В ближайшее время основной тенденцией развития Internet в Рос-сии станет значительный рост количества пользователей вследствие снижения цен и повышения доступности сервиса, прежде всего, в регионах. По данным Мининформсвязи РФ, в 2006 г. число постоянных пользователей Internet достигло 25,1 млн человек, в то время как год назад их насчитывалось 21,8 млн. Internet уверенно входит в нашу жизнь и играет все более значимую роль в бизнесе и электронной коммерции, развитие которой определяется прогрессом в области безопасности информации. Вопросы защиты персональных данных и корпоративных сайтов Web становятся необычайно острыми, поэтому и выбор литературы, где поясняются проблемы безопасности в Web и предлагаются правильные, надежные решения, достаточно широк.
В рецензируемой книге описаны наиболее распространенные ошибки разработчиков и показано, как хакеры могут использовать эти ошибки для доступа к конфиденциальной информации и корпоративным данным. Автор рассказывает о таких распространенных атаках, как DoS, инъекции SQL, межсайтовые сценарии, обход аутентификации и др., причем, будучи профессиональным программистом, он анализирует реальные сайты Web. Рекомендации по защите от хакерских атак основываются на практических примерах. Вложенный в книгу компакт-диск содержит листинги примеров и тексты программ самого автора, а также демонстрационные версии программ специалистов CyD Software Labs. По мнению Михаила Фленова, хотя действия хакеров и несут угрозу, еще большую опасность представляет отсутствие должного внимания к проблемам безопасности со стороны программистов и администраторов. Что же касается начинающих пользователей, решивших создать собственный сайт, то зачастую они не предпринимают даже элементарных действий для обеспечения достойной защиты своего сервера Web.
Как отмечает автор, цель книги — омочь защититься от угроз Internet в целом и от хакеров в частности. Читатели узнают, как именно действуют хакеры, находят уязвимости и используют их для получения административных прав доступа. Сначала нужно понять, на что способен неприятель, и лишь потом искать достойный ответ. Методы взлома рассматриваются на примерах действующих сайтов, что позволяет увидеть, насколько опасна невнимательность программистов и администраторов. При этом предлагаются возможные варианты решения проблем и исправления ошибок.
При анализе ситуации автор придерживается комплексного подхода, рассматривая ее с точки зрения возможного взлома сервера Web, сайта Web и вмешательства в работу служб, обрабатывающих страницы Web. Решение подразумевает защиту аппаратной части и операционной системы, сервера Web и выполняемых на нем сценариев, баз данных. К сожалению, аппаратная часть и ОС описаны несколько поверхностно. Столь же бегло анализируются методы социальной инженерии (впрочем, данная тема подробно раскрыта в других книгах), хотя, по мнению автора, именно они позволяют осуществить взлом достаточно быстро и эффективно.
Книга содержит десять глав. Первая посвящена основам безопасности (со-циальная инженерия, базовые приемы взлома и защиты). В ней изложены методы подбора пароля, взлома с помощью поисковой системы, троянские программы, атаки типа DoS и DDoS, получение прав определенного пользователя. Вторая глава рассказывает о простых методах взлома, а третья — о взломе сценариев PHP. В четвертой анализируется работа с системными командами, включая защиту от выполнения произвольных команд и проверку корректности файлов, а тема пятой и шестой глав — инъекции SQL (PHP, ASP, MySQL, Microsoft SQL Server) и защита баз данных. В седьмой главе раскрываются основные уязвимости сценариев Perl, а в восьмой автор подробнее останавливается на атаках DoS. Здесь поясняется, как оптимизировать работу с СУБД, PHP, запросы SQL, использовать кэширование страниц Web и блокировки. Для понимания опасной атаки XSS (Cross Site Scripting) в девятой и десятой главах представлены вопросы авторизации и аутентификации, приведены примеры использования уязвимости. Описание доступно и понятно каждому читателю независимо от уровня подготовки, хотя в некоторых случаях может потребоваться знание программирования и команд Linux.
По мнению Михаила Фленова, бороться с хакерами нужно, создавая качественное программное обеспечение. Программисты и администраторы должны уделять больше внимания безопасности. Он уверен, что лишь при таком подходе количество взломов значительно сократится. Например, чрезвычайно трудно найти ошибку в сценариях на таких сайтах, как Amazon, Google и др., чьи владельцы прилагают много усилий для предупреждения возможных взломов. Автор сумел указать на основные проблемы безопасности сайтов Web, однако книга не охватывают всю тему целиком. Нет такой инструкции, после изучения которой можно создать самый защищенный сайт Web. Обеспечение безопасности — процесс бесконечный. Главное — пробовать и не бояться ошибиться.
Книгу (Михаил Фленов «Web-сервер глазами хакера». — «БХВ-Петербург», 2007 — 288 стр.) можно приобрести в книжных магазинах. Ориентировочная цена — 200 руб.