Веб-приложения: что это такое? Что насчет них?

Опубликовано: 11 Апреля, 2023

Веб-приложения стали повсеместным явлением. Однако из-за своей высокотехнологичной и сложной природы веб-приложения являются широко неизвестным и совершенно неправильно понятым элементом нашей повседневной кибер-жизни. Эта статья направлена на то, чтобы предоставить неспециалисту, независимому от поставщика, понимание их функций и связанных с ними вопросов безопасности.


Веб-приложения или виджеты веб-сайтов


За последнее десятилетие или около того Интернет стал использоваться миллионами предприятий как недорогой канал для общения и обмена информацией с потенциальными клиентами и транзакциями с клиентами.


В частности, Интернет предоставляет маркетологам возможность познакомиться с людьми, посещающими их сайты, и начать с ними общение. Один из способов сделать это — попросить веб-посетителей подписаться на информационные бюллетени, отправить форму заявки при запросе информации о продуктах или предоставить детали для настройки их просмотра при следующем посещении определенного веб-сайта.


Интернет также является отличным каналом продаж для множества организаций, больших и малых: сегодня с более чем 1 миллиардом пользователей Интернета (источник: Альманах компьютерной индустрии, 2006 г.) расходы на электронную торговлю в США в 2006 г. составили 102,1 млрд долларов (источник: comScore). сети, 2007).


Все эти данные должны быть каким-то образом собраны, сохранены, обработаны и переданы для использования немедленно или позднее. Веб-приложения в виде полей отправки, форм запроса и входа в систему, корзины покупок и системы управления контентом — это те виджеты веб-сайтов, которые позволяют это делать.


Таким образом, они имеют основополагающее значение для предприятий, поскольку они используют свое присутствие в Интернете, создавая тем самым долгосрочные и выгодные отношения с потенциальными клиентами и клиентами.


Неудивительно, что веб-приложения стали таким повсеместным явлением. Однако из-за своей высокотехнологичной и сложной природы веб-приложения являются широко неизвестным и крайне неправильно понимаемым элементом нашей повседневной кибер-жизни.


Определенные веб-приложения


С технической точки зрения Интернет представляет собой среду с широкими возможностями программирования, которая позволяет производить массовую настройку посредством немедленного развертывания большого и разнообразного набора приложений для миллионов пользователей по всему миру. Двумя важными компонентами современного веб-сайта являются гибкие веб-браузеры и веб-приложения; оба доступны для всех и каждого на безвозмездной основе.


Веб-браузеры — это программные приложения, которые позволяют пользователям извлекать данные и взаимодействовать с содержимым, расположенным на веб-страницах веб-сайта.


Сегодняшние веб-сайты далеки от статических текстовых и графических витрин начала и середины девяностых: современные веб-страницы позволяют пользователям извлекать персонализированный динамический контент в соответствии с индивидуальными предпочтениями и настройками. Кроме того, веб-страницы могут также запускать сценарии на стороне клиента, которые «превращают» интернет-браузер в интерфейс для таких приложений, как веб-почта и интерактивные картографические программы (например, Yahoo Mail и Google Maps).


Что наиболее важно, современные веб-сайты позволяют собирать, обрабатывать, хранить и передавать конфиденциальные данные клиентов (например, личные данные, номера кредитных карт, информацию социального обеспечения и т. д.) для немедленного и периодического использования. И это делается через веб-приложения. Такие функции, как веб-почта, страницы входа в систему, формы поддержки и запроса продукта, корзины покупок и системы управления контентом, формируют современные веб-сайты и предоставляют предприятиям средства, необходимые для общения с потенциальными клиентами и клиентами. Все это общие примеры веб-приложений.


Веб-приложения, таким образом, представляют собой компьютерные программы, позволяющие посетителям веб-сайта отправлять и получать данные в/из базы данных через Интернет, используя предпочитаемый ими веб-браузер. Затем данные представляются пользователю в его браузере по мере того, как информация генерируется динамически (в определенном формате, например, в HTML с использованием CSS) веб-приложением через веб-сервер.


Для тех, кто более технически ориентирован, веб-приложения запрашивают контент-сервер (по сути, базу данных репозитория контента) и динамически генерируют веб-документы для обслуживания клиентов (людей, просматривающих веб-сайт). Документы создаются в стандартном формате для обеспечения поддержки всеми браузерами (например, HTML или XHTML). JavaScript — это одна из форм скрипта на стороне клиента, которая допускает динамические элементы на каждой странице (например, изображение меняется, когда пользователь наводит на него указатель мыши). Веб-браузер играет ключевую роль — он интерпретирует и запускает все сценарии и т. д. при отображении запрошенных страниц и контента. Википедия блестяще называет веб-браузер «универсальным клиентом для любого веб-приложения».


Еще одним существенным преимуществом создания и поддержки веб-приложений является то, что они выполняют свои функции независимо от операционной системы и браузеров, работающих на клиентской стороне. Веб-приложения быстро развертываются в любом месте бесплатно и без каких-либо требований к установке (почти) на стороне пользователя.


