НКЦКИ предупредил о росте количества массированных атак на web-приложения

Национальный координационный центр по компьютерным инцидентам (НКЦКИ) подготовил рекомендации в связи с массированными компьютерными атаками на веб-приложения в российском сегменте интернета.

"По каналам НКЦКИ поступает информация о массированных компьютерных атаках на веб-приложения в российском сегменте сети Интернет, в том числе через внешние компоненты кода веб-страниц. К таким компонентам могут относиться подключаемые JavaScript-библиотеки, CSS-фреймворки, плагины защиты от вредоносной активности, информационные и аналитические плагины (новостные ленты, интерактивные карты, подсчет посещений информационного ресурса и т. д.), а также веб-шрифты, подгружаемые со сторонних серверов", - говорится в бюллетени НКЦКИ.

Помимо классических компьютерных атак типа внедрения кода для взлома, "межсайтового выполнения сценариев" и использования некорректных настроек компонентов веб-приложений, хакеры могут скомпрометировать инфраструктуру размещения легитимного кода сторонних компонентов и подменить код на вредоносный. В таком случае штатное функционирование приложений будет нарушено. "В результате возможно некорректное или полное отсутствие визуального отображения информации, а также проведение компьютерных атак, нацеленных на пользователей веб-приложения", - поясняется в бюллетени.

В этой связи НКЦКИ рекомендует организовать авторизованному пользователю веб-приложения возможность самостоятельного завершения сеанса работы в нем и доступ к защищенным ресурсам приложения только после прохождения процедуры аутентификации. Также стоит обеспечить гарантированное удаление идентификатора соответствующей сессии по завершении сеанса работы приложения, а данные пользователей приложения хранить только в криптографически защищенном виде. Предлагается также исключить хранение аутентификационных данных в файлах и HTML-страницах, доступных по URL. "Если в веб-приложении предусматривается возможность внесения изменений пользователем в принадлежащий ему профиль, их внесение необходимо подтверждать дополнительной процедурой аутентификации", - отмечается в рекомендациях.