Укрощение @Интернет@


Источник угрозы - часть 2


Вторая категория ошибок связна с динамической генерацией интерактивных web-страниц. Их можно разделить на две категории: страницы, доступные только тому пользователю для которого они были сгенерированы страница и страницы, доступные множеству пользователей. Примером первых может служить результат работы поисковых машин, вторых – чаты и гостевые книги.

В большинстве случаев страница, динамически сгенерированная в ответ на запрос пользователя, содержит и сам запрос. А это открывает возможность использования HTML-тегов, наибольшую опасность из которых представляют директивы SSI (Server Side Include – включения на стороне сервера), поскольку они позволяют включать в страницу содержимое другого файла, значение переменной окружения, результат работы вызванной программы и т.д.

Страницы, доступные всем пользователям, подвержены и другой угрозе – созданию фальшивых полей ввода (как правило, требующих ввода своего пароля или номера кредитной карты), передающих свое содержимое злоумышленнику. Другая "дыра" – возможность разместить вредоносный Java (Perl и VisualBasic) скрипт, зацикливающий браузер посетителя или открывающий у него множество окон размером миллион на миллион пикселей. В общем, возможностей много…. автоматическое перенаправление клиентов на свою станицу или сайт баннерного спонсора, похищение у них локальных файлов через "дыры" в Internet Explorer и Netscape Navigator и т.д.

Наконец, любой, даже корректно написанный скрипт, требует для своей работы значительных процессорных ресурсов. Шквал запросов, инициируемый злоумышленником, представляет собой эффективную атаку "отказа в обслуживании", особенно если скрипт интенсивно работает с файловой системой и\или неэкономно расходует память. Увеличить выносливость сервера можно переходом на компилируемые языки, установкой более быстрого процессора или же отказом от использования скриптов везде, где это возможно.

Таким образом, размещение скрипта на сервере всегда таит в себе некоторую опасность и создает угрозу для его благополучия.

 

 




Начало  Назад  Вперед