Każda strona internetowa w Internecie jest w pewnym stopniu podatna na ataki bezpieczeństwa. Zagrożenia wahają się od błędów ludzkich do wyrafinowanych ataków przez skoordynowanych cyberprzestępców.
Zgodnie z raportem Data Breach Investigations Report firmy Verizon, podstawową motywacją dla cyberataków jest motywacja finansowa. Niezależnie od tego, czy prowadzisz projekt eCommerce, czy prostą witrynę małej firmy, ryzyko potencjalnego ataku istnieje.
Jest to ważniejsze niż kiedykolwiek, aby wiedzieć, z czym masz do czynienia. Każdy złośliwy atak na twoją stronę internetową ma swoją specyfikę, a przy szeregu różnych typów ataków, może się wydawać, że obrona przed nimi wszystkimi jest niemożliwa. Mimo to, możesz zrobić wiele, aby zabezpieczyć swoją witrynę przed tymi atakami i zminimalizować ryzyko, że złośliwi hakerzy namierzają Twoją witrynę.
Przyjrzyjrzyjmy się bliżej 10 najczęstszym cyberatakom występującym w Internecie i jak możesz chronić przed nimi swoją witrynę.
10 najczęstszych ataków bezpieczeństwa witryny
Cross-Site Scripting (XSS)
Ostatnie badania przeprowadzone przez Precise Security wykazały, że atak XSS jest najczęstszym cyberatakiem stanowiącym około 40% wszystkich ataków. Mimo że jest on najczęstszy, większość z tych ataków nie jest zbyt wyrafinowana i jest przeprowadzana przez cyberprzestępców-amatorów przy użyciu skryptów stworzonych przez innych.
Skryptografia sieciowa (ang. cross-site scripting) jest ukierunkowana na użytkowników witryny zamiast na samą aplikację internetową. Złośliwy haker wstawia do podatnej na ataki witryny fragment kodu, który jest następnie wykonywany przez odwiedzającego witrynę. Kod może naruszyć konta użytkowników, aktywować konie trojańskie lub zmodyfikować zawartość witryny, aby oszukać użytkownika i skłonić go do podania prywatnych informacji.
Możesz chronić swoją witrynę przed atakami XSS, konfigurując zaporę sieciową (WAF). WAF działa jak filtr, który identyfikuje i blokuje wszelkie złośliwe żądania do Twojej witryny. Zazwyczaj, firmy hostingowe mają już WAF w miejscu, kiedy kupujesz ich usługi, ale można również ustawić go samodzielnie.
Ataki iniekcyjne
The Open Web Application Security Project (OWASP) w ich najnowszym Top Ten badania nazwał błędy wtrysku jako najwyższy czynnik ryzyka dla stron internetowych. Metoda SQL injection jest najpopularniejszą praktyką stosowaną przez cyberprzestępców w tej kategorii.
Metody ataków iniekcyjnych są skierowane bezpośrednio na stronę internetową i bazę danych serwera. Po wykonaniu atakujący wstawia fragment kodu, który ujawnia ukryte dane i dane wejściowe użytkownika, umożliwia modyfikację danych i ogólnie kompromituje aplikację.
Ochrona twojej witryny przed atakami opartymi na wstrzyknięciach sprowadza się głównie do tego, jak dobrze zbudowałeś swoją bazę kodową. Na przykład, sposobem numer jeden, aby zmniejszyć ryzyko wstrzyknięcia SQL jest zawsze używać sparametryzowanych instrukcji, jeśli są dostępne, wśród innych metod. Co więcej, możesz rozważyć użycie zewnętrznego procesu uwierzytelniania, aby zlecić ochronę swojej bazy danych.
Fuzzing (lub Fuzz Testing)
Deweloperzy używają fuzz testów do znalezienia błędów w kodowaniu i luk bezpieczeństwa w oprogramowaniu, systemach operacyjnych lub sieciach. Jednakże, atakujący mogą użyć tej samej techniki do znalezienia luk w twojej witrynie lub serwerze.
Działanie polega na początkowym wprowadzeniu dużej ilości losowych danych (fuzz) do aplikacji, aby spowodować jej awarię. Następnym krokiem jest użycie narzędzia programowego fuzzer w celu identyfikacji słabych punktów. Jeśli istnieją jakiekolwiek luki w zabezpieczeniach celu, atakujący może je dalej wykorzystywać.
Najlepszym sposobem zwalczania ataku fuzzingowego jest utrzymywanie bezpieczeństwa i innych aplikacji na bieżąco. Dotyczy to zwłaszcza wszelkich poprawek bezpieczeństwa, które pojawiają się wraz z aktualizacją, którą sprawcy mogą wykorzystać, jeśli jeszcze jej nie dokonaliście.
