Статьи Новости Контакты

23.11.2006
Михаил Брод

XSpider online — за и против

сервис XSpider online

Нет безошибочных решений, нет безошибочных программистов, нет... многого еще нет, а в результате появляются уязвимости, знание которых может уничтожить вашу многолетнюю работу в считаные секунды. Это можно с полным основанием отнести и к веб-ресурсам, созданы ли они на серийных движках или написаны разработчиком самостоятельно. И дело не только в возможных ошибках человека, который разрабатывал ресурс, но и в возможных ошибках того программного обеспечения, которое было использовано для создания ресурса.

Ну а если человек может ошибаться, то необходимы средства, которые могли бы проверять его работу и выявлять проблемы, способные свести на нет вложенные силы и средства. Для проверки веб-ресурсов имеется довольно большое количество так называемых сканеров безопасности. Среди них — решения компании Safety Lab — сканер для Microsoft IIS (Shadow Web Analyzer — SEWE), сетевой сканер (ShadowSecurityScanner — SSS), который проверяет сеть на наличие незащищенных мест и дает подробные разъяснения по способам их устранения, решение компании Positive Technologies — XSpider и другие. Но сегодня речь пойдет об онлайновом сервисе XSpider online.

Сканер XSpider на рынке уже свыше пяти лет
Что представляет собой сканер XSpider? Это инструмент для проверки сети и сбора информации, имеющий инструментарий для максимальной автоматизации процессов. При разработке программы эксперты проектировали такие алгоритмы и механизмы поиска уязвимостей, которые были бы максимально приближены к реальным способам проникновения в сеть. XSpider работает с уязвимостями на разном уровне — от системного до прикладного. В частности, XSpider включает мощный и глубокий анализатор защищенности веб-серверов и веб-приложений. И если до недавнего времени для использования этого продукта необходимо было его приобрести и разместить на своем компьютере или в локальной сети, то в сентябре этого года компания объявила о запуске онлайнового сервиса для проверки сайтов — XSpider online, основанного на использовании последней версии программы.

С помощью этого сервиса можно выполнять проверку защищенности веб-приложений и веб-серверов аналогично тому, как такая проверка выполняется с помощью локально установленной программы. Безусловно, есть и ограничения. Например, невозможно проверить ресурсы, находящиеся в локальной сети и не имеющие выхода за ее пределы (то есть не имеющие глобального IP-адреса). Такие ресурсы можно проверять, только находясь внутри этой сети.

Прежде чем говорить о результатах, которые можно получить при сканировании ресурсов, хотелось бы остановиться на несколько иных вопросах — преимуществах и недостатках использования сервиса. К преимуществам можно отнести такие моменты, как возможность использования сервиса сразу после оплаты за эти услуги (не требуется выделения компьютера, установки и настройки программы). Отпадает необходимость выполнять обновление базы данных уязвимостей — обновления выполняются автоматически на сервисе и доступны всем, кто использует его возможности. Аналогично и в отношении обновления самой программы: разработчики выполнят обновление самостоятельно.

Пользователям требуется выполнить минимум настроек для получения результата
И разбираться с программой также не требуется — минимум настроек для получения результата. Сервис XSpider online находится вне вашей локальной сети, поэтому для проверки защищенности от проникновения в вашу сеть извне не требуется устанавливать собственный компьютер за ее пределами. А это, в свою очередь, влечет за собой снижение трафика, расходуемого на проведение сканирования. Можно параллельно запускать сканирование нескольких ресурсов, управлять задачами из любой точки Сети и получать результаты в любое время и с любого компьютера.

Это — плюсы. Но есть и минусы, не относящиеся непосредственно к возможностям сервиса. Нет никакой гарантии, что кто-либо не воспользуется этим сервисом для сканирования вашего веб-ресурса, выявления его уязвимостей для организации либо проникновения, либо нарушения его функционирования. Мало того, полученные результаты могут быть не просто разосланы своим знакомым, но и выложены в открытый доступ. Хорошо, если первыми эти результаты увидят владельцы просканированного сервиса, а если нет? Конечно, такое сканирование можно выполнить и с помощью программы XSpider, но в этом случае остаются "следы" — IP-адрес компьютера, с которого выполнялось сканирование. При использовании сервиса все следы ведут к нему, а выдавать информацию о том, кто из его пользователей выполнял сканирование того или иного ресурса, владельцы сервиса не обязаны.

Ну а теперь обратимся к возможностям сервиса и результатам, которые можно с его помощью получить. Сервис ориентирован на пользователей, которые хотят на регулярной основе проверять безопасность своих сетевых ресурсов. Основные возможности и свойства сервиса спроектированы именно под подобный сценарий работы. Типичным пользователем сервиса может считаться пользователь, который 1-2 раза в неделю производит аудит 1-20 хостов. (Проверку можно запланировать на любой день, за исключением среды — это день технического обслуживания сервиса.) Но просматривать отчеты, изменять настройки своих задач можно и в этот день.

Основой для выполнения работ является задача. Задача — это перечень сетевых адресов, которые будут сканироваться по единому расписанию с использованием одного профиля сканирования. Ограничение: в одной задаче не может быть свыше 64 хостов, но количество задач не ограничивается. У каждого пользователя есть как минимум одна задача, которую он может редактировать, но не может удалить. (А после того как в задачу занесен хотя бы один хост, нельзя оставить незаполненным время выполнения сканирования.)

