Неавторизованный доступ

Когда крекеры подсоединяются к вашему сайту, они прежде всего стремятся получить доступ в содержимому файлов. Для этого крекеры могут попытаться взломать пароль или воспользоваться потайным проходом, чтобы получить привилегии суперпользователя, или исполнить мошеннический трюк с серверными командами, имеющими определен- ные недостатки, или прибегнуть к социальной инженерии, и так далее. Вне зависимости от применяемого метода, если крекер получит доступ к вашей системе, то ваши данные будут в опасности. В этом разделе мы рассмотрим неавторизованный доступ, под кото- рым понимается любое действие, связанное с просмотром уязвимых или закрытых дан- ных, а также частной информации компании.

Проанализируйте частную информацию компании, доступную через ваш сервер Web. Защищена ли эта информация брандмауэром? Хранится ли она на отдельном сервере? Организована ли для нее дополнительная парольная защита? Сколько других дополни- тельных уровней защиты вы используете для предохранения информации?

Проанализируйте уязвимую информацию о заказчиках. Содержит ли эта информация но- мера кредитных карточек? Требуется ли указать пароль для просмотра определенного ро- да информации в базе данных? Может ли какой-либо Джо Чмо (Joe Schmo) с Web-стрит получить доступ к контактной информации заказчиков?

Проанализируйте уязвимую информацию в файле /etc/passwd. Доступен ли этот файл для просмотра посторонними лицами? Могут ли крекеры манипулировать программами в вашем каталоге CGI, чтобы переслать себе файл паролей по электронной почте? Ко- нечно, вам бы хотелось верить, что пользователи будут следовать инструкциям и выбирать себе пароль, который трудно угадать, или же пароль, не входящий в словарь. Но можете ли вы гарантировать, что крекеры не смогут найти соответствие какого-либо шифрован- ного пароля с корректным паролем в виде простого текста?

Когда вы будете анализировать свой сервер для определения уровня риска неавторизо- ванного доступа, учтите тип информации, которую вы храните на вашем сервере, или информации, доступной с помощью вашего сервера, а также примите во внимание уро- вень безопасности, который вы хотите установить для защиты этих данных. Включите эти сведения в свою политику безопасности.

Продолжение темы:

Полезная информация