10 najczęstszych ataków na bezpieczeństwo stron internetowych (i jak się chronić)

Pomimo szumu wokół "coraz bardziej wyrafinowanych, zautomatyzowanych ataków", te 10 wypróbowanych i prawdziwych ataków na bezpieczeństwo stron internetowych wciąż znajduje się na szczycie listy hakerów. Nikt nie lubi pracować ciężej niż musi, a czarne kapelusze nie są inne.

Chociaż te powszechne exploity nie są tak proste jak ataki phishingowe, istnieją na tyle długo, że są dobrze znane (i dobrze wykorzystywane) w branży. Dopóki organizacje nie zaczną się mądrze bronić przed nimi, dopóty będą.

10 najczęstszych ataków na bezpieczeństwo stron internetowych

1. Cross-Site Scripting
Ataki typu cross-site scripting (XSS) podstępnie nakłaniają przeglądarkę do dostarczenia złośliwych skryptów po stronie klienta do przeglądarki ofiary, która po ich otrzymaniu automatycznie je wykonuje. Takie złośliwe oprogramowanie może przenosić dane, instalować złośliwe oprogramowanie lub przekierowywać użytkownika do fałszywej witryny. Zapobieganie atakom XSS jest tak proste, jak sanityzacja danych wejściowych. Warto rozważyć odrzucenie znaków specjalnych lub symboli, aby uniknąć wstrzyknięcia kodu. Niekontrolowane ataki typu cross-site scripting mogą prowadzić do porwania sesji, porwania akcji formularza oraz ataków typu server-side request forgery.

2. Ataki typu SQL Injection
Ataki typu SQL injection są jednym z najskuteczniejszych ataków internetowych ostatnich dziesięciu lat. Pozwalają one napastnikom naruszyć  ciasteczek serwera, formularzy internetowych lub postów HTTP w celu manipulowania danymi z bazy danych. Wykorzystują pola wejściowe (takie jak te w formularzu online) i wstrzykują złośliwy skrypt zaprojektowany tak, aby oszukać serwer w celu dostarczenia nieautoryzowanych (i jeszcze nie chronionych) wrażliwych informacji z bazy danych. Zapobieganie atakom SQL injection wymaga takiej samej surowości przy wprowadzaniu danych oraz ograniczonego zestawu funkcji dopuszczalnych poprzez polecenia SQL.

3. Uszkodzone uwierzytelnianie
Raport Verizon 2022 DBIR stwierdza, że 67% przypadków naruszenia danych wynika ze złamania zasad uwierzytelniania. Broken authentication - lub jakikolwiek rodzaj nielegalnego dostępu opartego na logowaniu - może być wykonany na wiele sposobów: brute force, credential stuffing, ataki słownikowe i inne. Zapobieganie atakom broken authentication może być tak proste, jak stworzenie super bezpiecznego hasła, lub tak niezawodne, jak przejście na tokenizowane Multi-Factor Authentication (MFA).

4. Pobieranie "przy okazji
Ataki drive-by download mają miejsce, gdy użytkownik odwiedza stronę internetową, a złośliwy agent automatycznie pobiera się na komputer ofiary. Może się to zdarzyć, gdy użytkownik pobiera coś innego lub po otwarciu wiadomości e-mail, kliknięciu okna pop-up lub po prostu odwiedzeniu strony. Ponieważ ataki drive-by wykorzystują ukryte luki w zabezpieczeniach aplikacji, przeglądarek i systemów operacyjnych, ważne jest, aby aktualizować swoje środowisko. Ograniczenie liczby instalowanych wtyczek internetowych i aplikacji również zmniejsza powierzchnię ataku.

5. Ataki oparte na hasłach
Chociaż mogą one być częścią exploitów typu "broken authentication", naprawdę zasługują na swoją własne miejsce. Lista ataków opartych na hasłach jest zróżnicowana i szeroka, włączając w to credential dumping (kradzież pamięci RAM, aby dostać się do twoich sekretów), brute force (systematyczne zgadywanie poprawnego hasła), credential stuffing (używanie znanych danych uwierzytelniających do logowania się na serię innych kont) oraz techniki Pass the Hash (PtH) (kradzież zaszyfrowanych danych uwierzytelniających i użycie ich do stworzenia nowej uwierzytelnionej sesji). Wdrożenie podpisywania kodu, egzekwowanie wymagań dotyczących silnych haseł, skonfigurowanie MFA i działanie na zasadzie najmniejszych przywilejów zmniejszy szansę na ataki oparte na hasłach.

6. Fuzzing
Testowanie metodą fuzz polega na wprowadzeniu dużej ilości losowych danych (fuzz) do aplikacji, aby doprowadzić do jej awarii. Następnym krokiem jest użycie narzędzia programowego fuzzer w celu zidentyfikowania słabych punktów. Jeśli w zabezpieczeniach celu są jakieś luki, atakujący może je dalej wykorzystywać. Najlepszym sposobem na zwalczenie ataku fuzzingowego jest utrzymywanie aktualizacji zabezpieczeń i innych aplikacji. Dotyczy to zwłaszcza wszelkich łatek bezpieczeństwa, które wychodzą z aktualizacją, którą sprawcy mogą wykorzystać, jeśli jeszcze nie dokonałeś aktualizacji.

