Bezpieczeństwo aplikacji internetowych.

Materiały zawarte na stronie mogą być dowolnie rozpowszechniane pod warunkiem zaznaczenia autora i źródła pochodzenia.

Ten utwór jest dostępny na
licencji Creative Commons Uznanie autorstwa-Użycie niekomercyjne-Bez utworów zależnych 2.5 Polska.

Nieodzownym elementem każdej aplikacji internetowej są pliki tekstowe. Występują one jako miejsce przechowywania danych konfiguracyjnych, szablonów czy samego kodu PHP. Mimo prostoty korzystania z nich należy podjąć pewne kroki, w celu uczynienia tego procesu bezpieczniejszym. Poniżej znajduje się zestawienie kilku sposobów, które to umożliwiają.

Jednym z elementów bezpieczeństwa sieci komputerowych są garnuszki z miodem (ang. honeypots). Służą one do wykrywania nieautoryzowanego dostępu do elementów sieci. Honeypot występuje w postaci komputera (bądź też aplikacji), którego celem jest skupienie na sobie całej uwagi napastnika, któremu uda się przełamać zabezpieczenia sieci. W przypadku wykrycia aktywności na przygotowanej maszynie administrator informowany jest o niebezpieczeństwie.

Największą plagą Internetu jest spam i to nie tylko ten w postaci e-maili. W przypadku aplikacji internetowych możemy się z nim spotkać wszędzie tam gdzie użytkownicy mają możliwość dodawania własnej treści do serwisu. Może to mieć miejsce w przypadku for internetowych czy komentarzy do treści zawartych na stronie.

W przypadku aplikacji internetowych zadaniem spamu jest wstawienie linków prowadzących do pozycjonowanego serwisu wszędzie tam gdzie jest to możliwe. Powodem takiego stanu rzeczy są wyszukiwarki internetowe. Zdecydowana większość z nich promuje strony na podstawie ilości linków, które do nich prowadzą.

Pod koniec ubiegłego roku sklep internetowy Vivid.pl został kupiony przez Telefonię DIALOG S.A. ( KGHM Polska Miedź S.A. ) za kwotę 2 mln 150 tyś. zł. Mimo dużego kapitału ( 6 mln 300 tyś. zł ) nic nie zostało zainwestowane w bezpieczeństwo zarówno samego sklepu jak i jego klientów.

Od dawna w Internecie przyjęło się, że ataki z rodziny HTML Injection są mało groźne i nie warto się nimi przejmować. Potwierdzeniem tego faktu jest ogromna liczba podatnych stron, w skład których wchodzą takie serwisy jak Onet, Wirtualna Polska, Gazeta.pl, a nawet YouTube.

Faktem decydującym o takim stanie rzeczy jest utożsamianie tych ataków z niegroźnymi napisami, obrazkami czy wyskakującymi komunikatami. Poniżej znajduje się kilka przykładów ukazujących co można uzyskać poprzez wykorzystanie ataków z rodziny wstrzyknięć kodu.

Jednym z serwisów wchodzących w skład portalu Wirtualna Polska jest Pasaż. Umożliwia on właścicielom sklepów internetowych prezentacje swoich produktów na łamach WP.

Czym są sesje?

Sesje są rozwiązaniem problemu bezstanowości protokołu HTTP, w którym żądania nie są ze sobą powiązane. Umożliwiają one identyfikacje żądań poszczególnych użytkowników za pomocą przekazania identyfikatora sesji. Jest on dołączany do każdej odpowiedzi serwera jako ciastko, ukryte pole w kodzie strony lub jako dodatkowy parametr adresu URL.

Fizycznie są to pliki tekstowe zawierające dane przypisane do konkretnych użytkowników.

login|s:7:"beldzio";haslo|s:5:"tajne";

Opis: Przykładowy plik sesji.

Serwis DobraOpcja.pl jest polskim klonem MySpace'a. Jak na serwis web dwa zerowy przystało znajdziemy tam pastelowe kolory, zaokrąglone rogi, oraz jako że jest to polskie web 2.0 – błędy. Błędy, które możemy znaleźć to XSS (wstrzyknięcie własnego kodu w kod strony), SQL Injection (modyfikacja zapytań SQL) oraz CSRF (możliwość wykonania czynności na stronie z uprawnieniami zalogowanego użytkownika.)

Jedną z usług oferowanych przez Google jest Remove your URL. Umożliwia ona usunięcie swojej strony z indeksu wyszukiwarki Google.