10 najpopularniejszych ataków na strony internetowe (oraz jak się przed nimi chronić)
Każda witryna w Internecie jest w pewnym stopniu podatna na ataki bezpieczeństwa. Zagrożenia obejmują zarówno błędy ludzkie, jak i zaawansowane ataki skoordynowanych cyberprzestępców.
Według raportu firmy Verizon dotyczącego dochodzeń w sprawie naruszenia danych , główna motywacja cyberprzestępców ma charakter finansowy. Niezależnie od tego, czy prowadzisz projekt eCommerce, czy prostą witrynę małej firmy, istnieje ryzyko potencjalnego ataku.
Ważniejsze niż kiedykolwiek jest wiedzieć, z czym się mierzysz. Każdy złośliwy atak na Twoją stronę internetową ma swoją specyfikę, a przy wielu różnych typach ataków obronę przed nimi wszystkimi może wydawać się niemożliwa. Mimo to możesz wiele zrobić, aby zabezpieczyć swoją witrynę przed tymi atakami i zmniejszyć ryzyko, że złośliwi hakerzy zaatakują Twoją witrynę.
Przyjrzyjmy się bliżej 10 najczęstszym cyberatakom w Internecie i sposobom ochrony swojej witryny przed nimi.
10 najczęstszych ataków bezpieczeństwa witryn internetowych
1. Cross-Site Scripting (XSS)
Niedawne badanie przeprowadzone przez Precise Security wykazało, że atak XSS jest najczęstszym cyberatakiem i stanowi około 40% wszystkich ataków . Mimo że jest najczęstszy, większość z tych ataków nie jest zbyt wyrafinowana i jest wykonywana przez cyberprzestępców amatorów przy użyciu skryptów stworzonych przez innych.
Skrypty między lokacjami są skierowane do użytkowników witryny, a nie do samej aplikacji internetowej. Haker wstawia fragment kodu do podatnej na ataki witryny, która jest następnie wykonywana przez odwiedzającego witrynę. Kod może naruszać konta użytkownika, aktywować konie trojańskie lub modyfikować zawartość witryny, aby nakłonić użytkownika do podania prywatnych informacji.
Możesz chronić swoją witrynę przed atakami XSS, konfigurując zaporę aplikacji internetowej (WAF). WAF działa jak filtr, który identyfikuje i blokuje wszelkie złośliwe żądania do Twojej witryny. Zwykle firmy hostingowe mają już WAF w momencie zakupu ich usługi, ale możesz również skonfigurować go samodzielnie.
2. Ataki wtryskowe
Open Web Application Security Project (OWASP) w swoim najnowszym badaniu Top Ten wymienił wady iniekcji jako największy czynnik ryzyka dla stron internetowych . Metoda wstrzykiwania SQL to najpopularniejsza praktyka stosowana przez cyberprzestępców w tej kategorii.
Metody ataku typu injection są skierowane bezpośrednio na witrynę internetową i bazę danych serwera. Po wykonaniu atakujący wstawia fragment kodu, który ujawnia ukryte dane i dane wejściowe użytkownika, umożliwia modyfikację danych i ogólnie narusza aplikację.
Ochrona witryny przed atakami opartymi na iniekcjach sprowadza się głównie do tego, jak dobrze zbudowałeś swoją bazę kodu. Na przykład najważniejszym sposobem ograniczenia ryzyka iniekcji SQL jest zawsze używanie między innymi metod parametryzowanych instrukcji, jeśli są dostępne . Ponadto możesz rozważyć użycie przepływu pracy uwierzytelniania innej firmy w celu wyprowadzenia ochrony bazy danych.
3.Fuzzing (lub Fuzz Testing)
Programiści używają Fuzz testów, aby znaleźć błędy w kodowaniu i luki w zabezpieczeniach w oprogramowaniu, systemach operacyjnych lub sieciach. Jednak osoby atakujące mogą użyć tej samej techniki, aby znaleźć luki w Twojej witrynie lub serwerze.
Działa poprzez początkowe wprowadzenie dużej ilości losowych danych (fuzz) do aplikacji, aby spowodować jej awarię. Następnym krokiem jest użycie narzędzia oprogramowania fuzzer do zidentyfikowania słabych punktów. Jeśli istnieją jakieś luki w zabezpieczeniach, osoba atakująca może je dalej wykorzystać.
Najlepszym sposobem zwalczania fuzzingowego ataku jest aktualizowanie zabezpieczeń i innych aplikacji. Jest to szczególnie ważne w przypadku wszelkich poprawek bezpieczeństwa, które pojawiają się wraz z aktualizacją.
