CC BY
1УДК 004
Сэвдiбекова Н.^.
магистрант
Л.Н. Гумилев атындагы Еуразия ^лттык; университетi КеАК
(Астана, Казахстан)
ВЕБ-КАУ1ПС1ЗД1КТ1 КУШЕЙТУ: КЕЦ ТАРАЛГАН
CLIENT-SIDE ОСАЛДЬЩТАРЫНАН ^ОРГАНУ ЭД1СТЕР1
Аннотация: Цифрлыц ЖYйелер мен веб-цолданбалар ку.ндел1кт1 вм1рде жэне бизнесте шешушг рвл атцаратын цаз1рг1 замангы ацпараттыц технологиялар элемтде бул ЖYйелердiц цау1пс1зд1г1н цамтамасыз ету мацызды мтдетке айналды. Квптеген пайдаланушылар цупия деректердi вцдейтт веб-цолданбалармен взара эрекеттеседi жэне осы тургыда веб-цолданбаныц клиенттт бвлтнщ цаутЫздтн цамтамасыз ету взектi мтдет болып табылады. КYрделi киберцауттердщ таралуы жагдайында сайтаралыц скриптинг (XSS), жалган сайтаралыц сураныстарды цолдан жасау (CSRF) веб-цолданбаларга айтарлыцтай цаут твндiредi, бул Client-Side осалдыцтары цупия ацпараттыц тарап кетуi, пайдаланушы тiркелгiлерiн бузу жэне уйымдардыц беделiне нуцсан келтiру сияцты ауыр зардаптарга экелуi мYмкiн. Бул мацаланыц мацсаты цазiргi замангы веб-цолданбалардагы цаутЫздттщ мацызды цатерлерiне, клиенттт осалдыцтарды пайдалану мYмкiндiгiне, сондай-ац веб-цолданбалардагы клиенттт шабуылдардыц алдын алу Yшiн аныцтау жэне цоргау механизмдерiне цатысты эдебиеттерге жан-жацты шолу жасау болып табылады.
Ключевые слова: XSS, веб-цолданба цаутЫздт, CSRF.
Юркпе.
Веб-к;олданбалар кYнделiктi eMip мен юкерлш ортанын, ажырамас белтне айналган ;аз1рп замангы акраратты; технологиялар элемшде олардьщ каушшздтн камтамасыз ету, жеке деректерд^ каржылы; акраратты коргау, б^л тургыда веб-;олданбаныц клиенттш белтнщ каушшздтн камтамасыз ету езекл мэселе болып табылады, себебi XSS (сайтаралы; скриптинг), CSRF
2046
(жалган сайтаралык с^раныстарды колдан жасау) сиякты ец кеп таралган осалдыктар тYрлерi к^пия деректердiц б^зылуы, клиенттiк белiкте зиянды кодтыц орындалуы, пайдаланушы сеанстарыныц ^рлануы, беделге жэне каржылык шыгындарга зиян келпру секiлдi ауыр зардаптарга экелуi мYмкiн.
CWE ТОР-25 соцгы бес басылымында багдарламалык жасактаманыц ец каушт 25 осалдыгы (2019-2023) тiзiмiнде теракты тYPде 15 осалдыктар болды. Б^л осалдыктар акпараттык кауiпсiздiктi камтамасыз ету когамдастыгыныц белсендi ж^мысы, б^рыннан хабардар болуына карамастан багдарламалык жасактама каушшздт Yшiн мацызды жэне езектi болып кала беретiндiгiн керсетедi. Деректердi зерттеу сонымен катар Cross-Site Scripting (XSS) жэне CSRF (жалган сайтаралык с^раныстарды колдан жасау) сиякты колданбалардыц клиентлк белiгiне катысты осалдыктар тiзiмде сэйкесшше екiншi жэне тогызыншы орындарды иеленгенш аныктады.
Негiзгi бвлiм.
Сайтаралык скриптинг. Сайтаралык скриптинг (XSS) - б^л шабуылдаушыга баска пайдаланушылар шолып карайтын веб-бетке зиянды кодты енгiзуге мYмкiндiк беретiн кауiпсiздiк осалдыгыныц тYрi. Б^л колданба пайдаланушы енгiзген деректердi д^рыс тексермеген кезде орын алады. 1-суретте XSS шабуылдау процесi керсетшген. (Сурет 1).
