να...
Οδηγίες
Συχνά Ερωτήματα
Ασφάλεια & Προστασία
 
 

Η IP διεύθυνσή σας είναι: 54.90.237.148