Основы разработки безопасных web-приложений

Дмитрий Леонов

Необходимость постоянного следования основным принципам разработки безопасных web-приложений обусловлена широким распространением и внедрением в бизнес-процессы информационных систем, основанных на internet/intranet технологиях.

Материалы руководства предназначены для специалистов в области информационных технологий - программистов, системных аналитиков, специалистов по безопасности, ИТ-менеджеров - всех тех, кто по роду своей профессиональной деятельности связан с вопросами построения и функционирования internet/intranet-систем.

Справочник может быть использован в качестве практической инструкции при построении систем, использующих internet/intranet-технологии, или как учебный материал.

Компакт-диск подготовлен совместно с компанией Digital Security.

Содержание:

Часть 1. Основы построения web-приложений

1. Основные определения
   • Протоколы и адресация
   • Доменная система имен
   • Порты и службы
   • URL
2. Средства разработки web-приложений
   • Средства разработки клиентских приложений
   • Средства разработки серверных приложений
3. Введение в Perl
   • Основы языка: скаляры, массивы, хэши, ссылки
   • Управляющие структуры и функции
   • Ввод/вывод
   • Регулярные выражения
   • Пакеты, библиотеки, модули, классы и объекты
4. Основные библиотеки, используемые в web-программировании на Perl
   • Серверные приложения
   • Клиентские приложения
   • Работа с базами данных
5. Задания для самостоятельной работы
   1. Простейшая картотека
   2. Картотека с web-интерфейсом
   3. Картотека с web-интерфейсом, использующая mySQL
   4. Клиентское приложение картотеки

Часть 2. Борьба с типовыми ошибками в web-программировании

1. Безопасность cерверных web-приложений
2. Типовые ошибки
   • Переполнение буфера.
   • Передача нефильтрованного пользовательского ввода внешним приложениям и функциям по работе с файлами
   • Вызов внешних приложений с использованием командной оболочки
   • Передача нефильтрованного ввода SQL-серверу
   • Расчет на определенные значения специальных переменных
   • Вывод избыточной информации
   • Расчет на значения, заданные в полях формы
   • Хранение критичной информации в открытых для доступа файлах
   • Передача web-клиентам нефильтрованного пользовательского ввода
3. Принудительное создание безопасных CGI-приложений на Perl
4. Ошибки в известных CGI скриптах

Часть 3. Идентификация и аутентификация

1. Безопасность личной информации
2. Проблемы идентификации на Web
   • Аутентификация: "игрушечные способы"
   • Защита средствами сервера
   • Механизмы идентификации и аутентификации, основанные на CGI
   • SSL
3. Подмена пользователя
4. Блокировка автоматизированных атак
5. Защита пользователей на примере почтовых служб с web-интерфейсом