Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Описание угрозы

Вне зависимости от типа публичного сервиса

Описание уязвимости

Любые технические уязвимости (CVE) программного обеспечения, а так же уязвимости протоколов и стандартов.
По терминологии MITRE CVE уязвимость это состояние вычислительной системы (или нескольких систем), которое позволяет:
  • исполнять команды от имени другого пользователя;
  • получать доступ к информации, закрытой от доступа для данного пользователя;
  • показывать себя как иного пользователя или ресурс;
  • производить атаку типа «отказ в обслуживании».

Описание типа актива

Веб-сайт это набор веб-страниц и связанного с ними контента, который идентифицируется общим доменным именем и публикуется по крайней мере на одном веб-сервере.
Все общедоступные веб-сайты вместе составляют всемирную паутину. Существуют также частные веб-сайты, к которым можно получить доступ только в частной сети, например, внутренний веб-сайт компании для ее сотрудников.
Веб-сайты обычно посвящены определенной теме или цели, например новостям, образованию, коммерции, развлечениям или социальным сетям. Гиперссылки между веб-страницами определяют навигацию по сайту, которая часто начинается с домашней страницы.
Пользователи могут получать доступ к веб-сайтам с различных устройств, включая настольные компьютеры, ноутбуки, планшеты и смартфоны. Программное обеспечение, используемое на этих устройствах, называется веб-браузером.
Классификация
Иное: НСД ? Несанкционированный доступ / Unauthorized access
Доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации.
Источники угрозы
Внешний нарушитель - Низкий потенциал ? Внешний нарушитель
Находящийся вне информационной системы на момент начала реализации угрозы.
Для реализации угроз в информационной системе внешний нарушитель должен тем или иным способом получить доступ к процессам, проходящим в информационной системе.

Связанные защитные меры

Название Дата Влияние
Community
4
Настройка безопасных заголовков для web сайта
Разово Вручную Превентивная Техническая
10.09.2020
06.05.2021 4
Правильная настройка заголовков (headers) веб сервиса полностью или частично защищает его от ряда атак: XSS, CSRF, Clickjacking и иных.
Заголовки могут настраиваться на уровне сайта и/или веб сервера.
Сервис для проверки заголовков: https://securityheaders.com 
Перечень заголовков и параметров, которые следует настроить:
  1. X-Frame-Options https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options 
  2. X-XSS-Protection https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection 
  3. Content Security Policy https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP 
  4. Server https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Server 
  5. X-Content-Type-Options https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options 
  6. X-Download-Options https://msdn.microsoft.com/en-us/library/jj542450(v=vs.85).aspx 
  7. X-Permitted-Cross-Domain-Policies https://www.adobe.com/devnet/adobe-media-server/articles/cross-domain-xml-for-streaming.html 
  8. Referrer-Policy https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy 
  9. Clear-Site-Data https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Clear-Site-Data 
  10. HTTP Strict Transport Security https://developer.mozilla.org/en-US/docs/Web/Security/HTTP_strict_transport_security 
  11. Expect-CT https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Expect-CT 
  12. Feature Policy (Permissions-Policy) https://w3c.github.io/webappsec-feature-policy 
  13. Set-Cookie (Secure, HttpOnly) https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies 
  14. X-Powered-By