Сайты подвергаются в среднем 92 атакам в день. Уязвимость веб-сайта — это неправильная конфигурация кода веб-сайта или веб-приложения, которая позволяет злоумышленнику получить определенный уровень контроля над сайтом и, возможно, над сервером размещения. Большинство уязвимостей эксплуатируются с помощью автоматизированных средств, таких как сканеры уязвимостей и ботнеты. Киберпреступники создают специализированные инструменты, которые прочесывают Интернет в поисках определенных платформ, таких как WordPress или Joomla, в поисках распространенных и известных уязвимостей. После обнаружения эти уязвимости используются для кражи данных, распространения вредоносного контента или внедрения дефейса и спама на уязвимый сайт.
Типы уязвимостей веб-сайтов
Существует пять распространенных типов уязвимостей веб-сайтов, которыми часто пользуются злоумышленники. Хотя это не исчерпывающий список всех возможных уязвимостей, которые решительный злоумышленник может найти в приложении, он включает в себя некоторые из наиболее распространенных уязвимостей, которые сегодня можно найти на веб-сайтах.
Уязвимости SQL-инъекций (SQLi) - уязвимости SQL-инъекций относятся к областям кода веб-сайта, где непосредственный ввод пользователя передается в базу данных. Злоумышленники используют эти формы для внедрения вредоносного кода, иногда называемого полезными нагрузками, в базу данных веб-сайта. Это позволяет киберпреступнику получить доступ к веб-сайту различными способами, в том числе:
- Внедрение вредоносных/спамовых сообщений на сайт
- Кража информации о клиенте
- Обход аутентификации для получения полного контроля над веб-сайтом
Благодаря своей универсальности SQL-инъекция является одной из наиболее часто используемых уязвимостей веб-сайтов. Она часто используется для получения доступа к приложениям системы управления контентом (CMS) с открытым исходным кодом, таким как Joomla!, WordPress и Drupal. Атаки путем внедрения SQL-кода, например, даже были связаны с нарушением правил Комиссии по содействию выборам США и популярного форума по видеоиграм Grand Theft Auto, что привело к раскрытию учетных данных пользователей.
Cross-Site Scripting (XSS) - межсайтовый скриптинг происходит когда злоумышленники внедряют скрипты через ненадлежащим образом обработанный пользовательский ввод или через другие поля на сайте чтобы выполнить код на сайте. Межсайтовый скриптинг используется для нацеливания на посетителей веб-сайта, а не на сам веб-сайт или сервер. Это часто означает, что злоумышленники внедряют JavaScript на веб-сайт, чтобы скрипт выполнялся в браузере посетителя. Браузеры не могут определить, является ли сценарий вредоносным или нет при использовании на веб-сайте, что приводит к вредоносным действиям, в том числе:
- Перехват сеанса
- Спам-контент распространяется среди ничего не подозревающих посетителей
- Кража данных сеанса
Некоторые из самых масштабных атак на WordPress были связаны с уязвимостями межсайтового скриптинга. Однако XSS не ограничивается только приложениями с открытым исходным кодом. Недавно в системе игрового гиганта Steam была обнаружена уязвимость межсайтового скриптинга, которая потенциально раскрывала злоумышленникам учетные данные для входа .
Внедрение команд - уязвимости внедрения команд позволяют злоумышленникам удаленно передавать и выполнять код на хост-сервере веб-сайта. Это делается, когда пользовательский ввод, который передается на сервер, например информация заголовка, не проверяется должным образом, что позволяет злоумышленникам включать команды оболочки с информацией о пользователе. Атаки с внедрением команд особенно важны, поскольку они могут позволить злоумышленникам инициировать следующее:
- Взломать весь сайт
- Взлом всего хостинг-сервера
- Использовать захваченный сервер в ботнет-атаках
Одной из самых опасных и распространенных уязвимостей внедрения команд была уязвимость Shellshock, которая затронула большинство дистрибутивов Linux.
Включение файлов (LFI/RFI) - атаки с удаленным включением файлов (RFI) используют функции включения в языках серверных веб-приложений, таких как PHP, для выполнения кода из удаленно хранящегося файла. Злоумышленники размещают вредоносные файлы, а затем используют ненадлежащим образом обработанный пользовательский ввод для внедрения или изменения функции включения в PHP-код сайта-жертвы. Затем это включение можно использовать для инициирования следующего:
- Доставлять вредоносную полезную нагрузку, которая может использоваться для включения атак и фишинговых страниц в браузеры посетителей.
