Перейти к содержанию

Защита от атак

Взаимодействие клиента и сервера происходит по HTTPS протоколу.

Система включает в себя следующие компоненты для защиты от атак:

  • При работе с web-интерфейсом осуществляется контроль вводимых данных.
  • Средствами nginx/IIS обеспечивается контроль потока запросов:
  • С помощью RequestFiltering настраивается фильтрация запросов по:
    • Сегментами URL, которыми может попытаться воспользоваться злоумышленник.
    • Расширению файлов, которые находятся в запросе (может использоваться для блокировки запросов к файлам типа Web.config).
    • URL адресам, которые запрещено запрашивать.
    • Параметрам запроса.
  • С помощью IP Address and Domain Restrictions происходит составление «белых» и «черных» списков IP-адресов.
  • С помощью Dynamic IP Address Restrictions возможны:
    • Блокировка IP-адресов, превысивших максимальное число запросов. 
    • Настройка поведения при запросе с заблокированного IP-адреса: дефолтный возврат HTTP ошибки 403.6 или игнорирование запроса.
    • Прокси-режим блокировки, когда блокировка IP-адресов происходит по контенту запроса, а не только по IP-адресу отправителя.
  • При обмене данными между браузером и сервером происходит HMAC подпись и последующая валидация сообщений.
  • Сервер валидирует данные и операции с точки зрения бизнес задач и настроек безопасности.
  • При работе сервера происходит валидация и автоматическая очистка пользовательского контента.
  • SQL-инъекция не возможна по дизайну системы, поскольку для запросов к графовой базе данных используется нотация N3 RDF, а не SQL. 

Исследования осуществляются <br>ООО «Колловэар» при грантовой <br>поддержке Фонда «Сколково»
Comindware