Защита от хакеров коммерческого сайта

Райан Рассел, Марк Мерков, Робин Уолшоу,

Тери Бидвел, Майкл Кросс, Оливер Стойдлер, Кевин Цайсе 

Защита от хакеров 

коммерческого сайта

Ryan Russell
Mark S. Merkow
Robin Walshaw
Teri Bidwell
Michael Cross
Oliver Steudler
Kevin Ziese

The Only Way to Stop a Hacker is to 
Think Like One

ТМ

Your E-commerce Site
Your E-commerce Site

Райан Рассел
Марк Мерков
Робин Уолшоу

Тери Бидвел
Майкл Кросс

Оливер Стойдлер 

Кевин Цайсе 

Единственный способ остановить 
хакера – это думать, как он

Москва

Перевод с английского 
Алексея Груздева

коммерческого сайта
коммерческого сайта

Серия «Информационная безопасность»

Рассел Р. и др.
Защита от хакеров коммерческого сайта: Пер. с англ. – М.: Компания АйТи: 
ДМК Пресс: ТЕТРУ.  - 552 с.:  ил. (Серия Информационная безопасность).

ISBN 5-94074-201-7 (ДМК Пресс) – 5-94074-001-6 (ТЕТРУ)

УДК 004.056
ББК 32.973.202

Р24

Р24

ISBN 1-928994-27-X (англ.)
           Copyright © by Syngress Publishing, Inc.

© Перевод на русский язык. Компания АйТи

ISBN 5-94074-201-7 (ДМК Пресс)
           © Оформление. ДМК Пресс

ISBN 5-94074-001-6 (ТЕТРУ)
           © Издание. ТЕТРУ

Безопасность в виртуальном мире Internet – более запутанная вещь, чем безопас
ность в обычном ее понимании. Даже несмотря на то, что программное обеспечение 
постоянно модернизируется, специалисты утверждают: Глобальная сеть день ото дня 
становится все более опасной и непредсказуемой. 

«Единственный способ остановить хакера – это думать, как он» – основная идея 

книги. Вниманию читателей представлены пошаговые инструкции по обеспечению 
безопасности финансовых транзакций и реализации защищенного коммерческого 
сайта, специальные пояснения, а также подробное руководство по проверке сайта на 
ударопрочность.

В книге подробно рассмотрены методы регулирования и оценки защитных мер, 

составления бюджета проекта и контроля расходов на безопасность. Тем, кто собирается защищать уже работающий коммерческий сайт, безусловно, будет интересно 
узнать, как вести себя и каким образом повысить существующий уровень безопасности системы.

Издание представляет интерес для руководителей информационных служб пред
приятий и организаций, разработчиков систем электронной коммерции, специалистов 
вобласти информационной безопасности, а также студентов иаспирантов, обучающихся по соответствующим специальностям.

УДК
004.056

ББК
32.973.202

Original English language edition published by Syngress Publishing, Inc. Copyright © 2000–2002 by 

Syngress Publishing, Inc. All rights reserved.

Все права защищены. Любая часть этой книги не может быть воспроизведена в какой бы то 

ни было форме и какими бы то ни было средствами без письменного разрешения владельца 
авторских прав. 

Материал, изложенный в данной книге, многократно проверен. Но, поскольку вероятность 

технических ошибок все равно остается, издательство не может гарантировать абсолютную точность и правильность приводимых сведений. В связи с этим издательство не несет ответственности 
за возможный ущерб любого вида, связанный с применением содержащихся здесь сведений.

Все торговые знаки, упомянутые в настоящем издании, зарегистрированы. Случайное непра
вильное использование или пропуск торгового знака или названия его законного владельца не 
должно рассматриваться как нарушение прав собственности.

Содержание

Предисловие 
19

Глава 1. Электронная коммерция 
и принципы информационной 
безопасности 
21

Введение 
22

Безопасность как фундамент системы 
23

Конфиденциальность 
23

Целостность 
24

Доступность 
24

Безопасность – не просто звучное слово  
26

Цели безопасности 
в системах электронной коммерции 
28

Разрабатывая систему, 
думайте о безопасности 
29

Обеспечение безопасности 
на стадии разработки системы  
31

Воплощение решений безопасности 
33

Управление информационными системами 
в защищенном режиме 
34

Защита систем, 
находящихся в эксплуатации  
38

Все начинается с риска 
39

Внесение изменений в систему 
41

Регулирование расходов 
на безопасность 
44

Метод эталона 
45

Метод оказания давления 
49

Ограничивающие свойства защиты 
52

Способствующие свойства защиты 
53

Резюме 
55

Понятие целей 
безопасности 
в контексте 
коммерческой 
деятельности

 Защита конфиденциальной 

информации клиента 

 
в момент совершения покупки.

