A 10 leggyakoribb weboldaltámadás (és hogyan védekezhetsz)

Minden weboldal az interneten némileg sebezhető a biztonsági támadásokkal szemben. A fenyegetések az emberi hibáktól az összehangolt kiberbűnözők kifinomult támadásaiig terjednek.

A Verizon Data Breach Investigations Report szerint a kibertámadók elsődleges motivációja a pénzügyi. Akár e-kereskedelmi projektet, akár egyszerű kisvállalkozói webhelyet üzemeltet, a potenciális támadás kockázata fennáll.

Minden eddiginél fontosabb, hogy tudja, mivel áll szemben. A webhelye elleni minden egyes rosszindulatú támadásnak megvannak a maga sajátosságai, és mivel számos különböző típusú támadás van forgalomban, lehetetlennek tűnhet, hogy mindegyik ellen védekezzen. Mégis, sokat tehet azért, hogy megvédje weboldalát ezekkel a támadásokkal szemben, és csökkentse annak kockázatát, hogy rosszindulatú hackerek célba vegyék weboldalát.

Nézzük meg közelebbről az interneten zajló 10 leggyakoribb kibertámadást, és azt, hogyan védheti meg weboldalát ellenük.

A 10 leggyakoribb webhelybiztonsági támadás

Cross-Site Scripting (XSS)

A Precise Security friss tanulmánya szerint az XSS-támadás a leggyakoribb kibertámadás, amely az összes támadás mintegy 40%-át teszi ki. Annak ellenére, hogy ez a leggyakoribb, a legtöbb ilyen támadás nem túl kifinomult, és amatőr kiberbűnözők hajtják végre mások által készített szkriptek segítségével.

A cross-site scripting nem magát a webes alkalmazást, hanem a webhely felhasználóit veszi célba. A rosszindulatú hacker egy kódot illeszt be egy sebezhető weboldalba, amelyet aztán a weboldal látogatója hajt végre. A kód veszélyeztetheti a felhasználó fiókjait, aktiválhat trójai falovakat, vagy módosíthatja a webhely tartalmát, hogy a felhasználót személyes adatok megadására csábítsa.

Webalkalmazási tűzfal (WAF) felállításával védheti webhelyét az XSS-támadások ellen. A WAF olyan szűrőként működik, amely azonosítja és blokkolja a webhelyéhez érkező rosszindulatú kéréseket. Általában a webtárhelyszolgáltatók már a szolgáltatásuk megvásárlásakor rendelkeznek WAF-fel, de saját maga is beállíthatja.

Injekciós támadások

A Nyílt Webalkalmazásbiztonsági Projekt (OWASP) legutóbbi Top Ten kutatásában az injekciós hibákat nevezte meg a webhelyek legnagyobb kockázati tényezőjeként. Ebben a kategóriában a kiberbűnözők által leggyakrabban alkalmazott eljárás az SQL-injekciós módszer.

Az injekciós támadási módszerek közvetlenül a weboldalt és a szerver adatbázisát célozzák. Végrehajtásakor a támadó beilleszt egy kódrészletet, amely feltárja a rejtett adatokat és a felhasználói bemeneteket, lehetővé teszi az adatok módosítását, és általában veszélyezteti az alkalmazást.

A weboldalának injekciós alapú támadások elleni védelme elsősorban azon múlik, hogy mennyire jól építette fel a kódbázisát. Az SQL-injekciós kockázat csökkentésének első számú módja például az, hogy – egyéb módszerek mellett – mindig használjon paraméterezett utasításokat, ahol ez lehetséges. Továbbá megfontolhatja egy harmadik féltől származó hitelesítési munkafolyamat használatát az adatbázis védelmének kiszervezéséhez.

Fuzzing (vagy Fuzz Testing)

A fejlesztők a fuzz tesztelést arra használják, hogy kódolási hibákat és biztonsági réseket találjanak a szoftverekben, operációs rendszerekben vagy hálózatokban. A támadók azonban ugyanezt a technikát használhatják arra is, hogy sebezhetőségeket találjanak az Ön webhelyén vagy szerverén.

Ez úgy működik, hogy kezdetben nagy mennyiségű véletlenszerű adatot (fuzz) adnak be egy alkalmazásba, hogy az összeomoljon. A következő lépés egy fuzzer szoftvereszköz használata a gyenge pontok azonosítására. Ha a célpont biztonságában hézagok vannak, a támadó azt tovább tudja kihasználni.

A fuzzing-támadás ellen úgy lehet a legjobban védekezni, ha naprakészen tartja a biztonsági és egyéb alkalmazásokat. Ez különösen igaz minden olyan biztonsági javítással megjelenő frissítésre, amelyet az elkövetők kihasználhatnak, ha még nem végezte el a frissítést.

