10 nejčastějších útoků na zabezpečení webových stránek (a jak se jim bránit)

Každá webová stránka na internetu je do jisté míry zranitelná vůči bezpečnostním útokům. Hrozby sahají od lidských chyb až po sofistikované útoky koordinovaných kyberzločinců.

Podle zprávy Data Breach Investigations Report společnosti Verizon je hlavní motivací kyberútočníků finanční stránka. Ať už provozujete projekt elektronického obchodu nebo jednoduché webové stránky malé firmy, riziko potenciálního útoku existuje.

Je důležitější než kdy jindy vědět, proti čemu stojíte. Každý škodlivý útok na váš web má svá specifika a vzhledem k tomu, že se kolem vás pohybuje celá řada různých typů útoků, může se zdát nemožné bránit se proti všem z nich. Přesto můžete udělat mnoho pro to, abyste svůj web proti těmto útokům zabezpečili a snížili riziko, že se na váš web zaměří záškodníci.

Podívejme se blíže na 10 nejčastějších kybernetických útoků, ke kterým dochází na internetu, a na to, jak proti nim můžete svůj web ochránit.

10 nejčastějších útoků na zabezpečení webových stránek

Cross-Site Scripting (XSS)

Nedávná studie společnosti Precise Security zjistila, že útok XSS je nejčastějším kybernetickým útokem, který tvoří přibližně 40 % všech útoků. Přestože je nejčastější, většina těchto útoků není příliš sofistikovaná a provádějí je amatérští kyberzločinci pomocí skriptů, které vytvořili jiní.

Skriptování napříč stránkami se zaměřuje na uživatele webu místo na samotnou webovou aplikaci. Škodlivý hacker vloží do zranitelného webu část kódu, kterou pak návštěvník webu spustí. Kód může ohrozit účty uživatelů, aktivovat trojské koně nebo upravit obsah webové stránky tak, aby uživatele přiměl k poskytnutí soukromých informací.

Webové stránky můžete před útoky XSS ochránit nastavením brány WAF (Web Application Firewall). WAF funguje jako filtr, který identifikuje a blokuje všechny škodlivé požadavky na váš web. Webhostingové společnosti obvykle mají systém WAF zavedený již při nákupu svých služeb, ale můžete si jej nastavit i sami.

Injekční útoky

Projekt OWASP (Open Web Application Security Project) ve svém nejnovějším výzkumu Top Ten označil chyby typu injection za nejrizikovější faktor pro webové stránky. Metoda SQL injection je nejoblíbenější praktikou, kterou kybernetičtí zločinci v této kategorii používají.

Injekční útoky se zaměřují přímo na webové stránky a databázi serveru. Po provedení útočník vloží část kódu, která odhalí skrytá data a uživatelské vstupy, umožní modifikaci dat a obecně ohrozí aplikaci.

Ochrana webu před útoky na bázi injection spočívá především v tom, jak dobře jste vytvořili kódovou základnu. Například způsobem číslo jedna, jak zmírnit riziko injekce SQL, je mimo jiné vždy používat parametrizované příkazy, pokud jsou k dispozici. Kromě toho můžete zvážit použití ověřovacího pracovního postupu třetí strany, abyste ochranu databáze zajistili externě.

Fuzzing (neboli Fuzz testování)

Vývojáři používají fuzz testování k nalezení chyb v kódování a mezer v zabezpečení softwaru, operačních systémů nebo sítí. Útočníci však mohou stejnou techniku použít k nalezení zranitelností vašeho webu nebo serveru.

Funguje tak, že do aplikace nejprve vloží velké množství náhodných dat (fuzz), aby došlo k jejímu zhroucení. Dalším krokem je použití softwarového nástroje fuzzer k identifikaci slabých míst. Pokud jsou v zabezpečení cíle nějaké mezery, může je útočník dále zneužít.

Nejlepším způsobem, jak se bránit útoku fuzzing, je udržovat zabezpečení a další aplikace aktualizované. To platí zejména pro všechny bezpečnostní záplaty, které vyjdou s aktualizací a které mohou pachatelé využít, pokud jste aktualizaci ještě neprovedli.