- Включить вредоносные файлы оболочки на общедоступные веб-сайты
- Взятие под контроль панель администратора сайта или хост-сервер
Локальное включение файлов (LFI), как и удаленное включение файлов, может происходить, когда пользовательский ввод может изменить путь к включенным файлам. Затем злоумышленники могут использовать этот вектор для получения доступа к конфиденциальным локальным файлам, например, к файлам конфигурации, содержащим учетные данные базы данных. Злоумышленник также может выполнить атаку с обходом каталога, изменив путь к включенному файлу, чтобы просмотреть файлы серверной части и хост-сервера, раскрывая конфиденциальные данные. Атака с включением локального файла может стать атакой с удаленным включением файла, если, например, злоумышленник может включить файлы журналов, которые ранее были заполнены вредоносным кодом злоумышленником посредством публичного взаимодействия.
Эти типы уязвимостей часто используются для запуска других атак, таких как DDoS-атаки и атаки с использованием межсайтовых сценариев. Они также использовались для раскрытия и кражи конфиденциальной финансовой информации, например, когда Starbucks стала жертвой атаки включения, которая привела к компрометации данных кредитных карт клиентов.
Подделка межсайтовых запросов (CSRF) - атаки с подделкой межсайтовых запросов менее распространены, но могут быть довольно опасными. CSRF-атаки заставляют пользователей или администраторов сайта неосознанно выполнять вредоносные действия для злоумышленника. В результате злоумышленники могут предпринять следующие действия, используя допустимый пользовательский ввод:
- Изменить стоимость заказа и цены на товары
- Перевод средств с одного счета на другой
- Изменить пароли пользователей для захвата учетных записей
Эти типы атак особенно неприятны для сайтов электронной коммерции и банковских услуг, где злоумышленники могут получить доступ к конфиденциальной финансовой информации. Например, с помощью CSRF-атаки был захвачен весь контроль над настройками DNS бразильского банка более чем на пять часов.
Уменьшение и предотвращение уязвимостей
Есть простые шаги, которые вы можете предпринять, чтобы уменьшить и предотвратить уязвимости, позволяющие хакерам получить несанкционированный доступ к вашему веб-сайту.
Обновите свои приложения. Первым важным шагом в обеспечении безопасности вашего веб-сайта является обеспечение актуальности всех приложений и связанных с ними плагинов. Поставщики часто выпускают обязательные исправления безопасности для своих приложений, и важно своевременно выполнять эти обновления. Злоумышленники всегда в курсе новостей приложений с открытым исходным кодом и, как известно, используют уведомления об обновлениях в качестве плана для поиска уязвимых веб-сайтов. Подписка на автоматические обновления приложений и уведомления по электронной почте о критических исправлениях поможет вам оставаться на шаг впереди злоумышленников. Для получения дополнительной информации ознакомьтесь с нашей статьей Как защитить свой сайт.
Используйте брандмауэр веб-приложений (WAF). Брандмауэры веб-приложений являются первой линией защиты от тех, кто проверяет ваш веб-сайт на наличие уязвимостей. Брандмауэры веб-приложений отфильтровывают нежелательный трафик от доступа к вашему веб-сайту. Это включает в себя блокировку ботов, известные IP-адреса спама или атаки, автоматические сканеры и пользовательский ввод для атак.
Используйте сканер вредоносных программ. Ваша последняя линия защиты — это использование надежного автоматизированного сканера вредоносных программ. Рекомендуется найти тот, который может автоматически выявлять уязвимости и удалять известные вредоносные программы.
Понимание типов уязвимостей, которые хакеры могут попытаться использовать для взлома ваших веб-приложений, является важным первым шагом к обеспечению безопасности вашего веб-сайта. Уязвимости могут иметь тяжелые последствия не только для вашего веб-сайта и сервера, но и для данных ваших клиентов.
Какова бы ни была причина, по которой страница сайта не открывается, например вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.
Компания Mainton - разработка программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.