По мере увеличения числа предприятий, пользующихся преимуществами ведения бизнеса через Интернет, будет расти и использование веб-приложений и других связанных с ними технологий. Более того, с ростом внедрения интрасетей и экстрасетей веб-приложения прочно укоренились в коммуникационной инфраструктуре любой организации, еще больше расширяя их возможности и возможности технологической сложности и мастерства.


Веб-приложения можно либо приобрести в готовом виде, либо создать собственными силами.


Как работают веб-приложения?


На рисунке ниже показана трехуровневая модель веб-приложения. Первый уровень обычно представляет собой веб-браузер или пользовательский интерфейс; второй уровень — это инструмент технологии динамического создания контента, такой как сервлеты Java (JSP) или Active Server Pages (ASP), а третий уровень — это база данных, содержащая контент (например, новости) и данные о клиентах (например, имена пользователей и пароли, социальные сети). номера безопасности и данные кредитной карты).


Изображение 25101
фигура 1


На рисунке ниже показано, как первоначальный запрос инициируется пользователем через браузер через Интернет к серверу веб-приложений. Веб-приложение обращается к серверам баз данных для выполнения запрошенной задачи обновления и извлечения информации, содержащейся в базе данных. Затем веб-приложение представляет информацию пользователю через браузер.


Изображение 25102
фигура 2


Проблемы веб-безопасности


Несмотря на свои преимущества, веб-приложения вызывают ряд проблем с безопасностью, связанных с неправильным кодированием. Серьезные слабости или уязвимости позволяют хакерам получать прямой и публичный доступ к базам данных для сбора конфиденциальных данных. Многие из этих баз данных содержат ценную информацию (например, личные и финансовые данные), что делает их частой мишенью для хакеров. Хотя такие акты вандализма, как порча корпоративных веб-сайтов, все еще распространены, в настоящее время хакеры предпочитают получать доступ к конфиденциальным данным, хранящимся на сервере базы данных, из-за огромной выгоды от продажи данных.


В рамках, описанной выше, легко увидеть, как хакер может быстро получить доступ к данным, находящимся в базе данных, с некоторой дозой творчества и, в случае удачи, небрежности или человеческой ошибки, что приведет к уязвимостям в веб-приложениях.


Как уже говорилось, веб-сайты зависят от баз данных для предоставления необходимой информации посетителям. Если веб-приложения не защищены, т. е. уязвимы хотя бы для одной из различных форм хакерских технологий, то вся ваша база данных конфиденциальной информации подвергается серьезному риску.


Некоторые хакеры, например, могут злонамеренно внедрять код в уязвимые веб-приложения, чтобы обмануть пользователей и перенаправить их на фишинговые сайты. Этот метод называется межсайтовым скриптингом и может использоваться, даже если веб-серверы и ядро базы данных сами по себе не содержат уязвимостей.


Недавние исследования показывают, что 75% кибератак осуществляются на уровне веб-приложений.


Изображение 25103
Рисунок 3




  • Веб-сайты и связанные с ними веб-приложения должны быть доступны 24 часа в сутки, 7 дней в неделю, чтобы предоставлять необходимые услуги клиентам, сотрудникам, поставщикам и другим заинтересованным сторонам.


  • Брандмауэры и SSL не обеспечивают защиты от взлома веб-приложений просто потому, что доступ к веб-сайту должен быть общедоступным. Доступ ко всем современным системам баз данных (например, Microsoft SQL Server, Oracle и MySQL) можно получить через определенные порты (например, порты 80 и 443). ), и любой может попытаться напрямую подключиться к базам данных, эффективно обходя механизмы безопасности, используемые операционной системой. Эти порты остаются открытыми для связи с законным трафиком и, следовательно, представляют собой серьезную уязвимость.


  • Веб-приложения часто имеют прямой доступ к внутренним данным, таким как базы данных клиентов, и, следовательно, контролируют ценные данные, и их гораздо сложнее защитить. Те, у кого нет доступа, будут иметь какой-либо скрипт, позволяющий собирать и передавать данные. Если хакеру станет известно о слабых сторонах такого сценария, он может легко перенаправить невольный трафик в другое место и неправомерно скрыть личные данные.


  • Большинство веб-приложений изготавливаются на заказ и, следовательно, требуют меньшего тестирования, чем готовое программное обеспечение. Следовательно, пользовательские приложения более уязвимы для атак.

Таким образом, веб-приложения являются воротами к базам данных, особенно к пользовательским приложениям, которые не разрабатываются с учетом лучших практик безопасности и не проходят регулярные аудиты безопасности. В общем, вам нужно ответить на вопрос: «Какие части веб-сайта, которые мы считаем безопасными, открыты для хакерских атак?» и «Какие данные мы можем передать приложению, чтобы заставить его выполнять то, что оно не должно делать?».


Это работа веб-сканера уязвимостей.


Сканер веб-уязвимостей Acunetix


Доказательства таких эксплойтов легко доступны в Интернете и являются предметом обсуждения в нескольких пресс-релизах Acunetix, ведущего поставщика продуктов для обеспечения безопасности веб-приложений. Щелкните здесь, чтобы узнать больше о веб-сканере уязвимостей Acunetix.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023