2020-04-06 English
Нүүр хуудас » Мэдээ » Заавар зөвлөгөө
Мэдээ » Заавар зөвлөгөө
Веб аппликейшны нууцлал, хамгаалалт
Огноо: 2018 оны 04 сарын 10

Аливаа зүйлийн давуутай шинж чанар нь нөгөө талаасаа сул тал болж байдаг жишээ олон бий. Тухайлбал вэб аппликейшны хувьд хаанаас ч хэзээ ч хандаж, ашиглаж болдог давуу тал нь, хэн дуртай нэгэнд ямар нэг гажууд хэлбэрээр хандах боломжыг олгодог. Ийм учраас эхлээд гаднах нууцлалыг хангаад дараа нь дотрох зүйлсээ хийдэг. 

Аппликейшны байгаа серверийнхээ орчний нууцлалыг хангалгүйгээр яаж ч сайн хийгээд нэмэргүй. Серверийн хувьд дараах зүйлсийг анхаарах хэрэгтэй.

Сервер

  • Серверийн үйлдлийн системийн шинэчлэлийг цаг тухайд нь хийж байх. Мөн үйлдлийн системийн чухал багц програм хангамжуудыг ч байнга шинэчилж байх хэрэгтэй. Харгалзах и-мэйл листүүдэд нь бүртгүүлчих юм бол амар байдаг.
  • Хэрэггүй буюу ашигладаггүй сэрвисүүдийг зогсоох эсвэл бүр устгах. Жишээ нь Windows дээр бол Messenger, Fax service, Net logon гэх мэт. Юникс дээр бол apmd, lpd, sendmail, telnet, finger гэх мэт
  • Үйлдлийн систэмийг ашиглагддаггүй хэрэглэгчийг устгах. Тухайлбал windows дээр guest хэрэглэгчийг идэвхгүй болгох. Мөн хэрэглэчдийн нууц үгийг тогтмол хугацаанд солиж байхаар тохируулах, хамгийн багадаа 8 ч юмуу тэмдэгт байхаар зааж өгөх. 
  • Файл болон директоруудад хандах эрхийг(file permission) нарийн чанд тавьж өгөх. Системийн файлууд, директоруудыг сайтар нууцлаж хамгаалах хэрэгтэй. 
  • Логуудыг сайтар төлөвлөж тохируулах. Лог файлын үүсэх байрлал,  хуучин логууд устгах хугацаа гэх мэт. Мөн лог дээр бичигдэх байгаа үзэгдлүүдийг автоматаар шинжилж, хэвийн бус зүйл илэрвэл мэйлээр ч юмуу мэдэгддэг байвал тун сайн. 
  • Сүлжээний тохиргоонд TCP/IP түвшинд боломжын хирээр шүүлтүүр тавьж өгөх. Хэрэггүй портуудыг хаах, iptables дээр сэжигтэй пакетуудыг оруулахгүй байх гэх мэтээр тохируулж болдог.

Аппликейшны сервер

  • Аппликейшн сервер буюу вэб серверээ байнга шинэчилж засварыг цаг тухайд нь хийж явах.
  • Аппликейшн серверийг ажиллуулах хэрэглэгчийн нэрийг логин хийж чадахааргүй байлгах. мөн хязгаарлагдмал эрхтэйгээр тохируулж өгөх. Тухайлбал вэб аппликейшны директориос бусад дирэктор луу хандах эрхгүй байлгаж болно.
  • Хэрэглэгдэхгүй нэмэлт боломжуудыг идэвхгүй болгох. Тухайлбал CGI програм ажиллуулахыг зогсоох, мөн HTTP ийн PUT, TRACE, DELETE зэрэг мэтодуудыг идэвхгүй болгох гэх мэт.
  • Вэб серверийн нэр болон хувилбарын дугаар, алдааны мэдээлэл зэргийг нуух. Ингэснээр гаднаас халдагчид сэрвэрийн програм хангамж болон бусад мэдээлэл дээр тулгуурлан онгорхой цоорхойг хайхаас сэргийлнэ.

 

Хөгжүүлэлт /Development/

Ингээд ерөнхийдөө сэрвэр болон бусад програм хангамжуудын тохиргоог боломжын хэмжээнд хамгаалж чадсан гэж үзвэл бид аппликейшнээ хийхдээ анхан шатанд юуг анхаарвал зохихыг авч үзье. Програмд гаднаас орж ирэх өгөгдлийг зөв байгаа эсэхийг шалгах хэрэгтэй.