4. Atak zero-day
Atak zero-day jest przedłużeniem ataku fuzzingowego, ale nie wymaga identyfikacji słabych punktów jako takich. Najnowszy przypadek tego typu ataku został zidentyfikowany w badaniu Google, w którym zidentyfikowano potencjalne exploity typu zero-day w oprogramowaniu Windows i Chrome.
Istnieją dwa scenariusze, w jaki sposób złośliwi hakerzy mogą skorzystać na ataku zero-day. Pierwszym przypadkiem jest to, że jeśli atakujący mogą uzyskać informacje o nadchodzącej aktualizacji zabezpieczeń, mogą dowiedzieć się, gdzie są luki, zanim aktualizacja zostanie uruchomiona. W drugim scenariuszu cyberprzestępcy uzyskują informacje o łatce i atakują użytkowników, którzy nie zaktualizowali jeszcze swoich systemów. W obu przypadkach Twoje bezpieczeństwo zostaje naruszone, a dalsze szkody zależą od umiejętności sprawców.
Najłatwiejszym sposobem ochrony siebie i swojej witryny przed atakami typu zero-day jest aktualizacja oprogramowania natychmiast po tym, jak wydawcy zaproponują nową wersję.
5. Przechodzenie przez ścieżkę (lub katalog)
Atak polegający na przejściu przez ścieżkę nie jest tak powszechny jak poprzednie metody hakerskie, ale nadal stanowi poważne zagrożenie dla każdej aplikacji internetowej.
Ataki polegające na przemierzaniu ścieżki są ukierunkowane na folder główny sieci Web, aby uzyskać dostęp do nieautoryzowanych plików lub katalogów poza docelowym folderem. Osoba atakująca próbuje wstrzyknąć wzorce ruchu w katalogu serwera, aby przesunąć się w górę w hierarchii. Pomyślne przejście ścieżki może naruszyć dostęp do witryny, pliki konfiguracyjne, bazy danych oraz inne witryny internetowe i pliki na tym samym serwerze fizycznym.
Ochrona witryny przed atakiem polegającym na przechodzeniu ścieżki sprowadza się do oczyszczania danych wejściowych. Oznacza to, że dane wejściowe użytkownika są bezpieczne i niemożliwe do uzyskania z serwera. Najprostszą sugestią tutaj jest zbudowanie bazy kodu tak, aby żadne informacje od użytkownika nie były przekazywane do interfejsów API systemu plików. Jeśli jednak nie jest to możliwe, istnieją inne rozwiązania techniczne.
6. Distributed Denial-of-Service (DDoS)
Sam atak DDoS nie pozwala złośliwemu hakerowi na złamanie zabezpieczeń, ale tymczasowo lub na stałe wyłączy witrynę. Ankieta Kaspersky Lab dotycząca zagrożeń bezpieczeństwa IT z 2017 r. Wykazała, że pojedynczy atak DDoS kosztuje średnio 123 000 USD, a duże - 2,3 mln USD.
Atak DDoS ma na celu przytłoczenie serwera internetowego żądaniami, przez co witryna jest niedostępna dla innych odwiedzających. Botnet zazwyczaj tworzy ogromną liczbę żądań, które są dystrybuowane między wcześniej zainfekowanymi komputerami. Ponadto ataki DDoS są często używane razem z innymi metodami; celem pierwszego jest odwrócenie uwagi systemów bezpieczeństwa podczas wykorzystywania luki.
Ochrona witryny przed atakiem DDoS ma zazwyczaj wiele aspektów . Najpierw musisz ograniczyć szczytowy ruch za pomocą sieci dostarczania treści (CDN), modułu równoważenia obciążenia i skalowalnych zasobów. Po drugie, musisz również wdrożyć zaporę sieciową aplikacji na wypadek, gdyby atak DDoS ukrywał inną metodę cyberataku, taką jak wstrzyknięcie lub XSS.
7. Atak Man-In-The-Middle
Te ataki typu man-in-the-middle są powszechne wśród stron, które nie zaszyfrowały swoich danych przesyłanych od użytkownika do serwera. Jako użytkownik możesz zidentyfikować potencjalne zagrożenie, sprawdzając, czy adres URL witryny zaczyna się od HTTPS , gdzie „S” oznacza, że dane są szyfrowane.
Atakujący wykorzystują atak typu man-in-the-middle do zbierania (często wrażliwych) informacji. Sprawca przechwytuje dane podczas ich przesyłania między dwiema stronami. Jeśli dane nie są zaszyfrowane, osoba atakująca może łatwo odczytać dane osobowe, dane logowania lub inne poufne dane, które przechodzą między dwoma lokalizacjami w Internecie.
