De 10 vanligaste säkerhetsattackerna på webbplatser (och hur du skyddar dig)

Posted on by admin

Alla webbplatser på Internet är i viss mån sårbara för säkerhetsattacker. Hoten sträcker sig från mänskliga fel till sofistikerade attacker av samordnade cyberbrottslingar.

Enligt Verizons rapport Data Breach Investigations Report är den främsta motivationen för cyberattackerare ekonomisk. Oavsett om du driver ett e-handelsprojekt eller en enkel webbplats för småföretag finns risken för en potentiell attack.

Det är viktigare än någonsin att veta vad du står inför. Varje skadlig attack mot din webbplats har sina särdrag, och med en rad olika typer av attacker som går runt kan det tyckas omöjligt att försvara sig mot alla. Ändå kan du göra mycket för att skydda din webbplats mot dessa attacker och minska risken för att illvilliga hackare riktar in sig på din webbplats.

Låt oss ta en närmare titt på 10 av de vanligaste cyberattackerna som sker på internet och hur du kan skydda din webbplats mot dem.

De 10 vanligaste säkerhetsattackerna på webbplatser

Cross-Site Scripting (XSS)

En nyligen genomförd studie av Precise Security visade att XSS-attacken är den vanligaste cyberattacken och utgör cirka 40 % av alla attacker. Även om det är den vanligaste är de flesta av dessa attacker inte särskilt sofistikerade och utförs av amatörcyberbrottslingar som använder skript som andra har skapat.

Cross-site scripting riktar sig till användarna av en webbplats i stället för till själva webbapplikationen. Den illvilliga hackaren lägger in en kod i en sårbar webbplats, som sedan körs av webbplatsens besökare. Koden kan äventyra användarens konton, aktivera trojanska hästar eller ändra webbplatsens innehåll för att lura användaren att lämna ut privat information.

Du kan skydda din webbplats mot XSS-attacker genom att inrätta en brandvägg för webbprogram (WAF). WAF fungerar som ett filter som identifierar och blockerar alla skadliga förfrågningar till din webbplats. Vanligtvis har webbhotell redan WAF på plats när du köper deras tjänst, men du kan också ställa in den själv.

Injektionsattacker

Open Web Application Security Project (OWASP) har i sin senaste Top Ten-forskning nämnt injektionsfel som den högsta riskfaktorn för webbplatser. SQL-injektionsmetoden är den mest populära metoden som används av cyberbrottslingar i denna kategori.

Injektionsattackmetoderna riktar sig direkt mot webbplatsen och serverns databas. När den exekveras lägger angriparen in en bit kod som avslöjar dolda data och användarinmatningar, möjliggör datamodifiering och i allmänhet äventyrar applikationen.

Att skydda din webbplats mot injektionsbaserade attacker beror främst på hur väl du har byggt upp din kodbas. Det främsta sättet att minska risken för SQL-injektion är till exempel att alltid använda parametrerade uttalanden när de är tillgängliga, bland andra metoder. Dessutom kan du överväga att använda ett autentiseringsarbetsflöde från tredje part för att outsourca ditt databasskydd.

Fuzzing (eller Fuzz Testing)

Utvecklare använder fuzz testing för att hitta kodningsfel och säkerhetshål i programvara, operativsystem eller nätverk. Angripare kan dock använda samma teknik för att hitta sårbarheter på din webbplats eller server.

Det fungerar genom att man inledningsvis matar in en stor mängd slumpmässiga data (fuzz) i ett program för att få det att krascha. Nästa steg är att använda ett fuzzer-programvaruverktyg för att identifiera de svaga punkterna. Om det finns några kryphål i målets säkerhet kan angriparen utnyttja det ytterligare.

Det bästa sättet att bekämpa en fuzzing-attack är att hålla din säkerhet och andra program uppdaterade. Detta gäller särskilt för eventuella säkerhetsläckor som kommer ut med en uppdatering som förövarna kan utnyttja om du inte har gjort uppdateringen ännu.

Zero-Day Attack

En zero-day-attack är en förlängning av en fuzzing-attack, men den kräver inte att man identifierar svaga punkter i sig självt. Det senaste fallet av denna typ av attack identifierades av Googles studie, där de identifierade potentiella zero-day-exploits i Windows- och Chrome-programvara.

Det finns två scenarier för hur illasinnade hackare kan dra nytta av zero-day-attacken. Det första fallet är om angriparna kan få information om en kommande säkerhetsuppdatering, de kan lära sig var kryphålen finns innan uppdateringen går live. I det andra scenariot får cyberbrottslingarna information om patchen och riktar sig till användare som ännu inte har uppdaterat sina system. I båda fallen äventyras din säkerhet, och den efterföljande skadan beror på förövarnas färdigheter.

Det enklaste sättet att skydda dig själv och din webbplats mot zero-day-attacker är att uppdatera din programvara omedelbart efter att utgivarna uppmanar till en ny version.

Path (or Directory) Traversal

En path traversal-attack är inte lika vanlig som de tidigare hackningsmetoderna men är fortfarande ett betydande hot mot alla webbapplikationer.

Path traversal-attacker riktar sig mot webbrotsmappen för att få tillgång till obehöriga filer eller kataloger utanför den målade mappen. Angriparen försöker injicera rörelsemönster i serverkatalogen för att ta sig uppåt i hierarkin. En lyckad path traversal kan äventyra webbplatsens åtkomst, konfigurationsfiler, databaser och andra webbplatser och filer på samma fysiska server.

