Состав и содержание организационных и технических мер по защите АИС

###### tags: `МДК 01.04 Эксплуатация автоматезированных(информационных) систем в защищенном исполнении` # Состав и содержание организационных и технических мер по защите АИС ## Основные атаки на web интерфейс АИС ### Classic clickjacking (UI redress attack) > Classic clickjacking - классическая надомкрачивание кликов. Атака с изменением пользовательского интерфейса Это атака, которая заключается в том, что злоумышленник каким либо способом (посредством XSS или путем непосредственного воздействия на исходный код web приложения) внедряет в UI такой фрагмент разметки, который скрывает элементы UI и вводит пользователя в заблуждение таким образом, что пользователь взаимодействует не со штатными элементами интерфейса, а с теми, которые предлагает ему злоумышленник. Например, в html страницу уязвимого web приложения может быть внедрен следующий элемент ``` <ifame src = "http://evil.com"></ifame> ``` Он представляет собой встраиваемое в страницу окно браузера, в котором открыт сайт злоумышленика, а именно то его фрагмент на котором размещены элементы управления: поли ввода, кнопка и т.д. Элемент скрыт от пользователя(сделан невидимым по средством свойст css opacity), но при этом активен, тоесть позволяет взаимодействовать с элементами управления на староннем сайте. При этом злоумышленик посредством CSS разместил указаный элемент поверх штатных элементов управления на уязвимом сайте, таким образом пользователь может быть введен в заблуждение и будет взаимодействовать не с интерфейсом уязвимого сайта, а с сайтом злоумышленника, на котором может быть авторизован. Целью этой атаки является выполнения пользователем несанкционированых им действий от его же имени. Например будучи авторизованным в соц сети введеный в заблужение пользователь может нажать на размещенную внутри iframe кнопку "нравится", или на кнопку удаления какой либо записи. В некоторых случаяюх можно использовать для несанкционированых сбора сведений данных пользователя вводимых в форму **Сопособы защиты** 1. Использовать заголовок ответного сообщения http под названием `X-Frame-Options 'DENY'` - этот заголовок предотвращает показ того сайта, с которого подан во фраймах на других сайтах. 2. Использовать заголовок ответного сообщения http под названием `Content-Security-Policy: frame-ancestors 'none'` - работает как и предыдущий заголовок, но предназвачен для современных браузеров 3. Использовать заголовок ответного сообщения http под названием `Content-Security-Policy: frame-src 'none'` - предотвращает показ сторонних сайтов в iframe на тот сайт с которго подан. > Следует учитовать, что заголовки http можно передовать через метотеги в документе html `<meta></meta>`, однако этот способ работает не совсеми директивами CSP и не является приоритетным, если одновременно поданы и "настоящий" и его эквиволент ввиде мета тега с другими настройками, то сработает заголовок http а мето тег будет проигнорирован. 4. Настроить политику отправки cookie таким образом, чтобы они передовались только на сайт с тем доменным именем, для которого они установлены с учетом правила Lax. ### Resource spoofing Resource spofing - это атака, которая заключается в подмене подресурса(Подресурсом считается такой контент, который размещен в вычислительной сети и имеет соственный URL. Подресурсом могу являтся сценарии javaScript, стили CSS, изображения, фонограммы, шрифты и т.д. ). Целью подмены подресурса, является выполнение в пользовательской агенте, такого подресурса, который создан злоумышленником, но по каким-то причинам воспринят пользовательским агентом как имещий такойже URL как и штатный подресурс. Например к документы html подключен файл CSS: ``` <link rel="stylesheet" href="http://cdn.com/style.css"> ``` Злоумышленник в целях проведения подмены проводит атаку DNS poisoning(отравление DNS)