Prostym sposobem na złagodzenie ataku man-in-the-middle jest zainstalowanie certyfikatu Secure Sockets Layer (SSL) w Twojej witrynie. Ten certyfikat szyfruje wszystkie informacje, które są przesyłane między stronami, aby osoba atakująca nie mogła ich łatwo zrozumieć. Zazwyczaj większość nowoczesnych dostawców usług hostingowych oferuje już certyfikat SSL w pakiecie hostingowym.
8. Atak Brute Force
Atak typu brute force to bardzo prosta metoda uzyskiwania dostępu do danych logowania do aplikacji internetowej. Jest to również jeden z najłatwiejszych do złagodzenia, zwłaszcza ze strony użytkownika.
Napastnik próbuje odgadnąć kombinację nazwy użytkownika i hasła, aby uzyskać dostęp do konta użytkownika. Oczywiście, nawet w przypadku wielu komputerów może to zająć lata, chyba że hasło jest bardzo proste i oczywiste.
Najlepszym sposobem ochrony danych logowania jest utworzenie silnego hasła lub użycie uwierzytelniania dwuskładnikowego (2FA). Jako właściciel witryny możesz wymagać od użytkowników skonfigurowania obu, aby zmniejszyć ryzyko odgadnięcia hasła przez cyberprzestępcę.
9. Używanie nieznanego lub zewnętrznego kodu
Chociaż nie jest to zwykły atak na Twoją witrynę, używanie niezweryfikowanego kodu stworzonego przez trzecie osoby może prowadzić do poważnego naruszenia bezpieczeństwa.
Oryginalny twórca fragmentu kodu lub aplikacji ukrył złośliwy ciąg w kodzie lub nieświadomie pozostawił tylne wejście. Następnie umieszczasz „zainfekowany” kod w swojej witrynie, a następnie jest on uruchamiany lub wykorzystany przez tylne wejście. Skutki mogą być różne, od prostego przesyłania danych po uzyskanie dostępu administracyjnego do witryny.
Aby uniknąć ryzyka związanego z potencjalnym naruszeniem, zawsze poproś programistów o zbadanie i audyt poprawności kodu. Upewnij się również, że używane przez Ciebie wtyczki ( zwłaszcza do WordPressa ) są aktualne i regularnie otrzymują poprawki bezpieczeństwa - badania pokazują, że ponad 17 000 wtyczek do WordPressa (czyli około 47% wtyczek WordPress w czasie badania) nie było zaktualizowanych od dwóch lat.
10. Phishing
Phishing to kolejna metoda ataku, która nie jest bezpośrednio wymierzona w witryny internetowe, ale nie mogliśmy również pominąć jej na liście, ponieważ nadal może zagrozić integralności systemu. Powodem jest to, że według FBI Internet Crime Report jest najczęstszą cyberprzestępczością opartą na inżynierii społecznej.
Standardowym narzędziem używanym w próbach phishingu jest poczta elektroniczna. Napastnicy na ogół maskują się jako ktoś, kim nie są i próbują nakłonić swoje ofiary do udostępnienia poufnych informacji lub wykonania przelewu bankowego. Tego typu ataki mogą być dziwaczne, jak oszustwo 419 (należące do kategorii oszustw zaliczkowych ) lub bardziej wyrafinowane, obejmujące sfałszowane adresy e-mail, pozornie autentyczne strony internetowe i przekonujący język. Ten ostatni jest szerzej znany jako phishing typu Spear.
Najskuteczniejszym sposobem ograniczenia ryzyka phishingu jest przeszkolenie personelu i Ciebie w rozpoznawaniu takich prób. Zawsze sprawdzaj, czy adres e-mail nadawcy jest prawdziwy, a wiadomość i żądanie nie jest dziwne. A jeśli jest zbyt piękne, aby mogło być prawdziwe, prawdopodobnie tak jest.
Na zakończenie
Ataki na Twoją witrynę mogą przybierać różne formy, a atakującymi mogą być amatorzy lub skoordynowani profesjonaliści.
Najważniejszym wnioskiem jest to, aby nie pomijać funkcji bezpieczeństwa podczas tworzenia lub uruchamiania witryny, ponieważ może to mieć tragiczne konsekwencje.
Chociaż nie jest możliwe całkowite wyeliminowanie ryzyka ataku na witrynę internetową, można przynajmniej złagodzić możliwość i dotkliwość tego typu działań.