{"blocks":[{"type":"paragraph","data":{"text":"Обеспечить безопасность приложения сложнее, чем может показаться. Уже не так эффективны SQL-инъекции и брутфорс, мы думаем, что за привязкой мобильных устройств и двухэтапной аутентификацией нам ничто не грозит."}},{"type":"paragraph","data":{"text":"А так ли это на самом деле?"}},{"type":"header2","data":{"level":2,"text":"Какие уязвимости можно найти в приложении?"}},{"type":"paragraph","data":{"text":"Ещё живут различные инъекции (SQL, NoSQL, LDAP, OS, XML, XQuery, XPath, XSLT), LFI-уязвимости, закладки (внедрённые в код функции, которые срабатывают в определённый момент), слабые алгоритмы шифрования, небезопасная работа с логами и cookie, а также утечка информации через социнжиниринг."}},{"type":"paragraph","data":{"text":"Самые опасные уязвимости веб-приложений можно посмотреть на странице OWASP Top Ten, которая регулярно обновляется."}},{"type":"paragraph","data":{"text":"И это лишь вершина айсберга."}},{"type":"header2","data":{"level":2,"text":"Правда ли, что львиная доля атак приходится на бреши в механизмах аутентификации?"}},{"type":"paragraph","data":{"text":"Согласно статистике Positive Technologies, наиболее часто встречающиеся уязвимости веб-приложений за 2019 год связаны с неправильной настройкой безопасности. А вот самому высокому риску подвержены сайты со слабой аутентификацией. Такая проблема была обнаружена в 45% исследованных веб-приложений:"}},{"type":"image","data":{"file":{"id":134076,"url":"https://media.tproger.ru/uploads/2020/09/304693_6.jpg"},"alt":"","title":"","caption":"","stretched":false,"withBackground":false,"withBorder":false,"width":1001,"height":440,"optimizedFile":{"original":"https://media.tproger.ru/uploads/2020/09/304693_6.jpg","alt":"Как обеспечить безопасность приложения? 8 ответов от безопасников 1","dimensions":{"width":1001,"height":440},"additionalSizes":{"srcSet":[{"url":"https://tproger.ru/signed_image/C3p3oFQDENxHRtesFo-g7hxG-nZASbiVOAjR0EUncDU/rs:fill:766:0:true/cb:vimg_2/f:webp/aHR0cHM6Ly9tZWRpYS50cHJvZ2VyLnJ1L3VwbG9hZHMvMjAyMC8wOS8zMDQ2OTNfNi5qcGc","dpr":1,"width":766},{"url":"https://tproger.ru/signed_image/htnM-FIGSR6nnQO_yLisSI5UbgvPtFYiFlE1rScV_JM/rs:fill:1532:0:true/cb:vimg_2/f:webp/aHR0cHM6Ly9tZWRpYS50cHJvZ2VyLnJ1L3VwbG9hZHMvMjAyMC8wOS8zMDQ2OTNfNi5qcGc","dpr":1,"width":1532},{"url":"https://tproger.ru/signed_image/vsq2dnAoS7N1JfG0N6XEtY9WowydSx78dcSvw6VOhyg/rs:fill:686:0:true/cb:vimg_2/f:webp/aHR0cHM6Ly9tZWRpYS50cHJvZ2VyLnJ1L3VwbG9hZHMvMjAyMC8wOS8zMDQ2OTNfNi5qcGc","dpr":1,"width":686},{"url":"https://tproger.ru/signed_image/weylc4T3vLBPR9OYJ-Cc7ZtDk0krAGysjBkfdDlDEjU/rs:fill:1372:0:true/cb:vimg_2/f:webp/aHR0cHM6Ly9tZWRpYS50cHJvZ2VyLnJ1L3VwbG9hZHMvMjAyMC8wOS8zMDQ2OTNfNi5qcGc","dpr":1,"width":1372},{"url":"https://tproger.ru/signed_image/9mJ6ps1wN8ltKShYVN396CDPmIcP9vQZBJWn3SWMgRQ/rs:fill:636:0:true/cb:vimg_2/f:webp/aHR0cHM6Ly9tZWRpYS50cHJvZ2VyLnJ1L3VwbG9hZHMvMjAyMC8wOS8zMDQ2OTNfNi5qcGc","dpr":1,"width":636},{"url":"https://tproger.ru/signed_image/UZwvnaGKFZ9Xc0tH1OzvHRbZ6pDTLS4ryCwh9ctx1rw/rs:fill:1272:0:true/cb:vimg_2/f:webp/aHR0cHM6Ly9tZWRpYS50cHJvZ2VyLnJ1L3VwbG9hZHMvMjAyMC8wOS8zMDQ2OTNfNi5qcGc","dpr":1,"width":1272},{"url":"https://tproger.ru/signed_image/khFVoB5yFgov7JfpTHlBVWk2_HA2axmmnbmrYOWe5is/rs:fill:466:0:true/cb:vimg_2/f:webp/aHR0cHM6Ly9tZWRpYS50cHJvZ2VyLnJ1L3VwbG9hZHMvMjAyMC8wOS8zMDQ2OTNfNi5qcGc","dpr":1,"width":466},{"url":"https://tproger.ru/signed_image/qK6_xJaBb__fwA_V0a1j85etBDHfojK3kZqxx6qFGF0/rs:fill:932:0:true/cb:vimg_2/f:webp/aHR0cHM6Ly9tZWRpYS50cHJvZ2VyLnJ1L3VwbG9hZHMvMjAyMC8wOS8zMDQ2OTNfNi5qcGc","dpr":1,"width":932}],"sizes":[{"media":"(min-width: 1441px)","size":"766px"},{"media":"(min-width: 1281px)","size":"686px"},{"media":"(min-width: 1281px)","size":"766px"},{"media":"(min-width: 961px)","size":"766px"},{"media":"(min-width: 671px)","size":"636px"},{"media":"(min-width: 500px)","size":"466px"}]}}}},{"type":"paragraph","data":{"text":"Почти треть таких уязвимостей обусловлена неограниченным количеством попыток войти в аккаунт. Аутентификация только по паролю является тем фактором, который способствует наибольшему количеству атак посредством перебора комбинаций «логин/пароль». Требования к возрасту и сложности пароля, которые раньше были «золотым стандартом», теперь подрывают безопасность. Согласно рекомендациям NIST, организациям следует перейти на многофакторную аутентификацию, если они ещё этого не сделали."