Основні проблеми, пов'язані з безпекою функціонування публічно доступного web-сайта, виникають по наступних причинах:
· Неправильна конфігурація або інша некоректна дія над web-сервером, яка може привести до розкриття або зміни інформації.
· Уразливості ПО web-сервера, які можуть допускати, наприклад, щоб той, що атакує компрометував безпеку сервера або інших хостів в мережі.
· Неадекватні механізми захисту web-сервера, передбачені в його оточенні.
· ПО на стороні сервера (скрипти, JSP, ASP і тому подібне), яке містить помилки, що дозволяють що атакує компрометувати безпеку web-сервера.
Планування розгортання web-сервера
При плануванні розгортання web-сервера слід розглянути наступні пункти:
· Визначити цілі web-сервера;
o Які категорії інформації зберігатимуться в web-сервері.
o Які категорії інформації оброблятимуться або передаватимуться через web-сервер.
o Які вимоги безпеки для даної інформації.
o Чи існує інформація, яка отримана з іншого сервера або зберігається на іншому сервері (наприклад, backend база даних, поштовий сервер, проксі-сервер).
o Які ще сервіси надає web-сервер (чи повинен web-сервер виконуватися на віддаленому хості).
o Які вимоги безпеки для цих додаткових сервісів.
· Визначити мережеві сервіси, які надаватиме web-сервер, і використовувані при цьому протоколи:
o НТТР, Нттрs, SOAP і тому подібне – протоколи взаємодії з клієнтами.
o ODBC, JDBC, LDAP, LDAPS, NFS і тому подібне – протоколи взаємодії з backend-системами.
· Визначити все необхідне ПО, яке потрібне для підтримки функціонування web-сервера;
· Визначити категорії користувачів web-сервера і всіх backend-систем;
· Визначити способи аутентифікації користувачів і web-сервера і способи захисту аутентифікаційних даних;
· Визначити, як надаватиметься відповідний доступ до інформаційних ресурсів.