 Защита клиентской инфор
мации во время хранения 
и обработки.

 Обеспечение безопасности 

покупателей, поставщиков 
и персонала организации.

 Предотвращение мошен
ничества, организационная 
защита от злоупотреблений 
и излишних расходов.

 Защита информационных 

активов от несанкционированного доступа и раскрытия третьим лицам.

 Сохранение целостности 

информационных активов 
предприятия.

 Обеспечение доступности 

систем и процессов, необходимых в работе с клиентами и партнерами.

Защита от хакеров коммерческого сайта


Конспекты 
56

Часто задаваемые вопросы 
59

Глава 2. Распределенная атака 
«отказ в обслуживании». 
Цели, средства нападения 
и методы защиты 
1

Введение 
62

Что такое распределенная атака 
63

Все начинается с DoS 
63

Анатомия распределенной атаки 
«отказ в обслуживании» 
73

Атаки февраля 2000 года 
76

DDoS и сайты электронной коммерции 
79

Проблемы роста 
80

Проблемы СМИ 
80

Хакер и мотивы, приводящие к взлому коммерческих систем 
81

Этика взлома или путаница 
в терминологии? 
81

Хактивизм 
83

Пятнадцать минут славы 
83

Нет ничего страшнее униженного хакера 
84

Деньги 
84

Злой умысел 
85

Средства осуществления DDoS-атаки 
85

Trinoo 
86

Портативный монстр TFN2K 
88

Stacheldraht 
90

Другие разновидности DDoS-систем 
95

Защита сайта 
от распределенного нападения 
95

Основные методы защиты 
97

Резюме 
111

Конспекты 
112

Часто задаваемые вопросы 
117

Разделы «Безопасный 
совет» содержат 
дополнительные 
данные о способах 
снижения 
информационных 
рисков

Безопасный 
совет: Управление 
конфигурациями

Изменение конфигурации 
ключевых устройств, таких как 
маршрутизатор или сервер, 
может кардинальным образом отразиться на степени, 
в которой ваш сайт подвержен угрозе DoS-нападения. 
Таблицы маршрутизации, 
реестры, конфигурационные 
базы данных и conf-файлы – 
вот неполный список рычагов 
изменения параметров системы и ее окружения. Стоит 
ли говорить о том, что все 
устройства, подключающиеся 
к Internet, должны тщательным образом контролироваться на предмет изменения 
их параметров. Кроме того, 
администратор всегда должен 
иметь под рукой резервные 
копии безопасных и проверенных на практике конфигураций.

Содержание


Глава 3. Разработка 
защищенного Web-сайта 
119

Введение 
120

Выбор Web-сервера 
120

Web-сервер или Web-сервис 
121

Поддерживаемые платформы и цены 
122

Сравнение защитных свойств Web-серверов 
124

Основы разработки 
защищенного сайта 
136

Создание плана безопасности 
136

Внедрение слоя безопасности, 
закрывающего Web-сервер 
139

Apache или Internet Information Services 
141

Установка сервера 
143

Повышение надежности сервера 
156

Укрепление всей системы 
158

Вскрытие и аудит паролей 
160

Проблемы разработки, связанные с HTML 
163

Введение в Java, JavaScript и ActiveX 
167

Проблемы, связанные с применением Java, 
JavaScript и ActiveX 
167

Предупреждение атак с использованием Java, 
JavaScript и ActiveX 
169

Программирование 
защищенных скриптов 
171

Программные подписи: проблема 
или решение 
173

Коротко о программных подписях 
174

Аутсорсинг работ по созданию сайта 
176

Определение необходимых знаний 
177

Достоинства и недостатки аутсорсинга 
178

Проверьте выполненную работу перед тем, 
как ввести сайт в эксплуатацию 
180

Резюме 
182

Конспекты 
182

Часто задаваемые вопросы 
186

Ошибки HTMLпрограммирования

В HTML-формах могут использоваться скрытые метки, 
содержащие название и 
значение параметра. После 
заполнения формы эти данные 
передаются программе-обработчику. К примеру, следующая строчка обозначает параметр «цена» величиной $100:

<input type=hidden 
name=”cost” 
value=”100.00”>

Хакер, используя простой текстовый редактор, может заменить это значение, скажем, 
на $1. Это позволит ему купить 
товар гораздо дешевле.

