Захист Web-додатків. Для чого потрібен, і які наслідки його відсутності?

19.12.2016

Як тільки Web-додаток стає доступним в мережі, він робиться мішенню для кібератак. Незалежно від того, чи здійснюється атака цілеспрямовано зловмисниками, чи є результатом роботи автоматизованого шкідливого ПЗ, відштовхуйтесь від того, що будь-який Web-додаток буде постійно перевірятись на стійкість зі всіх сторін. Відповідно, перш ніж починати використовувати Web-додаток, необхідно забезпечити його захист.

Захист мережевого рівня (хостингу) Web-додатків є пройденим шляхом і представляє собою перелік нескладних дій, які необхідно виконати. Проте, мережевий екран не забезпечує захисту самих Web-додатків. Ахіллесовою п’ятою у захисті онлайнової інформації є рівень додатків. Вразливість додатків, яка виникає внаслідок помилок в коді і використання слабких прийомів програмування, постійно експлуатується хакерами і слугує причиною ряду величезних втрат інформації, які відбувались у недавньому минулому. У березні 2008 року було викрадено інформацію стосовно 134 мільйонів кредитних карток процесингової компанії Heartland Payment Systems; причиною слугувала вразливість Web-додатку, яку хакери використовували для впровадження SQL-коду і встановлення вірусного ПЗ. У 2012 році компанія Yahoo! декілька разів постраждала від втрати даних, причиною яких слугувало використання вразливості Web-додатків; у результаті впровадження SQL-коду і міжсайтового скриптингу були викрадені паролі більш ніж від 450 тисяч облікових записів користувачів.

Ігнорування питань захисту Web-додатків може дуже сильно відобразитись на роботі компанії. Навіть просте «викривлення» сторінки Web-сайту, може призвести до несприятливого висвітлення в ЗМІ і вдарити по репутації, проте, частіше за все, атаки хакерів спрямовані на викрадення персональних даних, що є найбільш вигідним для зловмисників і при цьому наносить серйозного збитку потерпілій стороні. Витік інформації про замовників, зазвичай, призводить до того, що в пресі з’являється маса негативних відгуків про компанію, після чого виникають судові санкції і санкції зі сторони влади, які можуть призвести до втрати мільйонів доларів і навіть до різкого падіння курсу акцій. У випадку серйозної втрати даних ви отримаєте багато прихованих витрат: судові розслідування, простої і мимобіжне переписування коду Web-додатка. Все це має дуже високу ціну.

Оскільки захист даних та інформаційна безпека web-додатків є пріоритетом при створенні самих програм, то не менш важливим є етап тестування захисту безпеки web-додатків. Команда Quality Assurance Group розробила спеціальний курс "Application Security Testing" для тих, хто хоче спробувати себе в тестуванні захисту безпеки веб-аплікацій.

P.S.: Зараз на курс діє спеціальна акційна вартість. Детальніше тут.