I 10 più comuni attacchi alla sicurezza dei siti web (e come proteggersi)

Ogni sito web su Internet è in qualche modo vulnerabile agli attacchi alla sicurezza. Le minacce vanno da errori umani ad attacchi sofisticati da parte di criminali informatici coordinati.

Secondo il Data Breach Investigations Report di Verizon, la motivazione principale degli aggressori informatici è finanziaria. Che tu gestisca un progetto di eCommerce o un semplice sito web di una piccola impresa, il rischio di un potenziale attacco c’è.

È più importante che mai sapere a cosa vai incontro. Ogni attacco maligno al tuo sito web ha le sue specificità, e con una gamma di diversi tipi di attacchi in circolazione, potrebbe sembrare impossibile difendersi da tutti. Tuttavia, puoi fare molto per proteggere il tuo sito web da questi attacchi e mitigare il rischio che gli hacker malintenzionati prendano di mira il tuo sito web.

Diamo un’occhiata più da vicino a 10 dei più frequenti attacchi informatici che avvengono su Internet e come puoi proteggere il tuo sito web da essi.

I 10 attacchi alla sicurezza dei siti web più comuni

Cross-Site Scripting (XSS)

Un recente studio di Precise Security ha scoperto che l’attacco XSS è il cyberattacco più comune e rappresenta circa il 40% di tutti gli attacchi. Anche se è il più frequente, la maggior parte di questi attacchi non sono molto sofisticati e vengono eseguiti da cyber criminali dilettanti utilizzando script che altri hanno creato.

Il cross-site scripting prende di mira gli utenti di un sito anziché l’applicazione web stessa. L’hacker malintenzionato inserisce un pezzo di codice in un sito web vulnerabile, che viene poi eseguito dal visitatore del sito. Il codice può compromettere l’account dell’utente, attivare cavalli di Troia o modificare il contenuto del sito web per indurre l’utente a fornire informazioni private.

È possibile proteggere il proprio sito web dagli attacchi XSS impostando un firewall per applicazioni web (WAF). Il WAF agisce come un filtro che identifica e blocca qualsiasi richiesta dannosa al tuo sito web. Di solito, le società di web hosting hanno già il WAF in atto quando si acquista il loro servizio, ma è anche possibile impostarlo da soli.

Attacchi di iniezione

L’Open Web Application Security Project (OWASP) nella sua ultima ricerca Top Ten ha nominato i difetti di iniezione come il fattore di rischio più alto per i siti web. Il metodo dell’iniezione SQL è la pratica più popolare usata dai criminali informatici in questa categoria.

I metodi di attacco a iniezione prendono di mira direttamente il sito web e il database del server. Quando viene eseguito, l’attaccante inserisce un pezzo di codice che rivela i dati nascosti e gli input dell’utente, consente la modifica dei dati e in generale compromette l’applicazione.

Proteggere il tuo sito web contro gli attacchi basati sull’iniezione dipende principalmente da quanto bene hai costruito la tua base di codice. Per esempio, il modo numero uno per mitigare il rischio di SQL injection è quello di utilizzare sempre le dichiarazioni parametrizzate quando sono disponibili, tra gli altri metodi. Inoltre, si può considerare l’utilizzo di un flusso di autenticazione di terze parti per esternalizzare la protezione del database.

Fuzzing (o Fuzz Testing)

Gli sviluppatori usano il fuzz testing per trovare errori di codifica e falle di sicurezza nel software, nei sistemi operativi o nelle reti. Tuttavia, gli aggressori possono usare la stessa tecnica per trovare vulnerabilità nel vostro sito o server.

Funziona inizialmente inserendo una grande quantità di dati casuali (fuzz) in un’applicazione per farla andare in crash. Il passo successivo è utilizzare uno strumento software fuzzer per identificare i punti deboli. Se ci sono delle falle nella sicurezza dell’obiettivo, l’attaccante può sfruttarle ulteriormente.

Il modo migliore per combattere un attacco fuzzing è quello di mantenere aggiornate le applicazioni di sicurezza e le altre. Questo è particolarmente vero per qualsiasi patch di sicurezza che esce con un aggiornamento che gli autori possono sfruttare se non avete ancora fatto l’aggiornamento.

