Tinklapio saugumo patikra

Iš IV pagalba klientams.
Peršokti į: navigacija, paiešką

Tam, kad Jūsų svetainė veiktų sklandžiai, rekomenduojame nuolatos atlikti programinės įrangos atnaujinimus. Tačiau ir naudojant pačią naujausią programinę įrangą svetainėje gali likti saugumo spragų, kuriomis vėliau gali būti pasinaudota įsilaužiant į svetainę. NKSC (Nacionalinis Kibernetinio Saugumo Centras) suteikia galimybę atlikti svetainės patikrą naudojant OWASP ZAP programinę įrangą. Atlikus skenavimą gausite ataskaitą su išsamia informacija apie galimas svetainės saugumo spragas. Žemiau pateikiame žingsnius, kuriuos turite atlikti norėdami patikrinti svetainę bei trumpą aprašymą apie informaciją pateikiamą gaunamoje ataskaitoje.

SVARBU: šių veiksmų atlikimui bei ataskaitos analizei rekomenduojame pasitelkti savo svetainės kūrėją/programuotoją ar kitą specializuotą svetainių specialistą.


Tinklapio patikros užsakymas

Norėdami užsakyti patikrą apsilankyti šiuo adresu:

https://site-check.cert.lt/

SVARBU: prieš užsakant patikrą rekomenduojame susipažinti su visa informacija nurodyta šiame puslapyje.

Puslapyje matysite šiuos laukelius:

  • Užsakovo el. pašto adresas - įveskite el. pašto adresą, kuriuo norėsite gauti atsakymą apie patikrą bei parsisiųsti ataskaitą.
  • Tikrinamo tinklapio URL- įveskite savo svetainės pavadinimą, kuriai norėsite atlikti patikrą. Adresas turi būti nurodomas su protokolu - HTTP (http://) arba HTTPS (https://) priklausomai nuo to ar svetainė naudoja sertifikatą ar ne.

Įvedę reikiamas reikšmes, pasirinkite Užsakyti:

Nksc.png


Meta žymės įvedimas

Užsakius formą gausite laišką su pavadinimu - [NKSC/CERT-LT #xxxxx] Svetainės https://www.mano-svetaine.lt/ patikrinimo prašymas. Laiško siuntėjas bus cert@cert.lt. Laiško tekstas:

Laba diena,

Jūs užsakėte savo tinklalapio https://www.mano-svetaine.lt/ saugos patikrinimą automatizuotomis priemonėmis. Kad galėtume identifikuoti, kad tinklalapis priklauso jums prašome pridėti "<meta>" žymą savo svetainės pagrindiniame puslapyje (index.html, index.php arba panašiai).

"<meta>" žyma turėtų būti įkelta į puslapio "<head>" skiltį

<meta name="CERT-LT-verification" content="6af277c6bb49913cf0c23a3be1b3db9b965c377a0791108258a1640161xxxxxx" />

Puslapio html pavyzdys:
<html>
<head>
<meta name="CERT-LT-verification" content="6af277c6bb49913cf0c23a3be1b3db9b965c377a0791108258a1640161xxxxxx" />
</head>
<body>
puslapio turinys
</body>
</html>

Neįvykdžius šios sąlygos per 3 dienas, tinklalapio patikrinimas bus atšauktas. <...>

Paryškintą reikšmę turėsite įvesti į savo svetainės <head> dalį. Ši dalis gali būti koreguojama skirtingais būdais, pavyzdžiui, naudodami WordPress turinio valdymo sistemą šią žymę galėsite įvesti į failą header.php randama šiuo keliu:

/home/naudotojas/domains/mano-svetaine.lt/public_html/wp-content/themes/naudojama_tema/header.php

Kitose turinio valdymo sistemose tai gali būti kitas failas. Jeigu nenaudojate TVS sistemos, susiraskite failą, kuriame koreguojamas HTML kodas ir jame galėsite įkelti meta žymę.

SVARBU: Kaip laiške ir buvo minima, šią reikšmę turite įvesti per 3 dienas nuo laiško gavimo. Įvedus reikšmę vėliau, tikrinimas nebebus atliekamas.


