Ochrona aplikacji WWW

Nowoczesne aplikacje coraz częściej konstruowane są jest w oparciu o trójwarstwowy model z interfejsem użytkownika realizowanym przez serwer WWW i przeglądarkę internetową, a medium komunikacyjnym jest protokół HTTP. Również aplikacje biznesowe klasy B2B wykorzystują coraz częściej architekturę opartą na usłuagach (SOA), dla której protokół HTTP(s) jest podstawą.

Większość tego tupu aplikacji udostępnianych jest użytkownikom za pośrednictwem Internetu. Niestety niesie to za sobą wysokie ryzyko ataku za pośrednictwem różnorodnych technik, takich jak:

  • Ataki polegające na wstrzyknięciu kodu, najczęściej SQL Injection,
  • Cross-site scripting (XSS),
  • Ataki wykorzystujące niepoprawne zarządzanie sesją i uwierzytelnianiem,
  • Niezabezpieczone bezpośrednie dostępy do obiektów,
  • Cross Site Request Forgery (CSRF),

Podstawowym sposobem uniknięcie powyższych błędów jest stosowanie dobrych praktyk programistycznych i testy penetracyjne po każdej zmianie kodu aplikacji. Jednak, mimo wszystko,  prawdopodobieństwo pozostawienia błędu jest duże, pomimo podjęcia powyższych działań.

By zapewnić pełniejszą ochronę aplikacji webowych przed podobnymi zagrożeniami możliwe jest zastosowanie systemu ochrony przed atakami aplikacyjnymi, nazywane również firewallem aplikacyjnym (/ang. Web Application Firewall – WAF/). Rozwiązanie takie pozwola na walidację wszystkich informacji przysyłanych przez przeglądarkę do serwera i weryfikację ich poprawności i dzięki czemu może ochronić aplikację przed wszystkimi powyżej wymienionymi mechanizmami ataku.

System potrafi uczyć się sposobu działania aplikacji WWW i dzięki temu w krótkim czasie, możliwe jest zapewnienie bardzo skutecznej ochrony bez konieczności żmudnej konfiguracji rozwiązania WAF

Nasi partnerzy w zakresie firewall: Imperva

Systemy silnego uwierzytelniania

Możliwość weryfikacji tożsamości użytkowników korzystających z aplikacji lub usług sieciowych jest podstawowym warunkiem zapewnienia minimalnego poziomu bezpieczeństwa dla samej aplikacji i danych przez nią przetwarzanych.

W wielu wypadkach wystarczy, najprostsza i najpopularniejsza metoda uwierzytelniania czyli hasło, które zna użytkowników. Niestety praktyka pokazuje, że hasła wybierane przez użytkowników są często słabym zabezpieczenie ze względu m. in. na:

  • niską złożoność hasła opartego często na faktach dotyczących użytkownika,
  • wybieranie haseł zbyt krótkich,
  • rzadkie zmiany haseł lub stosowanie łatwych do odgadnięcia schematów wyboru hasła,
  • przechowywanie haseł w łatwodostępnych miejscach.

By rozwiązać ten problem powstały tzw. dwuskładnikowa metody uwierzytelniania, nazywane również mocnym uwierzytelnianiem. Oparte są ona przy najmniej na dwóch z poniższych metod równocześnie:

  • coś o czym użytkownik wie, np. hasło lub PIN,
  • coś co użytkownik posiada np. token, telefon komórkowy lub karta,
  • coś czym użytkownik jest, czyli najczęściej metody biometryczne takie jak skaner linii papilarnych, kształtu dłoni lub tęczówki oka.

Połączenie dwóch metod pozwala na uzyskanie prawie pewności co do tożsamości użytkownika dla większości zastosowań cywilnych.

Najczęściej wybieraną opcją są tokeny lub telefon komórkowy w połączeniu z hasłem lub PINem. W momencie logowania do aplikacji, użytkownik podaje w takim wypadku swój identyfikator użytkownika w połączeniu z hasłem, a na żądanie aplikacji wprowadza kod wyświetlone na tokenie lub otrzymany we wiadomości SMS.

Nasi partnerzy w zakresie systemów AAA: RSA Security, Tectia

Serdecznie zapraszamy do współpracy!
Jeżeli mają Państwo pytania, prosimy o kontakt na adres: sales@apius.pl
Wszelkie prawa zastrzeżone © APIUS technologies 2011       Projekt i wykonanie: Projekt strony WWW - Artcards / NetSoftware