Zero-Day Attack

Un attacco zero-day è un’estensione di un attacco fuzzing, ma non richiede l’identificazione di punti deboli in sé. Il caso più recente di questo tipo di attacco è stato identificato dallo studio di Google, dove hanno identificato potenziali exploit zero-day nel software Windows e Chrome.

Ci sono due scenari di come gli hacker malintenzionati possono beneficiare dell’attacco zero-day. Il primo caso è se gli attaccanti possono ottenere informazioni su un imminente aggiornamento di sicurezza, possono imparare dove sono le falle prima che l’aggiornamento vada in onda. Nel secondo scenario, i cyber criminali ottengono le informazioni sulla patch e prendono di mira gli utenti che non hanno ancora aggiornato i loro sistemi. In entrambi i casi, la vostra sicurezza viene compromessa, e i danni successivi dipendono dalle abilità dei perpetratori.

Il modo più semplice per proteggere voi stessi e il vostro sito contro gli attacchi zero-day è quello di aggiornare il software immediatamente dopo che gli editori richiedono una nuova versione.

Path (o Directory) Traversal

Un attacco path traversal non è così comune come i precedenti metodi di hacking, ma è ancora una minaccia considerevole per qualsiasi applicazione web.

Gli attacchi path traversal prendono di mira la cartella principale del web per accedere a file o directory non autorizzati al di fuori della cartella presa di mira. L’attaccante cerca di iniettare modelli di movimento all’interno della directory del server per salire nella gerarchia. Un path traversal riuscito può compromettere l’accesso al sito, i file di configurazione, i database e altri siti web e file sullo stesso server fisico.

Proteggere il vostro sito da un attacco path traversal si riduce alla sanitizzazione dell’input. Questo significa mantenere gli input dell’utente sicuri e non recuperabili dal vostro server. Il suggerimento più diretto qui è quello di costruire la vostra base di codice in modo che qualsiasi informazione di un utente non passi alle API del filesystem. Tuttavia, se questo non è possibile, ci sono altre soluzioni tecniche.

Distributed Denial-of-Service (DDoS)

L’attacco DDoS da solo non permette all’hacker malintenzionato di violare la sicurezza ma renderà il sito temporaneamente o permanentemente offline. L’IT Security Risks Survey di Kaspersky Lab nel 2017 ha concluso che un singolo attacco DDoS costa in media alle piccole imprese 123K$ e alle grandi imprese 2,3M$.

L’attacco DDoS mira a sommergere di richieste il server web dell’obiettivo, rendendo il sito non disponibile per altri visitatori. Una botnet di solito crea un vasto numero di richieste, che viene distribuito tra i computer precedentemente infettati. Inoltre, gli attacchi DDoS sono spesso utilizzati insieme ad altri metodi; l’obiettivo del primo è quello di distrarre i sistemi di sicurezza mentre si sfrutta una vulnerabilità.

Proteggere il tuo sito contro un attacco DDoS è generalmente multi-sfaccettato. In primo luogo, è necessario mitigare il traffico di picco utilizzando un Content Delivery Network (CDN), un bilanciatore di carico e risorse scalabili. In secondo luogo, è anche necessario implementare un Web Application Firewall nel caso in cui l’attacco DDoS stia nascondendo un altro metodo di attacco informatico, come un’iniezione o XSS.

Attacco Man-In-The-Middle

Gli attacchi man-in-the-middle sono comuni tra i siti che non hanno criptato i loro dati mentre viaggiano dall’utente ai server. Come utente, puoi identificare un potenziale rischio esaminando se l’URL del sito web inizia con HTTPS, dove la “S” implica che i dati sono criptati.

Gli aggressori usano il tipo di attacco man-in-the-middle per raccogliere informazioni (spesso sensibili). L’autore intercetta i dati mentre vengono trasferiti tra due parti. Se i dati non sono criptati, l’attaccante può facilmente leggere i dati personali, di login o altri dettagli sensibili che viaggiano tra due luoghi su Internet.