Zero-Day Attack

A nulladik napi támadás a fuzzing-támadás kiterjesztése, de önmagában nem igényel gyenge pontok azonosítását. Az ilyen típusú támadás legfrissebb esetét a Google tanulmánya azonosította, amelyben a Windows és a Chrome szoftverekben potenciális nulladik napi exploitokat azonosítottak.

Két forgatókönyv létezik arra vonatkozóan, hogy a rosszindulatú hackerek hogyan profitálhatnak a nulladik napi támadásból. Az első eset, ha a támadók információt kapnak egy közelgő biztonsági frissítésről, akkor még a frissítés megjelenése előtt megtudhatják, hol vannak a kiskapuk. A második forgatókönyv szerint a kiberbűnözők megszerzik a javítási információkat, és olyan felhasználókat vesznek célba, akik még nem frissítették a rendszerüket. Mindkét esetben veszélybe kerül az Ön biztonsága, és a későbbi kár az elkövetők képességein múlik.

A nulladik napi támadások ellen a legegyszerűbben úgy védheti meg magát és webhelyét, ha azonnal frissíti szoftverét, miután a kiadók új verziót sürgetnek.

Path (vagy Directory) Traversal

A path traversal támadás nem olyan gyakori, mint az előző hacker módszerek, de még mindig jelentős fenyegetést jelent bármely webes alkalmazásra.

A path traversal támadások a web gyökérmappáját veszik célba, hogy hozzáférjenek a célmappán kívüli, nem engedélyezett fájlokhoz vagy könyvtárakhoz. A támadó a kiszolgáló könyvtáron belüli mozgásmintákat próbál beadni, hogy feljebb lépjen a hierarchiában. Egy sikeres path traversal veszélyeztetheti a webhely elérését, a konfigurációs fájlokat, az adatbázisokat, valamint az ugyanazon a fizikai kiszolgálón lévő más webhelyeket és fájlokat.

A webhelyének path traversal támadás elleni védelme a bemenet szanálásán múlik. Ez azt jelenti, hogy a felhasználó bemeneteit biztonságban és a szerveréről visszaállíthatatlanul kell tartani. A legegyszerűbb javaslat itt az, hogy úgy építsd fel a kódbázisodat, hogy a felhasználóról származó bármilyen információ ne kerüljön át a fájlrendszer API-ihoz. Ha azonban ez nem lehetséges, vannak más technikai megoldások is.

Distributed Denial-of-Service (DDoS)

A DDoS-támadás önmagában nem teszi lehetővé, hogy a rosszindulatú hacker áttörje a biztonságot, de átmenetileg vagy véglegesen offline állapotba hozza a webhelyet. A Kaspersky Lab 2017-es IT-biztonsági kockázatokról szóló felmérése arra a következtetésre jutott, hogy egyetlen DDoS-támadás a kisvállalkozásoknak átlagosan 123 ezer dollárba, a nagyvállalatoknak pedig 2,3 millió dollárba kerül.

A DDoS-támadás célja, hogy a célpont webszerverét túlterhelje kérésekkel, így a webhely elérhetetlenné válik a többi látogató számára. Egy botnet általában hatalmas mennyiségű kérést hoz létre, amelyet szétosztanak a korábban fertőzött számítógépek között. Emellett a DDoS-támadásokat gyakran más módszerekkel együtt alkalmazzák; az előbbiek célja a biztonsági rendszerek megzavarása, miközben kihasználnak egy sebezhetőséget.

A webhely DDoS-támadás elleni védelme általában többrétű. Először is mérsékelnie kell a csúcsforgalmat egy tartalomszolgáltató hálózat (CDN), egy terheléselosztó és skálázható erőforrások használatával. Másodszor, egy webalkalmazás-tűzfalat is telepítenie kell arra az esetre, ha a DDoS-támadás egy másik kibertámadási módszert, például injekciót vagy XSS-t takarna.

Man-In-The-Middle Attack

A man-in-the-middle támadások gyakoriak az olyan webhelyeknél, amelyek nem titkosították az adataikat, miközben azok a felhasználótól a szerverekhez jutnak. Felhasználóként azonosíthatja a potenciális kockázatot, ha megvizsgálja, hogy a webhely URL-címe HTTPS-szel kezdődik-e, ahol az “S” azt jelenti, hogy az adatok titkosítva vannak.

A támadók a man-in-the-middle típusú támadást arra használják, hogy (gyakran érzékeny) információkat gyűjtsenek. Az elkövető a két fél közötti adatátvitel közben lehallgatja az adatokat. Ha az adatok nincsenek titkosítva, a támadó könnyen elolvashatja a személyes, bejelentkezési vagy egyéb érzékeny adatokat, amelyek az interneten két hely között utaznak.