  • SQL Injection. 
  • OS Command Injection.
  • Directory traversal
  • Параметр болон hidden field дээр хуурамч утга тавиж ашиглах. 
  • Cross Site Scripting(XSS). 
  • Шиншлэх. 
  • Cross Site Request Forgeries(CSRF). 

Багаж/Tool/

Вэб аппликейшн хөгжүүлэлтийн үед нууцлалын тал дээр анхаарах зүйлс дээр дурдсан хэдээр тогтохгүй. Нууцлал хамгаалалтыг хангана гэдэг нь чанарыг сайжруулж байна гэсэн үг бөгөөд хэдий чанартай хийнэ төдий чинээ хөлс хүч, цаг хугацаа зарцуулагдана. Хөлс хүч, цаг хугацааг бага байлгаад өндөр чанартай хийнэ гэдэг хэцүү ч, сайн багаж хэрэгсэл, багцуудыг ашигласнаар нууцлалыг боломжын хэмжээнд байлгаж болно. Тухайлбал олны танил болсон Struts хэмээх MVC фрэймворкын Validator нь гаднаас орж ирэх өгөгдлийг дажгүй сайн шүүдэг. Вэб аппликейшнээ хэвээр орхиод Web Application Firewall(WAF) -оор гаднаас орж ирэх халдлагыг хаах бас боломжтой. Жишээ нь Apache вэб серверт зориулагдсан ModSecurity гэдэг нээлттэй эх бүхий WAF байдаг. Гэхдээ энэ тохиолдолд тухайн WAF-ийг суурилуулах, хэрэглэж тохируулж сурхаас эхлээд нэмэлт ажлууд гарна. Эдгээр ажлууд нь вэб аппликейшн дээрээ засвар оруулахаас хямд байвал хэрэглэх нь зүйтэй.

 
Мэдээ
 
Шинэ Мэдээ
Хиймэл оюун ухаант дуут технологийг ганцаардалтай тэмцэхэд ашиглаж байна Хиймэл оюун ухаант дуут технологийг ганцаардалтай тэмцэхэд ашиглаж байна
2020-04-01
Коронавирус ба кибер халдлага Коронавирус ба кибер халдлага
2020-03-30
Цахим хэтэвч ашиглая Цахим хэтэвч ашиглая
2020-03-30
“Tiktok” аппликейшн хангалттай найдвартай юу? “Tiktok” аппликейшн хангалттай найдвартай юу?
2020-03-26
Кибер аюулгүй байдлын мэдлэг олгох үндэсний сургалтын төв Кибер аюулгүй байдлын мэдлэг олгох үндэсний сургалтын төв
2020-03-17
Үүрэн телефоны хэрэглэгчийн яриа, мессежний нууцлал,  аюулгүй байдлыг хангах нь Үүрэн телефоны хэрэглэгчийн яриа, мессежний нууцлал, аюулгүй байдлыг хангах нь
2020-03-16
“Covid-19 “ вирусын цахим орчинд үзүүлэх нөлөө “Covid-19 “ вирусын цахим орчинд үзүүлэх нөлөө
2020-03-09
Коронавирусын тархалтыг хянахад царай таних технологийг ашиглаж байна Коронавирусын тархалтыг хянахад царай таних технологийг ашиглаж байна
2020-03-09
Amazon-ийн Ring Video Doorbell нь халдагчдад таны Wi-Fi-ын  нууц үгийг хулгайлах боломжийг олгодог Amazon-ийн Ring Video Doorbell нь халдагчдад таны Wi-Fi-ын нууц үгийг хулгайлах боломжийг олгодог
2020-02-20
Таны мессежийг хэн уншиж байна вэ? Таны мессежийг хэн уншиж байна вэ?
2020-01-20
Анхааруулга Анхааруулга
2019-12-20
Оросын хакерууд  допингийн эсрэг агентлагуудыг онилж байна. Оросын хакерууд допингийн эсрэг агентлагуудыг онилж байна.
2019-12-10
/ End-to-end / шифрлэлтийг хориглох тухай хэлэлцэж байна. / End-to-end / шифрлэлтийг хориглох тухай хэлэлцэж байна.
2019-11-20
ОХУ “Царцаа”-ны тусламжтайгаар өгөгдлүүдийг шифрлэнэ. ОХУ “Царцаа”-ны тусламжтайгаар өгөгдлүүдийг шифрлэнэ.
2019-11-10
“Касперскийн лаборатор”-оос кибер аюулгүй байдлын ур чадвар эзэмшүүлэх онлайн платформыг гаргажээ. “Касперскийн лаборатор”-оос кибер аюулгүй байдлын ур чадвар эзэмшүүлэх онлайн платформыг гаргажээ.
2019-10-20