7. Używanie komponentów o znanych podatnościach
Dzisiejsze oprogramowanie często jest złożeniem wielu oddzielnych części i spoczywa na końcu długiego łańcucha dostaw oprogramowania. W związku z tym, luka lub exploit ukryty w zależności od komponentu lub pozostawiony w repozytorium kodu Open-Source, może doprowadzić do kompromisu w końcowym obiekcie. Aby uniknąć tego scenariusza, wiele firm sprawdza dostawców zewnętrznych pod kątem zgodności z zasadami bezpieczeństwa przed nawiązaniem współpracy, a także polega na podpisywaniu kodu, polityce kontroli jakości i wewnętrznym wykrywaniu zagrożeń, aby zapobiec (lub chronić przed) podatnym na ataki zależnościom, które się wymykają.

8. DDoS (Distributed Denial-of-Service)
Atak DDoS ma na celu przytłoczenie serwera internetowego celu żądaniami, czyniąc stronę niedostępną dla innych odwiedzających. Botnet zwykle tworzy ogromną liczbę żądań, która jest rozprowadzana wśród wcześniej zainfekowanych komputerów. Ponadto, ataki DDoS są często stosowane razem z innymi metodami; celem tych pierwszych jest odwrócenie uwagi systemów bezpieczeństwa podczas wykorzystywania luki. Ochrona witryny przed atakiem DDoS jest z reguły wieloaspektowa. Po pierwsze, należy złagodzić ruch szczytowy poprzez zastosowanie sieci dostarczania treści (CDN), load balancera i skalowalnych zasobów. Po drugie, należy również wdrożyć zaporę sieciową (Web Application Firewall) na wypadek, gdyby atak DDoS ukrywał inną metodę cyberataku, taką jak wstrzyknięcie lub XSS.

9. MiTM (Man-in-the-Middle)
Ataki typu man-in-the-middle są powszechne wśród stron, które nie zaszyfrowały swoich danych w drodze od użytkownika do serwerów (strony używające HTTP zamiast HTTPS). Sprawca przechwytuje dane w trakcie ich przesyłania pomiędzy dwoma stronami. Jeśli dane nie są zaszyfrowane, atakujący może łatwo odczytać dane osobowe, logowania lub inne wrażliwe szczegóły, które podróżują między dwoma lokalizacjami w Internecie. Prostym sposobem na złagodzenie ataku man-in-the-middle jest zainstalowanie na swojej stronie certyfikatu Secure Sockets Layer (SSL). Certyfikat ten szyfruje wszystkie informacje, które podróżują między stronami, więc atakujący nie będzie w stanie łatwo ich odczytać. Zazwyczaj większość współczesnych dostawców usług hostingowych posiada już certyfikat SSL w swoim pakiecie hostingowym.

10. Przeszukiwanie katalogów
Ataki typu Directory (lub Path) Traversal mają na celu uzyskanie dostępu do nieautoryzowanych plików lub katalogów znajdujących się poza folderem docelowym. Atakujący próbuje wstrzyknąć wzorce ruchów w katalogu serwera, aby przesunąć się w górę w hierarchii. Udany path traversal może zagrozić dostępowi do witryny, plików konfiguracyjnych, baz danych oraz innych stron i plików na tym samym fizycznym serwerze. Ochrona Twojej witryny przed atakiem path traversal sprowadza się do sanityzacji danych wejściowych. Oznacza to, że dane wejściowe użytkownika są bezpieczne i nie do odzyskania z twojego serwera. Najprostszą sugestią jest zbudowanie kodu w taki sposób, aby wszelkie informacje od użytkownika nie były przekazywane do API systemu plików.

Czasy się zmieniają i choć specyfika ataków może się zmienić, to zasady, które za nimi stoją, nigdy. Aktorzy stanowiący zagrożenie są nikczemni, ale 82% cyberataków można by zapobiec poprzez zmniejszenie luki błędu ludzkiego.

Rozwiązanie do zarządzania konfiguracją zabezpieczeń Tripwire zapewnia potężne narzędzie do identyfikacji błędnych konfiguracji zabezpieczeń i wskaźników kompromisu. Tripwire Enterprise zapewnia głęboką widoczność systemu, zautomatyzowaną zgodność i wykrywanie w czasie rzeczywistym, dzięki czemu nawet jeśli zagrożenie się prześlizgnie, nie zajdzie daleko. Zmniejszenie powierzchni ataku oznacza utwardzenie zarówno środowisk lokalnych, jak i chmurowych, a gotowe platformy i polityki Tripwire pozwalają patrzeć w przyszłość, jednocześnie chroniąc przed najbardziej powszechnymi atakami.