Защита от хакеров коммерческого сайта


Глава 4. Разработка 
и внедрение политики сетевой безопасности 
19

Введение 
190

Зачем нужна политика безопасности 
190

Что такое политика сетевой безопасности 
191

Из чего состоит политика безопасности 
197

Политика конфиденциальности 
и приватности 
198

Политика целостности информации 
206

Политика гарантии качества 
207

Политика доступности 
210

Можно ли найти в сети 
готовую политику безопасности? 
211

Разные организации – разные политики безопасности 
212

Примеры и структура 
политики безопасности 
212

Несколько слов о привлечении 
специалистов со стороны 
213

Использование политики безопасности 
в реализации технических решений 
214

Как ознакомить клиентов 
с политикой безопасности 
216

Получение доверия путем огласки данных 
217

Резюме 
219

Конспекты 
219

Часто задаваемые вопросы 
222

Глава 5. Реализация защищенного 
сайта электронной коммерции 
225

Введение 
226

Компоненты коммерческого сайта 
226

Создание зон безопасности 
227

Зоны демилитаризации 
229

Дополнительные потребности – 
новые зоны безопасности 
231

Многозональные сети 

Исследование

Возникшая
проблема

"Каркас"

нового правила
Отзывы

специалистов

Определение

заинтересованных

сторон

Пересмотр
политики
Проведение

семинара

Окончательный

вариант черновой

политики

Утверждение
руководством

Публикация

Юридическое
обоснование

Обучение
персонала

Редакция
чернового
варианта
политики

Предлагаемый

вариант
политики

Создание политики 
сетевой безопасности

Содержание
9

и связанные с ними трудности 
233

Межсетевое экранирование 
234

Возможности систем 
межсетевого экранирования 
235

Создание набора фильтрующих правил 
236

Размещение сетевых компонентов 
240

Профилирование систем по критерию риска 240
Определение требований 
к управлению рисками 
241

Создание зон безопасности на основе предъявляемых требований 
242

Системы обнаружения вторжения 
242

Что такое «обнаружение вторжения» 
244

Выбор системы IDS 
244

Пример сетевой IDS 
249

Пример локальной IDS 
250

Управление и контроль 
251

Управленческие задачи, 
решаемые администратором 
252

Что должен контролировать администратор  253

Зачем нужны аутсорсинг-партнеры 
256

Достоинства и недостатки аутсорсинга 
257

Использование мощностей 
выделенных подстанций 
257

Выбор аутсорсинг-партнера 
258

Резюме 
259

Конспекты 
259

Часто задаваемые вопросы 
264

Глава . Защита 
финансовых операций 
25

Введение 
266

Принцип и системы оплаты 
через Internet 
267

Кредитные, расходные или дебетные карты  
267

Процесс оплаты на пункте продажи  
269

Особенности обработки расходных карт 
270

Обработка и окончательный расчет 
271

Глава 5 отвечает на 
вопросы, которые 
могут возникнуть 
при разработке 
защищенного сайта 

Вопрос: Как определить 
нужное количество информации, заносимой в протоколы 
событий?
Ответ: Протоколируйте то, 
что помогает принимать решения. Если возникают проблемы с выявлением нужной 
информации, постарайтесь 
сократить количество протоколируемых событий или 
используйте автоматизированные средства анализа. Как 
правило, если вы не имеете 
четкого представления 
о поведении систем и пользователей, то в протокол заносится данных меньше, чем 
того требует безопасность.

Защита от хакеров коммерческого сайта
10

Стадии процесса оплаты через Internet 
272

Осторожно, опасная информация! 
276

Подходы к решению проблем оплаты 
через Internet 
277

Варианты и выбор способа 
коммерческой оплаты 
278

Провайдеры коммерческого сервера 
279

Использование собственных ресурсов 
280

Обеспечение надежности 
процесса оплаты 
282

Дополнительные средства 
управления сервером 
285

Управление на прикладном уровне  
286

Понятие криптографии 
286

Методология 
287

Роль ключей в криптосистемах 
290

Принципы криптографии 
292

Цифровые сертификаты 
296

Криптография 
в электронной коммерции 
299

Функции хэширования 
299

Блочные шифры 
300

Системы, реализующие PPK-криптографию 
300

Протокол SSL 
301

Протокол защищенных 
транспортных уровней  
302

Система PGP 
304

S/MIME 
305

Протокол защищенных 
электронных транзакций  
305

Цифровые подписи на языке XML 
307

Реализация виртуального POS 
309

Программа ICVERIFY 
310

Альтернативные системы оплаты 
312

Разработки на основе использования 
смарт-карт 
312

Системы proxy-обслуживания 
316

 Забавные деньги 
317

Обзор торговых POSтерминалов

Перечислим некоторые возможности ICVERIFY:

 Импортирование транзак
ций из других приложений 
(электронные таблицы 
и базы данных).

 Группировка транзакций 

для единовременной авторизации.

 Поддержка систем адрес
ной проверки (AVS), розничной AVS, CVV2 
и CVC2 для уменьшения 
угроз, связанных с подделками и кражами пластиковых карт.

Анализ данных и предотвращение ошибок на этапе 
импортирования транзакционной информации.