}},{"type":"hint","data":{"fullWidth":true,"text":"Критически важным элементом безопасности сервиса является система регистрации и аутентификации пользователей. В большинстве случаев вам лучше не делать её с нуля и тем более не использовать пароль как фактор аутентификации. Лучше возложить вообще всю эту функцию на сторонний сервис, например популярную соцсеть или цифровую экосистему."}},{"type":"header2","data":{"level":2,"text":"Обеспечение безопасности приложения — это задача безопасников?"}},{"type":"paragraph","data":{"text":"Не совсем, ведь уже на стадии разработки нужно обращать внимание на очевидные уязвимости."}},{"type":"hint","data":{"fullWidth":true,"text":"Разработчик должен с первой редакции сайта или приложения заложить основные инструменты защиты данных пользователя, например Web Application Firewall. В дальнейшем, с выходом патчей, закрывать появляющиеся уязвимости. В идеальной ситуации разработчик должен либо самостоятельно, либо с привлечением дополнительных специалистов тестировать продукт на проникновение, раз за разом применяя популярные методы взлома и после анализируя полученный результат."}},{"type":"header2","data":{"level":2,"text":"Что включает в себя обеспечение безопасности приложения?"}},{"type":"paragraph","data":{"text":"Это все меры, в том числе и те, которые предшествуют этапу разработки:"}},{"type":"list","data":{"items":["Корректная постановка цикла разработки и деплоя. Это также включает выбор релевантного подхода к разработке (Agile/Waterfall), применение лучших практик DevOps, использование доверенного серверного оборудования.","В команде должен быть один или несколько специалистов, которые отвечают за информационную безопасность.","Сформированная модель угроз безопасности — метрики, которые нужно постоянно отслеживать, особенно при каждом обновлении или изменении внешних факторов. Стоит понимать, что модели угроз будут разными для разных приложений.","Использование технических средств анализа защищённости кода.","Использование защищённой среды разработки."],"style":"ordered"}},{"type":"hint","data":{"fullWidth":true,"text":"Application security — сложная задача, особенно в больших командах. Здесь важна грамотная работа архитекторов, которая предусмотрит механизмы безопасности для каждого из «кирпичиков» проекта, тем самым обеспечивая многоуровневую защиту продукта."}},{"type":"header2","data":{"level":2,"text":"Какими бывают технические средства анализа защищённости кода?"}},{"type":"paragraph","data":{"text":"Основной пласт анализаторов включает в себя:"}},{"type":"list","data":{"items":["Статические — это анализаторы исходного кода на базе механизма статического анализа (SAST). Проверка происходит без запуска самой программы на промежуточных этапах разработки или на этапе сборки. К SAST-решениям относятся Synopsys, AppScan, Checkmarks, Veracode, Appercut, Application Inspector, Micro Focus.","Динамические — применяются к готовому коду и ориентированы в основном на веб-приложения. Работают на базе динамического тестирования безопасности (DAST) через подачу URL-адреса в автоматический сканер.","Интегрированные в CI (Continuous Integration) — сканируют статический и динамический код.","Инструменты пентестера."],"style":"unordered"}},{"type":"header2","data":{"level":2,"text":"Как создать защищённую среду разработки?"}},{"type":"paragraph","data":{"text":"Стоит помнить, что обеспечить безопасность приложения можно только комплексно, поэтому уделяйте внимание каждому из этапов:"}},{"type":"list","data":{"items":["Сегментировать сеть и организовать управление сетевыми проходами.","Настроить права доступа для каждой роли.","Хранить пароли в хешированном виде с применением так называемой соли.","Организовать защищённый удалённый доступ.","Управлять обновлениями.","Мониторить и документировать.","Обезличивать важные данные при работе с БД в тестовом режиме."],"style":"ordered"}},{"type":"header2","data":{"level":2,"text":"На что должен обращать внимание разработчик, чтобы защитить приложение от взлома?"}},{"type":"hint","data":{"fullWidth":true,"text":"Позаботиться о безопасности сервиса лучше на самых ранних этапах его разработки. В этом помогут проекты от сообщества OWASP, например руководства «Проактивная защита: Топ-10 требований OWASP» (набор практик для изначального повышения безопасности приложения) и рейтинг 10 самых опасных угроз безопасности веб-приложений OWASP Top 10. Также важным является включение безопасности как составляющей цепочки CI/CD вашего приложения, например использование SAST и DAST-решений. Причём необязательно сразу покупать и внедрять коммерческие решения, ведь существуют и вполне достойные варианты из мира свободного ПО."