Atak zero-day
Atak zero-day jest rozszerzeniem ataku fuzzingowego, ale nie wymaga identyfikacji słabych punktów per se. Najnowszy przypadek tego typu ataku został zidentyfikowany w badaniu Google, gdzie zidentyfikowano potencjalne exploity zero-day w oprogramowaniu Windows i Chrome.
Istnieją dwa scenariusze tego, jak złośliwi hakerzy mogą skorzystać z ataku zero-day. W pierwszym przypadku, jeśli atakujący mogą uzyskać informacje o nadchodzącej aktualizacji zabezpieczeń, mogą dowiedzieć się, gdzie są luki, zanim aktualizacja wejdzie na żywo. W drugim scenariuszu, cyberprzestępcy zdobywają informacje o łatach i biorą na cel użytkowników, którzy jeszcze nie zaktualizowali swoich systemów. W obu przypadkach bezpieczeństwo użytkownika zostaje naruszone, a późniejsze szkody zależą od umiejętności sprawców.
Najprostszym sposobem ochrony siebie i swojej witryny przed atakami zero-day jest aktualizacja oprogramowania natychmiast po tym, jak wydawcy podpowiedzą nową wersję.
Path (or Directory) Traversal
Atak path traversal nie jest tak powszechny jak poprzednie metody włamania, ale nadal stanowi spore zagrożenie dla każdej aplikacji webowej.
Ataki path traversal celują w folder główny strony internetowej, aby uzyskać dostęp do nieautoryzowanych plików lub katalogów poza folderem docelowym. Napastnik próbuje wstrzyknąć wzorce ruchów w obrębie katalogu serwera, aby przesunąć się w górę w hierarchii. Udany path traversal może narazić na szwank dostęp do witryny, plików konfiguracyjnych, baz danych i innych stron internetowych i plików na tym samym serwerze fizycznym.
Ochrona witryny przed atakiem path traversal sprowadza się do sanityzacji danych wejściowych. Oznacza to utrzymywanie danych wejściowych użytkownika bezpiecznych i niemożliwych do odzyskania z twojego serwera. Najprostszą sugestią jest zbudowanie swojej bazy kodu w taki sposób, aby żadna informacja od użytkownika nie była przekazywana do API systemu plików. Jeżeli jednak nie jest to możliwe, istnieją inne rozwiązania techniczne.
Distributed Denial-of-Service (DDoS)
Atak DDoS sam w sobie nie pozwala złośliwemu hakerowi na złamanie zabezpieczeń, ale tymczasowo lub trwale unieruchomi witrynę. W badaniu Kaspersky Lab dotyczącym zagrożeń bezpieczeństwa IT w 2017 r. stwierdzono, że pojedynczy atak DDoS kosztuje małe firmy średnio 123 tys. dolarów, a duże przedsiębiorstwa 2,3 mln dolarów.
Atak DDoS ma na celu przytłoczenie serwera internetowego celu żądaniami, czyniąc stronę niedostępną dla innych odwiedzających. Botnet zazwyczaj tworzy ogromną liczbę żądań, która jest rozprowadzana wśród wcześniej zainfekowanych komputerów. Ponadto, ataki DDoS są często stosowane razem z innymi metodami; celem tych pierwszych jest odwrócenie uwagi systemów bezpieczeństwa podczas wykorzystywania luki w zabezpieczeniach.
Ochrona witryny przed atakiem DDoS jest zazwyczaj wieloaspektowa. Po pierwsze, należy złagodzić ruch szczytowy za pomocą sieci dostarczania treści (CDN), load balancera i skalowalnych zasobów. Po drugie, należy również wdrożyć zaporę sieciową na wypadek, gdyby atak DDoS ukrywał inną metodę cyberataku, taką jak wstrzyknięcie lub XSS.
Atak Man-In-The-Middle
Ataki man-in-the-middle są powszechne wśród witryn, które nie zaszyfrowały swoich danych podczas podróży od użytkownika do serwerów. Jako użytkownik, można zidentyfikować potencjalne ryzyko, badając, czy adres URL witryny zaczyna się od HTTPS, gdzie „S” oznacza, że dane są szyfrowane.
Atakujący używają man-in-the-middle typu ataku do zbierania (często wrażliwe) informacje. Sprawca przechwytuje dane w trakcie ich przesyłania między dwoma stronami. Jeśli dane nie są zaszyfrowane, atakujący może łatwo odczytać dane osobowe, logowania lub inne wrażliwe szczegóły, które podróżują między dwoma miejscami w Internecie.