Útok nultého dne

Útok nultého dne je rozšířením útoku fuzzing, ale sám o sobě nevyžaduje identifikaci slabých míst. Nejnovější případ tohoto typu útoku byl identifikován ve studii společnosti Google, kde byly identifikovány potenciální exploity nultého dne v softwaru Windows a Chrome.

Existují dva scénáře, jak mohou záškodníci využít útok nultého dne. Prvním případem je, že pokud útočníci získají informace o chystané aktualizaci zabezpečení, mohou se dozvědět, kde jsou mezery, ještě předtím, než bude aktualizace uvedena do provozu. Ve druhém scénáři získají kybernetičtí zločinci informace o záplatě a zaměří se na uživatele, kteří své systémy ještě neaktualizovali. V obou případech dojde k narušení vašeho zabezpečení a následné škody závisí na schopnostech pachatelů.

Nejjednodušší způsob, jak ochránit sebe a své stránky před útoky nultého dne, je aktualizovat software ihned poté, co vydavatelé vyzvou k vydání nové verze.

Útok procházením cesty (nebo adresáře)

Útok procházením cesty není tak častý jako předchozí způsoby hackerského útoku, ale stále představuje značnou hrozbu pro jakoukoli webovou aplikaci.

Útoky procházením cesty se zaměřují na kořenovou složku webu a umožňují přístup k neoprávněným souborům nebo adresářům mimo cílovou složku. Útočník se snaží zavést vzory pohybu v rámci adresáře serveru, aby se posunul v hierarchii nahoru. Úspěšný útok path traversal může ohrozit přístup k webu, konfiguračním souborům, databázím a dalším webům a souborům na stejném fyzickém serveru.

Ochrana webu před útokem path traversal spočívá v úpravě vstupu. To znamená, že vstupy uživatele jsou bezpečné a nelze je z vašeho serveru obnovit. Nejjednodušším návrhem je zde sestavení vaší kódové základny tak, aby se žádné informace od uživatele nepředávaly rozhraním API souborového systému. Pokud to však není možné, existují další technická řešení.

Distribuované odepření služby (DDoS)

Útok DDoS sám o sobě neumožní záškodníkovi prolomit zabezpečení, ale dočasně nebo trvale vyřadí web z provozu. Průzkum IT bezpečnostních rizik společnosti Kaspersky Lab z roku 2017 dospěl k závěru, že jediný útok DDoS stojí malé podniky v průměru 123 tisíc dolarů a velké podniky 2,3 milionu dolarů.

Útok DDoS má za cíl zahltit webový server cíle požadavky, čímž se web stane nedostupným pro další návštěvníky. Botnet obvykle vytváří obrovské množství požadavků, které je distribuováno mezi dříve infikované počítače. Útoky DDoS se také často používají společně s dalšími metodami; cílem první z nich je odlákat pozornost bezpečnostních systémů a zároveň využít zranitelnosti.

Ochrana webu před útokem DDoS má obvykle více aspektů. Nejprve je třeba zmírnit špičkový provoz pomocí sítě CDN (Content Delivery Network), vyrovnávače zátěže a škálovatelných zdrojů. Za druhé je také třeba nasadit bránu Web Application Firewall pro případ, že se za útokem DDoS skrývá jiná metoda kybernetického útoku, například injection nebo XSS.

Útok man-in-the-middle

Útoky man-in-the-middle jsou běžné u webů, které nešifrovaly svá data při cestě od uživatele k serverům. Jako uživatel můžete potenciální riziko identifikovat tak, že prozkoumáte, zda adresa URL webu začíná písmenem HTTPS, kde písmeno „S“ znamená, že data jsou šifrována.

Útočníci používají typ útoku man-in-the-middle ke shromažďování (často citlivých) informací. Pachatel zachytí data při jejich přenosu mezi dvěma stranami. Pokud data nejsou šifrovaná, může útočník snadno přečíst osobní, přihlašovací nebo jiné citlivé údaje, které putují mezi dvěma místy na internetu.

Jednoduchým způsobem, jak zmírnit útok typu man-in-the-middle, je nainstalovat na web certifikát SSL (Secure Sockets Layer). Tento certifikát zašifruje všechny informace, které putují mezi stranami, takže útočník z nich nebude moci snadno získat smysl. Většina moderních poskytovatelů hostingu již obvykle obsahuje certifikát SSL ve svém hostingovém balíčku.

