Безопасность web содержимого

При рассмотрении генератора содержимого на стороне сервера  важно просмотреть различные  базы данных уязвимостей (такие как ICAT метабаза, http://icat.nist.gov) для определения возможного риска использования различных технологий. Хотя история в полной мере и не отражает будущего возможного риска, на ее основе можно сделать вывод о том, какие технологии считаются более уязвимыми.

Различные организации исследуют  безопасность сети и систем и периодически публикуют информацию, касающуюся раскрытых  уязвимостей в ПО сервисов. Это  включает ПО web-серверов и поддерживаемые ими технологии, такие, как языки  скриптов и внешние программы. Внешние  программы, которые широко используются, регулярно анализируются исследователями, пользователями, командами реагирования на инциденты безопасности и членами  хакерского сообщества.

Хакеры часто публикуют  скрипты, выполняющие внедрение, для  известных уязвимостей в ПО web-сервисов и внешних программ, обычно используя  для этого публичные web-сервера. Web-администраторы должны просматривать такого рода информацию, чтобы быть уверенными, что они  в курсе всего, касающегося безопасности.

Директория, в которой  размещено активное содержимое на web-сервере, является критичной. Если программы расположены неправильно или директория имеет неправильные разрешения доступа, это может быстро привести к компрометации web-сервера. Чтобы избежать этого, следует выполнять следующие правила.

• Определить файлы, которым необходимо установить возможность записи. Такие файлы должны быть расположены в отдельных каталогах. Никаких файлов скриптов не должно существовать в каталогах, в которых существует возможность записи. Как пример, данные гостевой книги обычно сохраняются в простых текстовых файлах. Эти файлы должны иметь разрешения на запись для гостевых аккаунтов, чтобы иметь возможность получать их комментарии.
• Выполняемые файлы (например, .CGI, .EXE, .CMD и .PL ) разместить в отдельных каталогах. Никаких других файлов с возможностью чтения или записи не должно быть размещено в этих каталогах.
• Файлы скриптов (например, .ASP, .PHP и .PL ) разместить в отдельных каталогах.
• Включаемые файлы (например, .INC, .SHTML, .SHTM и .ASP ), создаваемые для возможности повторного использования некоторого кода, разместить в отдельных директориях. SSI по возможности не должно использоваться на публичных web-серверах. Заметим, что большинство рисков, связанных с файлами включения, состоит в возможности их выполнения. Если такую возможность выполнения запретить, то риск сильно уменьшится.

Список действий для обеспечения безопасности web-содержимого

Гарантировать, что никакая  из следующих типов информации не доступна через публичный web-сервер.

• Классифицированные записи.
• Внутренние правила и процедуры персонала.
• Чувствительная или частная информация.
• Персональная информация о сотрудниках.
• Номера телефонов, e-mail адреса или списки руководства.
• Расписание сотрудников и их местоположение.
• Чувствительная информация, относящаяся к домашней безопасности.
• Инвестиционные записи.
• Финансовые записи.
• Процедуры обеспечения физической и информационной безопасности.
• Информация о сети организации и информационной инфраструктуре.
• Информация о физических уязвимостях безопасности.
• Планы, карты, диаграммы строений.
• Материалы с грифом копирайта без письменного разрешения собственника.
• Политика безопасност<span class="Normal__Char" style=" font-family: 'Times New Roman', 'Arial'; font-size: 14