Un modo semplice per mitigare l’attacco man-in-the-middle è quello di installare un certificato Secure Sockets Layer (SSL) sul tuo sito. Questo certificato cripta tutte le informazioni che viaggiano tra le parti, in modo che l’aggressore non le capisca facilmente. In genere, la maggior parte dei moderni fornitori di hosting già includono un certificato SSL nel loro pacchetto di hosting.

Attacco di forza bruta

Un attacco di forza bruta è un metodo molto semplice per accedere alle informazioni di accesso di un’applicazione web. È anche uno dei più facili da mitigare, specialmente dalla parte dell’utente.

L’aggressore cerca di indovinare la combinazione di nome utente e password per accedere all’account dell’utente. Naturalmente, anche con più computer, questo può richiedere anni a meno che la password non sia molto semplice e ovvia.

Il modo migliore per proteggere le informazioni di accesso è creare una password forte o utilizzare l’autenticazione a due fattori (2FA). Come proprietario di un sito, puoi richiedere ai tuoi utenti di impostare entrambi per mitigare il rischio che un cyber criminale indovini la password.

Utilizzare codice sconosciuto o di terze parti

Sebbene non sia un attacco diretto al tuo sito, utilizzare codice non verificato creato da una terza persona può portare a una grave violazione della sicurezza.

Il creatore originale di un pezzo di codice o un’applicazione ha nascosto una stringa dannosa all’interno del codice o ha lasciato inconsapevolmente una backdoor. Si incorpora quindi il codice “infetto” al proprio sito, e poi viene eseguito o la backdoor sfruttata. Gli effetti possono andare dal semplice trasferimento di dati all’accesso amministrativo al vostro sito.

Per evitare i rischi di una potenziale violazione, fate sempre ricercare e controllare la validità del codice ai vostri sviluppatori. Inoltre, assicurati che i plugin che usi (specialmente per WordPress) siano aggiornati e ricevano regolarmente le patch di sicurezza – la ricerca mostra che oltre 17.000 plugin WordPress (o circa il 47% dei plugin WordPress al momento dello studio) non erano stati aggiornati in due anni.

Phishing

Il phishing è un altro metodo di attacco che non è direttamente rivolto ai siti web, ma non potevamo nemmeno lasciarlo fuori dalla lista, poiché può ancora compromettere l’integrità del tuo sistema. Il motivo è che il phishing è, secondo l’Internet Crime Report dell’FBI, il più comune crimine informatico di ingegneria sociale.

Lo strumento standard utilizzato nei tentativi di phishing è la posta elettronica. Gli aggressori generalmente si mascherano come qualcuno che non sono e cercano di convincere le loro vittime a condividere informazioni sensibili o fare un trasferimento bancario. Questi tipi di attacchi possono essere stravaganti come la truffa 419 (una parte della categoria Advance Fee Fraud) o più sofisticati che coinvolgono indirizzi e-mail spoofed, siti web apparentemente autentici e linguaggio persuasivo. Quest’ultimo è più ampiamente conosciuto come Spear phishing.

Il modo più efficace per mitigare il rischio di una truffa di phishing è quello di addestrare il vostro staff e voi stessi a identificare tali tentativi. Controllate sempre che l’indirizzo e-mail del mittente sia legittimo, che il messaggio non sia strano e che la richiesta non sia bizzarra. E, se è troppo bello per essere vero, probabilmente lo è.

In conclusione

Gli attacchi al tuo sito web possono assumere molte forme, e gli attaccanti dietro di loro possono essere dilettanti o professionisti coordinati.

Il punto chiave è non saltare le caratteristiche di sicurezza quando si crea o si gestisce il sito, perché può avere conseguenze disastrose.

Mentre non è possibile eliminare completamente il rischio di un attacco al sito web, è possibile almeno mitigare la possibilità e la gravità del risultato.

Informazioni sull’autore: Gert Svaiko è un copywriter professionista che lavora con aziende di cybersecurity negli Stati Uniti e nell’UE. Potete raggiungerlo su LinkedIn.

Nota del redattore: Le opinioni espresse in questo articolo come autore ospite sono esclusivamente quelle del collaboratore e non riflettono necessariamente quelle di Tripwire, Inc.