2047
Сурет 1. XSS шабуылдау процесь
XSS осалдыктарыныц эр тYрлi формалары бар, оларды Yш негiзгi санатка жiктеуге болады: шагылыскан, сакталган жэне DOM-Fа негiзделген. Кейбiр жалпы сипаттамаларFа карамастан, осы санаттардыц эркайсысында сэйкестендiру жэне пайдалану эдютершде айтарлыктай айырмашылыктар бар.
- Ш^ылыскан XSS. ШаFылыскан XSS зиянды коды пайдаланушы жiберген с^раныска косылFан кезде пайда болады жэне серверден жауап ретшде кайта керсетiледi. Шабуылдыц б^л тYрi эдетте пайдаланушыныц тiркелгi деректерш ^рлау немесе пайдаланушы атынан баска эрекеттердi орындау Yшiн колданылады.
Накты веб-колданбалардаFы барлык аныкталFан XSS осалдыктарыныц шамамен 75%-ы шаFылыскан XSS санатына жатады. Осалдыктыц шаFылыскан XSS деп аталу себебi осалдыкты пайдалану с^ранысты жiберетiн кез-келген пайдаланушыFа шаFылысып кершетш JavaScript кiрiстiрiлген с^ранысты к^руды камтуына байланысты болып табылады. 2-сурет шаFылыскан XSS шабуылдау процесiнiц кадамдарын камтиды. Шабуылдыц жYктемесi 1 с^раныс пен тшсл жауап аркылы жеткiзiледi жэне орындалады. ОсыFан байланысты б^л осалдык кейде бiрiншi реттi XSS деп те аталады.
2048
Сурет 2. ШаFылыск;ан XSS шабуылдау процесi.
- Сакталган XSS. Сакталган XSS зиянды коды серверде сакталган кезде жэне белгiлi бiр веб-беттi карайтын барлык пайдаланушыларга жiберiлген жауапка косылуы аркылы жYредi. М^ндай осалдык бiр пайдаланушы жiберген деректер колданбада, эдетте оньщ iшкi дереккорында сакталган кезде, кешн тиiстi CYЗгiсiз, тексерусiз баска пайдаланушыларга керсетшген кезде пайда болады. Осалдыктардыц б^л тYрлерi экiмшiлерге бiр колданба iшiндегi пайдаланушы деректерiне кол жетюзуге мYмкiндiк беретiн колданбаларда, жэне соцгы пайдаланушылар арасындагы езара эрекеттесудi колдайтын колданбаларда кездеседi. Сакталган XSS шабуылдары эдетте колданбага кемiнде екi с^раныс аркылы орындалады. Алдымен шабуылдаушы колданбада сакталатын зиянды кодты камтитын ецделген деректердi жариялайды. Кейiн ыктимал жэбiрленушi шабуылдаушыныц бакылауындагы акпаратты камтитын веб-бетл карайды, б^л жэбiрленушiнiц браузерiнде скрипт юке косылган кезде зиянды кодты белсендiруге экеледi. 3-суретте Сакталган XSS шабуылыныц кадамдары керсетiлген.
2049
Сурет 3. Ca^T^FaH XSS шабуылдау процесь
DOM-га негiзделген XSS - б^л веб-колданбаныц сервер бeлiгiнде емес, клиенттiк белтнде туындайтын KipicTi тексеру осалдыгын пайдалану. Баскаша айтканда, DOM негiзiндегi XSS б^л cеpвеpдегi cкpипттiц осалдыгы эсершен емес, клиенттiц JavaScript-тегi пайдаланушы ^сынган деpектеpдi д^рыс eцдемеуiнiц нэтижеciнде орын алады. 4-суретте DOM-га негiзделген XSS шабуылдау процесшщ кадамдары кepcетiлген.