Prostym sposobem na złagodzenie ataku man-in-the-middle jest zainstalowanie certyfikatu Secure Sockets Layer (SSL) na swojej stronie. Ten certyfikat szyfruje wszystkie informacje, które podróżują między stronami, więc atakujący nie będzie łatwo zrobić sens z niego. Zazwyczaj większość nowoczesnych dostawców usług hostingowych posiada już certyfikat SSL w swoim pakiecie hostingowym.
Atak brute force
Atak brute force jest bardzo prostą metodą dostępu do danych logowania aplikacji internetowej. Jest to również jedna z najłatwiejszych do zminimalizowania metod, szczególnie po stronie użytkownika.
Atakujący próbuje odgadnąć kombinację nazwy użytkownika i hasła, aby uzyskać dostęp do konta użytkownika. Oczywiście, nawet przy wielu komputerach, może to zająć lata, chyba że hasło jest bardzo proste i oczywiste.
Najlepszym sposobem ochrony danych logowania jest stworzenie silnego hasła lub użycie dwuskładnikowego uwierzytelniania (2FA). Jako właściciel witryny możesz wymagać od swoich użytkowników skonfigurowania obu tych metod, aby zminimalizować ryzyko odgadnięcia hasła przez cyberprzestępcę.
Używanie nieznanego lub cudzego kodu
Choć nie jest to bezpośredni atak na twoją witrynę, używanie niezweryfikowanego kodu stworzonego przez osoby trzecie może prowadzić do poważnego naruszenia bezpieczeństwa.
Oryginalny twórca fragmentu kodu lub aplikacji ukrył w nim złośliwy ciąg znaków lub nieświadomie pozostawił tylną furtkę. Użytkownik włącza „zainfekowany” kod do swojej witryny, a następnie zostaje on wykonany lub backdoor wykorzystany. Efekty mogą obejmować od prostego transferu danych do uzyskania dostępu administracyjnego do witryny.
Aby uniknąć ryzyka związanego z potencjalnym naruszeniem, zawsze zleć swoim programistom badania i audyt ważności kodu. Upewnij się również, że wtyczki, których używasz (szczególnie dla WordPressa) są aktualne i regularnie otrzymują poprawki bezpieczeństwa – badania pokazują, że ponad 17 000 wtyczek WordPressa (lub około 47% wtyczek WordPressa w czasie badania) nie zostało zaktualizowanych w ciągu dwóch lat.
Phishing
Phishing jest kolejną metodą ataku, która nie jest bezpośrednio skierowana na strony internetowe, ale nie mogliśmy jej pominąć na liście, ponieważ nadal może zagrozić integralności twojego systemu. Powodem jest to, że phishing jest, według raportu FBI na temat przestępczości internetowej, najczęstszym cyberprzestępstwem socjotechnicznym.
Standardowym narzędziem wykorzystywanym w próbach phishingu jest poczta elektroniczna. Napastnicy zazwyczaj maskują się jako ktoś, kim nie są, i próbują nakłonić swoje ofiary do udostępnienia poufnych informacji lub dokonania przelewu bankowego. Tego typu ataki mogą być dziwaczne, jak oszustwo 419 (część kategorii Advance Fee Fraud) lub bardziej wyrafinowane, z wykorzystaniem sfałszowanych adresów e-mail, pozornie autentycznych stron internetowych i perswazyjnego języka. Ten drugi rodzaj oszustwa jest szerzej znany jako Spear phishing.
Najskuteczniejszym sposobem ograniczenia ryzyka oszustwa typu phishing jest przeszkolenie pracowników i siebie w zakresie rozpoznawania takich prób. Zawsze sprawdzaj, czy adres e-mail nadawcy jest prawdziwy, wiadomość nie jest dziwna, a prośba nie jest dziwaczna. A jeśli to jest zbyt piękne, aby było prawdziwe, to prawdopodobnie jest.
W podsumowaniu
Ataki na twoją witrynę mogą przybierać różne formy, a atakujący za nimi mogą być amatorami lub skoordynowanymi profesjonalistami.
Kluczowym wnioskiem jest nie pomijanie funkcji bezpieczeństwa podczas tworzenia lub prowadzenia witryny, ponieważ może to mieć tragiczne konsekwencje.
Choć nie jest możliwe całkowite wyeliminowanie ryzyka ataku na witrynę, można przynajmniej złagodzić możliwość i dotkliwość wyniku.
O autorze: Gert Svaiko jest profesjonalnym copywriterem, który współpracuje z firmami zajmującymi się cyberbezpieczeństwem w USA i UE. Można go znaleźć na LinkedIn.
Uwaga redaktora: Opinie wyrażone w tym artykule są wyłącznie opiniami autora i nie muszą odzwierciedlać opinii firmy Tripwire, Inc.
Nota redaktora: Opinie wyrażone w tym artykule są wyłącznie opiniami autora i nie muszą odzwierciedlać opinii firmy Tripwire, Inc.