Útok hrubou silou

Útok hrubou silou je velmi jednoduchá metoda přístupu k přihlašovacím údajům webové aplikace. Je také jedním z nejsnáze zmírnitelných, zejména ze strany uživatele.

Útočník se snaží uhodnout kombinaci uživatelského jména a hesla pro přístup k uživatelskému účtu. To samozřejmě může trvat i několik let, pokud není heslo velmi jednoduché a zřejmé.

Nejlepším způsobem ochrany přihlašovacích údajů je vytvoření silného hesla nebo použití dvoufaktorového ověřování (2FA). Jako majitel webu můžete od uživatelů vyžadovat nastavení obojího, abyste snížili riziko, že kyberzločinec heslo uhodne.

Používání neznámého kódu nebo kódu třetí strany

Ačkoli se nejedná o přímý útok na váš web, používání neověřeného kódu vytvořeného třetí osobou může vést k vážnému narušení bezpečnosti.

Původní tvůrce kódu nebo aplikace ukryl do kódu škodlivý řetězec nebo nevědomky ponechal zadní vrátka. Vy pak tento „infikovaný“ kód začleníte do svých stránek a následně dojde k jeho spuštění nebo zneužití zadních vrátek. Následky mohou být různé, od prostého přenosu dat až po získání administrátorského přístupu k vašemu webu.

Chcete-li se vyhnout rizikům spojeným s potenciálním narušením, vždy nechte své vývojáře prozkoumat a zkontrolovat platnost kódu. Také se ujistěte, že pluginy, které používáte (zejména pro WordPress), jsou aktuální a pravidelně dostávají bezpečnostní záplaty – výzkum ukázal, že více než 17 000 pluginů pro WordPress (tedy asi 47 % pluginů pro WordPress v době studie) nebylo aktualizováno po dobu dvou let.

Phishing

Phishing je další metoda útoku, která není přímo zaměřena na webové stránky, ale ani tu jsme nemohli ze seznamu vynechat, protože stále může ohrozit integritu vašeho systému. Důvodem je to, že phishing je podle zprávy FBI o internetové kriminalitě nejčastějším kybernetickým zločinem sociálního inženýrství.

Standardním nástrojem používaným při pokusech o phishing je e-mail. Útočníci se obvykle maskují za někoho, kým nejsou, a snaží se své oběti přimět ke sdílení citlivých informací nebo k bankovnímu převodu. Tyto typy útoků mohou být obskurní jako podvod 419 (součást kategorie Advance Fee Fraud) nebo sofistikovanější zahrnující podvržené e-mailové adresy, zdánlivě autentické webové stránky a přesvědčivý jazyk. Druhý případ je znám spíše jako Spear phishing.

Nejúčinnějším způsobem, jak snížit riziko phishingového podvodu, je proškolit zaměstnance i sebe, abyste takové pokusy rozpoznali. Vždy zkontrolujte, zda je e-mailová adresa odesílatele legitimní, zpráva není podivná a požadavek není bizarní. A pokud je to příliš dobré na to, aby to byla pravda, pravděpodobně to pravda je.

Závěr

Útoky na vaše webové stránky mohou mít mnoho podob a útočníci, kteří za nimi stojí, mohou být amatéři nebo koordinovaní profesionálové.

Klíčovým poznatkem je nevynechávat při tvorbě nebo provozu webu bezpečnostní prvky, protože to může mít neblahé následky.

Ačkoli není možné riziko útoku na web zcela eliminovat, můžete alespoň zmírnit jeho možnost a závažnost výsledku.

O autorovi:

Podrobně o autorovi: Gert Svaiko je profesionální copywriter, který spolupracuje se společnostmi zabývajícími se kybernetickou bezpečností v USA a EU. Můžete ho kontaktovat na síti LinkedIn.

Poznámka redakce: Názory vyjádřené v tomto článku hostujícího autora jsou výhradně názory autora a nemusí nutně odrážet názory společnosti Tripwire, Inc.

.