Проблемы безопасности: что угрожает вашему ресурсу

Нередко о безопасности сайта начинают задумываться, когда его работоспособность утрачена. Под угрозой оказываются конфиденциальные пользовательские данные. Внешней атаке подвержены любые (крупные и не очень) ресурсы. Лакомую информацию содержит каждый проект. Лишившись ее, владелец несет финансовые потери, теряет доверие и репутацию надежного партнера.

Беспечность чревата последствиями

Ваш сайт можно не только подвергнуть прямой атаке, но также использовать в качестве посредника, чтобы причинять вред другим ресурсам, распространять заражение по сети, в том числе, через приложения. Например, рассылая спам, DDoS-атаки, охватывая контактирующих пользователей.

В таких случаях сайт, распространяющий вирус, заблокируют. Систему изолирует хостинг-провайдер, всполошатся поисковые системы, браузеры. Подозрение на угрозу безопасности в интернет-пространстве выльется в блокировку ресурса.

Цель атак:

• Коммерческий ресурс – получение данных о системе и потребителе, для дальнейшего использования в мошеннических схемах.
• Корпоративный ресурс – завладеть доступом к сети организации, выкрасть клиентскую базу, конфиденциальные сведения.

Зоны уязвимости сайта:

• Серверная.
• Программная: CMS, скрипты, плагины.
• Система администрирования: подбор (кража) паролей, дающий доступ к админпанели, FTP-клиенту и пр.

Нападение может носить случайный, бессистемный, массовый характер. Для атак задействуют роботов, автоматизируя процесс. Но бывают и целенаправленные действия, когда в поле интересов хакеров попадает именно ваш сайт.

Уязвимость сайта – успех для атакующих

Проверка безопасности даст результаты, если знать вероятные уязвимости систем и приложений. Важно понимать, как происходит взлом, каким способом хакеры добиваются результата. 

Уязвимость №1 Аутентификация

Ища способ обхода системы, хакер нащупывают брешь в схеме идентификации пользователя, программы, службы, приложения. Проверьте пароли, защиту доступа к данным:

Форма атаки – Подбор (Brute Force)

Роботизированный процесс вычисления пароля, установление логина пользователя, нахождение алгоритма шифрования. Дает видимый результат метод перебора тысяч комбинаций при отсутствии проверки безопасности сайта.

Уязвимость №2 Авторизация

Чтобы установить уровень доступа, требуется пройти авторизацию. Нападения сфокусированы на проникновение в систему с правами, дающими возможность добраться до важной информации. Где мошенники находят уязвимости:

• Параметр обозначения сессии предугадываем (Credential/ Session Prediction): Дает взломщикам шанс перехватить данные пользователей сети.
• Ненадежная авторизация (Insufficient Authorization): Сервер не проявляет бдительности – дает права пользования особыми функциями без проверки.
• Таймаут сессии отсутствует (Insufficient Session Expiration): Как отсутствие, так и увеличенный параметр таймаута несет в себе опасность. В последнем случае – хакер успеет внедриться по старым сведениям.

Форма атаки – Фиксация сессии (Session Fixation)

Взломщик задает идентификатору сценария иные параметры. Получает доступ, используя логин участника сети.

Уязвимость №3 Логика приложений

Уязвимость – предсказуемость, логические манипуляции по алгоритму приложений. Угадываемый процесс: решение некоторых задач, когда требуется ряд последовательных шагов.

Внедрение происходит, например, при регистрации пользователя, при восстановлении паролей, при совершении действий в интернет-магазинах и пр. Требуется проверка уязвимости.

Форма – Логические атаки (Logical Attacks)

Атакуя сервера организации злоумышленник добивается блокировки обслуживания (DDoS). Сайт становится недоступен пользователям. Работоспособность системы внутри компании полностью утрачивается.

Нарушив работу веб-приложений, взломщик обходит процесс проверки и определения уровня доступов. Устанавливает контроль за функциональными возможностями (Abuse of Functionality).

Уязвимость №4 Разглашение информации

Часто веб-сервера разглашают внутри-служебную тайну, которую желательно скрывать. Например, данные, по которым определяют дистрибутив программного обеспечения, используемые версии как клиента, так и серверов. Хакеры приобретают сведения, облегчающие их задачи, увеличивая шансы для взлома.

• Разглашение информации (Information Leakage): Размещение сведений на внешних площадках. Попав в недобросовестные руки, данные способствуют компрометации сайта. Например, отправка сообщений (поиск решения возникшей неполадки), содержащих параметры о системе.
• Присвоение индекса директориям (Directory Indexing): Поможет завладеть документами. В обычном режиме данные об их локализации закрыты от пользователей.

Форма нападения – Обратный путь в директориях (Path Traversal)

Нападения совершают для захвата прав доступа к документам, блокам сайта, функциям и пр., расположенным за пределами безопасного местоположения директории главного компьютера.

Форма атаки – Распознавание приложений (Web Server/ Application Fingerprinting)

Разглашенные сведения дают в руки хакеров информацию о версиях ОС, приложений, программ, браузеров и т. п. Получить реквизиты клиентов, серверов, пользователей становится намного проще.

Уязвимость №5 Переполнение буфера / Выполнение команд ОС

Веб-сервера оперируют сведениями, обрабатывая запросы. Цель взломщиков – манипуляции на главном сайте компании. При недостаточной защищенности операций и проверки системы хакер изменяет команды. Дыры в безопасности возникают:

• Когда буфер переполнен (Buffer Overflow): Уязвимость, возникшая по недосмотру, позволит взломщику перенаправить путь приложения, изменив алгоритм исполнения команды незащищенных сведений в памяти ПК.
• Выполнение системных команд (OS Commanding) открывает перспективу изменения операций с входными данными: перенаправляя указания системе на веб-сервере.

Форма нападения – Выполнение кода (Command Execution)

Атакуется компьютер, передающий запросы на языке XPath, опираясь на вносимые пользователем данные. Встраивается XPath Injection (внедрение).

Встраивание SSI Injection происходит при переадресации исполняемого кода, чьи команды осуществляются на веб-сервере. 

Применяя SQL Injection, атакующий использует данные, внесенные во время SOL-запроса, обращенного к Системе Управления БД.

Для осуществления атаки используют параметр форматирования строк (Format String Attack). Встраивается код, изменяющий пути исполнения приложения.

Уязвимость №6 Безопасность клиентов

Нападению подвергается посетитель сайта, при обращении к зараженному серверу.

• Брешь в безопасности Cross-site Scripting: Внедрение исполняемого кода дает возможность злоумышленникам перенаправить вирус на сайт пользователя.
• Возможность разделения HTTP- запроса засвечивает данные пользователя при отображении их в заголовке HTTP-ответов. Настройка скрипта на сервере – это уязвимость клиента. Например, подобное происходит при формировании куки или перенаправления URL-адреса.

Форма: Атаки на клиента (Client-side Attacks)

Взломщики используют код, при исполнении сценария между сайтами (Cross-site Scripting, xss), используя функции чтения, изменения и передачи сведений, осуществляемых через браузер. Пользователь, подвергшийся заражению, получает ряд проблем: доступ злоумышленников к аккаунту, подмену сервера, получение недостоверных сведений и пр.

Разделение HTTP-запроса (HTTP Response Splitting) позволяет сформулировать его так, что один ответ считывается, как два. Результат: клиент попадает на подставной сайт, попав в разработку мошенников.

Ответ на запрос подается из неизвестного источника. Цель – фальсификация контента (Content Spoofing). Меняется не только текст, но и реквизиты страницы: URL, почта, телефон.