XSS осалдыктарынын, баска тYpлеpi сиякты, DOM непзщдеп XSS к^пия акпаратты ^рлау немесе пайдаланушы тipкелгiciн б^зу ушш пайдаланылуы мYмкiн. Дегенмен, осалдыктыц б^л тYpi тек JavaScript-ке жэне Dom к^рылымынан динамикалык тYPде алынган деpектеpдi пайдалануга негiзделедi.
2050
Сурет 4. БОМ^а непзделген XSS шабуылдау процесь С8КР.
Колданудыц карапайымдылыгы жагынан да, кец таралуы жагынан да XSS-тiц куатты бэсекелесi болып табылатын кибершабуылдардыц бiр тYрi -сайтаралык с^раныстарды колдан жасау (CSRF немесе XSRF деп аталады). Шабуылдыц б^л тYрi т^жырымдамалык т^ргыдан карапайым болганымен, веб-колданбалардыц кауiпсiздiгiне айтарлыктай керi эсерiн типзедг Осалдык пайдаланушылардыц сайтка деген сешмш пайдалануга негiзделедi. Б^л шабуыл кезшде шабуылдаушы уэкiлеттi пайдаланушыныц белсендi сессиясын колдана отырып, веб-колданбага жалган НТТР с^раныстарын жiбередi. Сэттi орындалган CSRF шабуылы эртYрлi салдарга экелуi мYмкiн, соныц iшiнде пайдаланушы параметрлерiн езгерту, каржылык операцияларды орындау, деректердi езгерту жэне т.б.
2051
Сайтаралык сураныстарды колдан жасау шабуылдары (CSRF) шабуылдьщ орындалу тэсш, колданылатын осалдыктыц сипаты, баска да эр тYрлi критерийлер бойынша жiктеледi. Зиянды сураныстыц сакталу орнына негiзделген жiктеу камтиды:
1. Сакталган CSRF:
•Сакталган CSRF кeмегiмен шабуыл кезiнде зиянды жуктеме серверде сакталады. Бул эдетте шабуылдаушы веб-колданбаныц дереккорына JavaScript немесе HTML сиякты зиянды кодты енгiзе алган кезде пайда болады.
•Жэбiрленушi-пайдаланушы зиянды кодты юке косатын веб-бетке кiргенде, оныц браузерi аутентификацияга кажет тiркелгi деректерi бар серверге сураныс жiбередi.
•Сураныс пайдаланушыныц аутентификацияга кажет тiркелгi деректерiн камтитындыктан, сервер суранысты зацды сураныс ретшде eцдейдi, осылайша пайдаланушы атынан эрекет жузеге асады.
2. Шагылыскан CSRF:
CSRF шабуылы кезiнде зиянды жуктеме серверде сакталмайды, оныц орнына сштеме немесе URL-адрес формасына косылады.
•Шабуылдаушы эдетте максатты колданбадагы осалдыкты пайдаланатын параметрлердi камтитын зиянды URL немесе форма жасайды.
•Жэбiрленушi-пайдаланушы зиянды сштемеш басканда немесе eзгертiлген форманы жiбергенде, оныц браузерi зиянды жYктемеci жэне параметрлерi бар серверге сураныс жiбередi.
Веб-колданбаныц клиенттiк бeлiгiнде туындауы мYмкiн аталган ыктимал осалдыктарды зерттей отырып, олардыц алдын алу шараларын карастыру барысында тиiмдi корганыс эдicтерi кажет болды.
2052
Кец таракан client-side осалдьщтарынан KopFaHy эдктерь
Тиiмдi корганыс стратегиясы ыктимал шабуылдардыц алдын алуга немесе азайтуга багытталган бiркатар эдiстердi камтиды:
Content Security Policy: Мазмунды коргау саясаты (CSP) XSS шабуылдарынан корганыс механизмi болып табылады. Веб-эзiрлеушiлерге жYктеуге руксат етiлетiн динамикалык ресурстарды керсетуге мYмкiндiк бере отырып, CSP зиянды скрипт енгiзу каутн айтарлыктай темендетедi. CSP мукият жоспарлауды кажет етедi, дурыс орындалса, CSP XSS шабуылдарын тиiмдi турде бейтараптай алады.