Выбор профиля зависит от задач, которые необходимо решить при сканировании хоста
При работе с программой пользователь может самостоятельно настроить параметры проверки, определить проблемы, которые должны быть проверены на выбранном хосте. Для упрощения работы пользователей сервиса разработчики подготовили три стандартные настройки, которые названы профилями. Таким образом, профиль — это набор настроек, предназначенных для получения оптимального результата в той или иной ситуации. Профили едины для всех, и возможности их редактирования у пользователей отсутствуют.

У пользователя есть возможность выбора одного из трех разрешенных профилей:

  • Экспресс — выполняется полный анализ всех возможных сервисов. Не производится проверка на нестандартные DoS-атаки. Проверка веб-приложений проводится в ограниченном объеме — по наиболее типичным угрозам.
  • Веб-приложение — обеспечивает глубокий анализ всех имеющихся на сайте веб-скриптов. Не включает анализ других сервисов и системной части веб-приложения.
  • Максимальный — полная проверка всех сервисов с использованием всех интеллектуальных алгоритмов, в том числе глубокий анализ веб-приложений.

После регистрации у пользователя есть возможность бесплатно добавить в задачу четыре адреса. Такая возможность дается только раз — все последующие добавления, даже если сразу было добавлено всего два адреса, проводятся на платной основе. Пользование сервисом — платное, на основе абонентской платы. Кроме того, плата взимается за каждый помещенный в базу отчет по результатам сканирования. Стоимость отчета зависит от выбранного профиля и количества хостов в задаче. Наименьшая стоимость у сканирования за каждый хост у профиля "Экспресс", наибольшая — у профиля "Максимальный".

При настройке задачи вам надо всего лишь выбрать профиль, выбрать день (или дни) и время, в которое будет выполняться сканирование, определить почтовый адрес, на который могут быть высланы отчеты. Эта возможность — дополнительная, поскольку в любом случае отчеты будут сохранены в базе и к ним можно будет получить доступ в любое время. Каждый отчет, помещенный в базу, получает ссылку для возможности его просмотра извне, не входя в систему, поэтому вы можете не рассылать отчет сотрудникам или друзьям, а предоставить им ссылку для просмотра.

Чем глубже сканирование — тем больше необходимо для этого времени. Но работа сервиса не требует вашего присутствия
По каждой задаче сервис предоставляет развернутый отчет обо всех уязвимостях, которые могли быть обнаружены во время сканирования по всем хостам, включенным в задачу. Время, за которое выполняется сканирование, не регламентируется поставщиками, а зависит от глубины и доскональности проверки. В начале сформированного отчета представлены сводные данные сканирования — количество уязвимостей и их степень опасности, количество сервисов разной степени уязвимости и распределение хостов по уровню обнаруженной опасности.

Далее в отчете приводится перечень обнаруженных уязвимостей и подробное раскрытие их (описание уязвимости, версия ПО, на котором такая уязвимость была обнаружена, возможность использования уязвимости, решение по устранению уязвимости и ссылки на дополнительные источники информации). В некоторых случаях может быть приведен и пример использования обнаруженной уязвимости злоумышленниками. (Как правило, в тех случаях, по которым уже есть открытая информация.) Таким образом, пользователю предоставляется возможность оценить надежность своего сервиса и принять решение по устранению недостатков.

К примеру, многие уязвимости связаны с использованием движков, разработанных на PHP. Ниже — пример из полученного отчета. Обнаруженная уязвимость отнесена к высокому уровню опасности — переполнение буфера (PHP).

Краткое описание
Уязвимость позволяет удаленному пользователю вызвать отказ в обслуживании или выполнить произвольный код на целевой системе.
Подробное описание
Уязвимость существует из-за ошибки проверки границ данных в функциях "htmlentities()" и "htmlspecialchars()". Злоумышленник может передать специально сформированные данные PHP приложению, использующему уязвимые функции, вызвать переполнение буфера и выполнить произвольный код на целевой системе.
Уязвимые версии
PHP 5.1.6 и предыдущие
PHP 4.4.4 и предыдущие
Использование уязвимости
Использование уязвимости удаленно: да
Использование уязвимости локально: да
Ложные срабатывания (False Positives)
Вывод о наличии уязвимости сделан на основе версии по результатам идентификации сервисов и приложений на сканируемом узле. Если при установке обновления номер версии не менялся, возможно ложное обнаружение уязвимости.
Решение
Для устранения уязвимости необходимо установить последнюю версию PHP, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.php.net/downloads.php
Ссылки
CVE (CVE-2006-5465): http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-5465
Bugtraq (Bid 20879): http://www.securityfocus.com/bid/20879
Securitylab: http://www.securitylab.ru/vulnerability/276352.php

Здесь есть все — и описание, и влияние, которое может оказать эта уязвимость на работу сервиса, и пути устранения уязвимости. После получения подобной информации остается лишь принять меры к ликвидации этой опасности и снова проверить свой сервис на защищенность. Несколько циклов проверки — и с большей степенью уверенности можно будет говорить о том, что ваш сервис надежно защищен от взлома.




Скоро на сайте

  • Wordpress

    Серия статей о плагинах к движку WordPrress
  • AJAX

    Проекты и продукты, ориентированные на AJAX
  • Новые сервисы Google

    Обзор новых сервисов Google
 

Copyright © 2003—2018 Все права защищены

При использовании материалов сайта ссылка на hostinfo.ru обязательна

  • хостинг от .masterhost
  • Rambler's Top100