}},{"type":"hint","data":{"fullWidth":true,"text":"По моему опыту, один из главных шагов к безопасности приложения — это ограничение функциональности для каждого пользователя по принципу need-to-know. Этот принцип возник в военной среде, однако полезен и в разработке: соблюдая его, вы не даёте пользователю получать больше информации, чем ему нужно.Не менее важны процессы код-ревью и независимого анализа защищённости. Для второго можно привлекать собственную команду безопасности, обращаться в специализированные компании или добавить приложение в программу bug bounty, чтобы сотни исследователей со всего мира непрерывно искали за вас баги.Также важно изучать уязвимости чужого кода, который вы вносите в проект: посмотрите issue на GitHub, проверьте продукт в базе уязвимостей. Есть замечательный проект наших коллег Vulners, который агрегирует данные по существующим уязвимостям из различных источников."}},{"type":"hint","data":{"fullWidth":true,"text":"На заключительных этапах разработки не будет лишним позаботиться о защите кода от чтения и дизассемблирования. Здесь тоже имеются проверенные временем методики: от простой обфускации до применения ассемблерных вставок и продвинутых средств защиты от отладчиков. Вообще, хорошей практикой является «чистка» кода перед отправкой его в продакшн. Пользователю ведь никак не помогут комментарии, объясняющие, как работает тот или иной вызов либо функция. А вот для атакующего это большое подспорье при анализе продукта. Кроме того, следует избегать прописывания различных конфиденциальных данных внутри самого кода. Например, не рекомендуется встраивать ссылки с данными авторизации на сервере для автоматического тестирования."}},{"type":"header2","data":{"level":2,"text":"А как обстоят дела с безопасностью мобильных приложений?"}},{"type":"hint","data":{"fullWidth":true,"text":"Безопасная разработка мобильного приложения включает три этапа.Во-первых, важно заранее учитывать, что приводит к уязвимостям, и ещё во время разработки предусмотреть все меры профилактики. Так, для предотвращения утечки данных необходимо использовать криптографические алгоритмы, многофакторную аутентификацию, генерировать непредсказуемые идентификаторы сессии и хранить авторизационные токены в наиболее безопасных частях операционной системы.Безопасность передачи информации осуществляется за счёт подтверждения достоверности источников связи, корректных версий SSL и проверки согласования. Права доступа к скрытым разделам приложения необходимо давать только узкому кругу ответственных за них специалистов.Далее необходимо протестировать приложение на предмет наличия подобных уязвимостей. В основном используются методы белого и чёрного ящика. Метод белого ящика (статистическое тестирование безопасности SAST) подразумевает проверку разработчиком, имеющим доступ к коду. Метод чёрного ящика предполагает анализ только пользовательского опыта, без оценки кода. Тестировать можно вручную или с помощью специальных сервисов.И последнее, перед собственно отработкой выявленных уязвимостей расставьте приоритеты. В первую очередь устраните ошибки, при которых работа приложения невозможна. Затем идут критические баги: зависание системы или временные падения. После смотрите на ошибки, не влияющие на работу, например, недочёты дизайна. В самом конце устраняйте мелкие баги.Рекомендую использовать параметризованные запросы к базе данных, не конструировать запросы внутри системы, для доступа к БД использовать отдельную учётку и не забывать про журналы безопасности."}},{"type":"header2","data":{"level":2,"text":"Резюмируя"}},{"type":"paragraph","data":{"text":"Чтобы понять, как обеспечить безопасность приложения, следует изучить наиболее опасные уязвимости, учесть это на стадии разработки и тестирования, при выявлении — устранить и обязательно задокументировать все найденные проблемы, чтобы избежать их в дальнейшем. Не стоит также забывать об анализаторах и безопасности самой среды разработки."}},{"type":"paragraph","data":{"text":"Если же вы не до конца разобрались во всех нюансах, ищете дополнительные инструменты и полезные ссылки, советуем заглянуть в нашу статью о защите веб-приложения, которая вобрала в себя максимум полезной информации."}}]}

Ошибка в настройках сайта