•Юрют тексеру жэне тазалау: Сервер жагындагы барлык енгiзу ерiстерiн тексеру жэне тазалау, атап айтканда формалар, URL мекенжайлары, такырыптар, cookie файлдары жэне т.б. тексеру жэне тек кугшетш жэне кауiпсiз деректердiц кабылданганына кез жеткiзу осалдыктар зардаптарын едэуiр темендете алады.
•Кдушшз кодтау эдютерг Кдушшз кодтау эдiстерiн колдану веб-колданбалардагы осалдыктарды азайту Yшiн мацызды. Буган XSS-тiц алдын алу ушш деректердi кодтау, коргалган функциялар мен API^i пайдалану, дурыс аутентификация мен сеансты баскаруды енгiзу жэне каушшздштщ ыктимал осалдыктарын жою Yшiн кодты Yнемi бакылау жэне жадарту сиякты эдiстер кiредi.
•Ютапханалар мен каушшздж фреймворктарын пайдалану: Жалпы осалдыктардан коргауга арналган кауiпсiздiк кiтапханалары мен фреймворктарын пайдалану каушшз колданбаларды эзiрлеудi жещлдетедг Кептеген заманауи веб-эзiрлеу курылымдары юрют тексеру, шыгысты кодтау жэне CSRF коргау сиякты мiндеттердi автоматты тYPде орындайтын кiрiстiрiлген кауiпсiздiк мYмкiндiктерiмен жабдыкталган.
CSRF токендерiн колдану: Эр сеанс немесе форманы жiберу Yшiн бiрегей CSRF токендерiн жасау жэне оларды сураныстарга косу кажет. Сураныстардыц задды кездерден шыкканына кез жеткiзу Yшiн сервер жагындагы осы белгiлердi тексеру кажет болып табылады.
2053
• SameSite cookies: Бул веб-сайттьщ cookie файлдары баска веб-сайттардан келетш сураныстарга кашан косылатынын аныктайтын браузердiц каушшздш механизмi.
^орытынды.
Веб-колданбаныц клиенттiк бeлiгiндегi осалдыктардан коргау эдютерш талдай отырып, тиiмдi стратегияныц негiзгi аспектiсi кешендi тэсш екеш айкындалды. Багдарламалык жасактаманы жацарту жэне кiтапханалар мен кауiпсiздiк фреймворктарын пайдалану сиякты дэстYрлi эдютермен бiрге пайдаланушылардыц бiлiмiне, ыктимал кауiптер туралы хабардарлыкты арттыруга жэне кYнделiктi эрекеттерде сактык шараларын колдануга назар аудару кажет.
Техникалык, уйымдастырушылык жэне окыту компоненттерш камтитын кеп децгейлi корганыс шараларын колдану тэуекелдердi азайтуга жэне жалпы кауiпсiздiк децгейiн арттыруга мYмкiндiк бередг Жаца осалдыктарды аныктау жэне оларга уактылы жауап беру Yшш каушшздш жYЙелерiн Yнемi тексерудiц мацыздылыгын ескеру кажет.
Техникалык, адами жэне уйымдастырушылык салалардагы кYш - жiгердi бiрiктiру аркылы гана веб-колданбаныц клиенттiк белтндеп осалдыктардан корганудыц оцтайлы децгейiне кол жетюзуге жэне акпараттык жYЙелердiц туракты жумысын камтамасыз етуге болады.
2054
СПИСОК ЛИТЕРАТУРЫ:
1. MITRE. Stubborn Weaknesses in the CWE Top 25 [Электронный ресурс]. URL: https://cwe.mitre.org/top25/archive/2023/2023_stubborn_weaknesses.html
2. Stuttard D., Pinto M. The Web Application Hacker's Handbook: Finding and Exploiting Security Flaws // John Wiley & Sons, Inc. 2011. № 2. С. 469-478
3. XSS Attacks: Cross Site Scripting Exploits and Defense / Grossman [и др.]., 2007. № 1.С. 92-110
4. Peter Yaworski. Real-World Bug Hunting: A Field Guide to Web Hacking // No Starch Press. 2019
2055