A man-in-the-middle támadás mérséklésének egyszerű módja, ha SSL (Secure Sockets Layer) tanúsítványt telepít a webhelyére. Ez a tanúsítvány titkosítja az összes információt, amely a felek között utazik, így a támadó nem tudja könnyen értelmezni azokat. Általában a legtöbb modern tárhelyszolgáltató már rendelkezik SSL-tanúsítvánnyal a tárhelycsomagjában.

Brute Force Attack

A brute force támadás egy nagyon egyszerű módszer egy webes alkalmazás bejelentkezési adatainak elérésére. Emellett az egyik legkönnyebben kivédhető, különösen a felhasználó oldaláról.

A támadó megpróbálja kitalálni a felhasználónév és a jelszó kombinációját, hogy hozzáférjen a felhasználói fiókhoz. Természetesen ez több számítógép esetén is évekig eltarthat, hacsak a jelszó nem nagyon egyszerű és nyilvánvaló.

A bejelentkezési adatok védelmének legjobb módja egy erős jelszó létrehozása vagy a kétfaktoros hitelesítés (2FA) használata. Oldaltulajdonosként megkövetelheti a felhasználóitól mindkettő beállítását, hogy csökkentse annak kockázatát, hogy egy kiberbűnöző kitalálja a jelszót.

Ismeretlen vagy harmadik féltől származó kód használata

Noha nem jelent egyenes támadást az oldala ellen, egy harmadik személy által létrehozott, nem ellenőrzött kód használata súlyos biztonsági réshez vezethet.

A kód vagy egy alkalmazás eredeti alkotója rosszindulatú karakterláncot rejtett a kódba, vagy tudtán kívül hagyott egy hátsó ajtót. Ön ezután beépíti a “fertőzött” kódot az oldalára, majd azt végrehajtják, vagy kihasználják a hátsó ajtót. A hatások az egyszerű adatátviteltől a webhelyéhez való rendszergazdai hozzáférés megszerzéséig terjedhetnek.

Az esetleges behatolással kapcsolatos kockázatok elkerülése érdekében mindig kérje meg fejlesztőit, hogy kutassák fel és ellenőrizzék a kód érvényességét. Győződjön meg arról is, hogy az Ön által használt bővítmények (különösen a WordPress esetében) naprakészek, és rendszeresen kapnak biztonsági javításokat – a kutatás szerint több mint 17 000 WordPress bővítményt (vagyis a vizsgálat idején a WordPress bővítmények mintegy 47%-át) nem frissítették két éve.

Phishing

A phishing egy másik támadási módszer, amely nem közvetlenül a webhelyeket célozza, de ezt sem hagyhattuk ki a listából, mivel ez is veszélyeztetheti a rendszer integritását. Az adathalászat ugyanis az FBI internetes bűnügyi jelentése szerint a leggyakoribb social engineering kiberbűncselekmény.

Az adathalászkísérletek során használt standard eszköz az e-mail. A támadók általában olyannak álcázzák magukat, aki nem ők maguk, és megpróbálják rávenni áldozatukat érzékeny információk megosztására vagy banki átutalásra. Az ilyen típusú támadások lehetnek kirívóak, mint a 419-es átverés (az Advance Fee Fraud kategóriába tartozó), vagy kifinomultabbak, amelyek hamisított e-mail címeket, hitelesnek tűnő weboldalakat és meggyőző nyelvezetet tartalmaznak. Ez utóbbi szélesebb körben Spear phishing néven ismert.

Az adathalász átverés kockázatának csökkentésének leghatékonyabb módja az, ha munkatársait és saját magát is felkészíti az ilyen kísérletek felismerésére. Mindig ellenőrizze, hogy a feladó e-mail címe legális-e, az üzenet nem furcsa és a kérés nem bizarr. És ha túl szép ahhoz, hogy igaz legyen, akkor valószínűleg az is.

Végkövetkeztetés

A weboldalát érő támadásoknak sokféle formája lehet, és a mögöttük álló támadók lehetnek amatőrök vagy összehangolt profik.

A legfontosabb tanulság, hogy ne hagyja ki a biztonsági funkciókat webhelye létrehozásakor vagy működtetésekor, mert annak szörnyű következményei lehetnek.

Míg a webhelytámadás kockázatát nem lehet teljesen kiküszöbölni, legalább a lehetőségét és a kimenetel súlyosságát mérsékelheti.

A szerzőről: Gert Svaiko hivatásos szövegíró, aki kiberbiztonsági vállalatokkal dolgozik az Egyesült Államokban és az EU-ban. Elérheti őt a LinkedIn-en.

Szerkesztői megjegyzés: A vendégszerző cikkében kifejtett vélemény kizárólag a szerző sajátja, és nem feltétlenül tükrözi a Tripwire, Inc. véleményét.