Ataskaitos parsisiuntimas

Korektiškai atlikus meta žymės įkėlimą į svetainės <head> skiltį gausite atskirą laišką iš NKSC (testavimo metu laiškas buvo gautas per maždaug valandą), kuriame rasite nuorodą ataskaitos parsisiuntimui. Laiško turinys atrodys taip:

Sveiki,

informuojame, kad cert@cert.lt įkėlė failą į NKSC/CERT-LT FileSender ir Jums buvo suteikta teisė jį parsisiųsti:

                                       Perdavimo informacija
Failas 	                Report.pdf (27.7 kB)
Galioja iki 	        2020-xx-xx
Parsisiuntimo nuoroda 	https://files.cert.lt/filesender/?s=download&token=20f30f8b-0f97-4af0-992a-eb0dfxxxxxx

Asmeninė žinutė nuo cert@cert.lt:

Remiantis jūsų atliktu užsakymu buvo atliktas svetainės saugos patikrinimas, kurio ataskaitą galite parsisiųsti naudojantis aukščiau pateikta parsisiuntimo nuoroda.<...>

Atsidarius pateikta nuorodą Jums bus patiekiamas langas:

Nksc1.png


Pasirinkus "Parsisiųsti" patvirtinkite ir Jums bus parsiunčiamas failas PDF formatu.


Failo analizė

Parsisiuntus failą rekomenduojame jį perduoti analizei svetainės kūrėjams/programuotojams. Kadangi kiekvienoje svetainėje aptinkamos spragos gali būti skirtingos, trumpai apžvelgiame tik pagrindinę informaciją pateikiamą byloje.

Ataskaitos viršuje matysite svetainę, kuriai atlikta patikra bei tikslų patikros laiką. Žemiau bus pateikiama lentelė su visų aptiktų galimų spragų suvestine:

NKSC2.png


  • Risk Level - rizikos lygis. Rekomenduojame High ir Medium atvejus pašalinti kaip įmanoma greičiau. Low lygio problemos gali per laiką peraugti į Medium ar High lygio problemas, todėl jas taip pat reikėtų peržiūrėti. Informational tipo pranešimai yra tik informacinio pobūdžio - ar galimą problemą reikėtų pašalinti turi nuspręsti svetainės specialistai.
  • Number of Alerts - kiek skirtingų kiekvieno lygio atvejų buvo aptikta.

Žemiau galėsite matyti visus atvejus su detalizuota informacija. Pavyzdžiui:

Nksc3.png


  • Raudoname fone kairiau nurodomas galimos saugumo spragos lygis, dešiniau - tipas.
  • Description - trumpai aprašomas tipas (sritis). Konkrečiu atvejui nurodomas SQL Injection - galima duomenų bazės saugumo spraga.
  • URL - svetainės adresas per kurį gali būti pasiekiama saugumo spraga.
  • Method - užklausos tipas (metodas), kuria galima būtų pasinaudoti spraga.
  • Parameter - naudojamas parametro tipas. Kadangi konkrečių atveju tai yra duomenų bazė, todėl naudojama duomenų bazės užklausa (query).
  • Attack - kokios papildomos sąlygos reikalingos įvykdyti įsilaužimui. Ši reikšmė būna ne visose galimose spragose.
  • Instances - kiek tokių pačių galimų spragų aptikta.
  • Solution - detalizuojamas problemos sprendimas.
  • Other information - papildoma informacija, kuri gali padėti rasti galimą saugumo spragą.
  • Reference - patikros įrankio suteikiama dokumentacija apie konkretų atvejį.
  • CWE Id - spragos identifikavimo numeris CWE (angl. Common Weakness Enumration) sąraše.
  • WASC Id - svetainių saugumo konsorciumo numeris (angl. Web Application Security Consortium).
  • Source ID - saugumo spragos numeris pagal svarbumą (žemesnis skaičius reiškia didesnę galimą žalą pasinaudojus spraga).

Norint pašalinti kai kurias saugumo spragas yra reikalingos programavimo žinios, todėl prieš pradedant koreguoti programinį kodą rekomenduojame pasitarti su svetainių specialistais/programuotojais. Atlikus korekcijas galite iš naujo atlikti patikrinimą ir matysite ar saugumo spragų nebeliko.