Последен ъпдейт на 28 юни 2018 в 11:47 ч.
С нарастващият брой WEB приложения нараства и проблема с тяхната сигурност. Както знаем атакуващите могат да бъдат доста изобретателни що се отнася до компрометиране сигурността на даден уебсайт или WEB приложение, но въпреки всичко има няколко подхода, които се срещат доста често.
1. Ботове и WEB Scraping
Ботовете представляват софтуерни агенти, които изпълняват автоматични задачи и подпомагат рутинната работа на администратора. За съжаление не всички ботове са „полезни“. Според едно скорошно проучване една трета от трафикът в интернет се генерира от “вредни” ботове. Атакуващите създават ботмрежи състоящи се от IOT устройтва, като например: домашни рутери, смарт телевизори и DVD приемници, а дори и индустриални контролери, с които да изпълнят DDoS атаки. Съществуват също така и Спам ботовете, които събират e-mail адреси от различни източници в публичното пространство и пращат спам или джънк мейли в огромни количества.
За да се предотврати това трябва да се потърси анти-бот решение, което да блокира “вредните” ботове и в същото време да позволи на “полезните” ботове (като например Гугъл бот) да си вършат работата.
2. DDoS Атаки
DDoS атаката (Distributed Denial of Service) е вид атака, която се инициира от няколко компютри или устройства. Целта на този вид атака е с помощта на множество системи и заявки да се препълнят ресурсите на атакуваната система, обикновено тва са един или повече уеб сървъра. Такива DDоS атаки често са резултат от многобройни компрометирани системи (например ботмрежи), които по заявка от атакуващия претоварват целевата система с трафик.
DDoS атаките от своя страна биват няколко вида:
- Протоколни атаки – те включват SYN Floods, атаки с фрагментирани пакети, Smurf DDoS, пинга на смъртта (Ping of Death) и др.;
- Волуметрични атаки – към тях спадат UDP Floods, ICMP Floods и Spoof Packet Floods;
- Атаки на ниво приложения – това са GET/POST Floods, Slowloris, NTP amplification, HTTP Floods и др. Към тази група спадат и атаки с които се претоварват приложенията (Apache, Windows или OpenBSD уязвимости);
3. Крос-сайт Скриптинг (XSS)
XSS е една доста опасна WEB атака, която представлява възможност да бъде инжектиран JavaScript код директно в приложението без той да бъде валидиран. По този начин, когато „жертвата“ отвори съответната страница, този код бива изпълнен върху неговата машина и дава възможност на атакуващия да се сдобие с чуствителни cookies, да използва ресурсите за копаене на криптовалути или да го насочи към зловреден линк от където да бъде свален зловреден системен код.
4. SQL Injection
SQL Injection е техника с която атакуващите използват уязвимости посредством невалидирани входни данни. Те инжектират SQL команди чрез уеб приложения, които се изпълняват в базата данни. Този вид атака е възможна, когато има пропуски в изработката на софтуера или приложенията. Това може да бъде предотвратено, ако стриктно се проверятват различните видове методи за въвеждане на данни като: коментари, полета за въвеждане на текст и др.
Една успешна SQL Injection атака може да доведе до много поражения, като например: атакуващите могат да откраднат телефонни номера, адреси, детайли за кредитни карти и т.н. Или да получат неоторизиран достъп до операционната система, върху която работи SQL сървъра.
Разпространението на зловреден код става най-често с методи на социалното инжинерство, като например фишинг или чрез експлойтване на системните уязвимости. Зловреден код може да бъде инжектиран когато се експлойтнат уязвимостите на уебсайта и сървъра. Веднъж инжектиран зловредният код получава достъп до чувствителните части на приложението, като по този начин позволява изпълнение на файлове и промени в системната конфигурация.
Как да се защитим?
Защитата от WEB атаки е комплесен процес и не може да бъде осъществен само с един инструмент. Но като един саниратен минимум ние препоръчваме: регулярна проверка на сигурността от специалист по информационна сигурност, въвеждане на контроли за защита на уеб сайтове и приложения, както и постоянен мониторинг за зловредна активност.