Att skydda din webbplats mot en path traversal-attack beror på din inputsanering. Detta innebär att hålla användarens inmatningar säkra och omöjliga att återskapa från din server. Det enklaste förslaget här är att bygga din kodbas så att all information från en användare inte överförs till filsystemets API:er. Om det inte är möjligt finns det dock andra tekniska lösningar.

Distributed Denial-of-Service (DDoS)

D DDoS-attacken i sig gör det inte möjligt för den illasinnade hackaren att bryta igenom säkerheten, men den kommer att tillfälligt eller permanent göra webbplatsen offline. Kaspersky Labs undersökning om IT-säkerhetsrisker 2017 kom fram till att en enda DDoS-attack i genomsnitt kostar små företag 123 000 dollar och stora företag 2,3 miljoner dollar.

D DDoS-attacken syftar till att överösta målets webbserver med förfrågningar, vilket gör webbplatsen otillgänglig för andra besökare. Ett botnät skapar vanligtvis ett stort antal förfrågningar, som distribueras bland tidigare infekterade datorer. Dessutom används DDoS-attacker ofta tillsammans med andra metoder; det förstnämnda målet är att distrahera säkerhetssystemen samtidigt som man utnyttjar en sårbarhet.

Att skydda din webbplats mot en DDoS-attack är i allmänhet mångfacetterat. För det första måste du mildra den toppade trafiken genom att använda ett Content Delivery Network (CDN), en lastutjämnare och skalbara resurser. För det andra måste du också installera en brandvägg för webbapplikationer om DDoS-attacken döljer en annan cyberattackmetod, t.ex. en injektion eller XSS.

Man-in-the-middle-attack

Man-in-the-middle-attackerna är vanliga bland webbplatser som inte har krypterat sina data när de färdas från användaren till servrarna. Som användare kan du identifiera en potentiell risk genom att undersöka om webbplatsens webbadress börjar med HTTPS, där ”S” innebär att data krypteras.

Anfallare använder man-in-the-middle-attacken för att samla in (ofta känslig) information. Förövaren avlyssnar uppgifterna när de överförs mellan två parter. Om uppgifterna inte är krypterade kan angriparen lätt läsa personliga uppgifter, inloggningsuppgifter eller andra känsliga uppgifter som rör sig mellan två platser på Internet.

Ett enkelt sätt att begränsa man-in-the-middle-attacken är att installera ett SSL-certifikat (Secure Sockets Layer) på din webbplats. Certifikatet krypterar all information som skickas mellan parterna så att angriparen inte lätt kan förstå den. Vanligtvis har de flesta moderna webbhotell redan ett SSL-certifikat i sitt webbhotellspaket.

Brute force-attack

En brute force-attack är en mycket enkel metod för att komma åt inloggningsuppgifterna i en webbapplikation. Det är också en av de enklaste att mildra, särskilt från användarens sida.

Anfallaren försöker gissa kombinationen av användarnamn och lösenord för att komma åt användarens konto. Även med flera datorer kan detta naturligtvis ta flera år om inte lösenordet är mycket enkelt och uppenbart.

Det bästa sättet att skydda dina inloggningsuppgifter är att skapa ett starkt lösenord eller använda tvåfaktorsautentisering (2FA). Som webbplatsägare kan du kräva att dina användare ställer in båda för att minska risken för att en cyberbrottsling ska gissa lösenordet.

Användning av okänd eller tredjepartskod

Och även om det inte är en direkt attack mot din webbplats kan användning av obekräftad kod som skapats av en tredje person leda till en allvarlig säkerhetsöverträdelse.

Den ursprungliga skaparen av ett stycke kod eller ett program har gömt en skadlig sträng i koden eller lämnat en bakdörr utan att veta det. Du införlivar sedan den ”infekterade” koden på din webbplats och sedan utförs den eller bakdörren utnyttjas. Effekterna kan sträcka sig från enkel dataöverföring till att få administrativ åtkomst till din webbplats.

För att undvika risker kring ett potentiellt intrång ska du alltid låta dina utvecklare undersöka och granska kodens giltighet. Se också till att de plugins du använder (särskilt för WordPress) är uppdaterade och regelbundet får säkerhetsuppdateringar – forskning visar att över 17 000 WordPress-plugins (eller cirka 47 % av WordPress-plugins vid tidpunkten för studien) inte hade uppdaterats på två år.

Phishing

Phishing är en annan angreppsmetod som inte är direkt riktad mot webbplatser, men vi kunde inte heller låta den stå utanför listan eftersom den fortfarande kan äventyra ditt systems integritet. Anledningen är att nätfiske enligt FBI:s Internet Crime Report är det vanligaste cyberbrottet med social ingenjörskonst.

Standardverktyget som används vid nätfiskeförsök är e-post. Angriparna maskerar sig i allmänhet som någon de inte är och försöker få sina offer att dela med sig av känslig information eller göra en banköverföring. Dessa typer av attacker kan vara så udda som 419-bedrägeriet (en del av kategorin förskottsbetalningsbedrägeri) eller mer sofistikerade med förfalskade e-postadresser, till synes autentiska webbplatser och övertalande språk. Det senare är mer känt som Spear phishing.

Det mest effektiva sättet att minska risken för en phishing-bluff är att utbilda din personal och dig själv i att identifiera sådana försök. Kontrollera alltid att avsändarens e-postadress är laglig, att meddelandet inte är konstigt och att förfrågan inte är bisarr. Och om det är för bra för att vara sant så är det förmodligen det.

Slutsats

Angreppen mot din webbplats kan ta många olika former och angriparna bakom dem kan vara amatörer eller samordnade proffs.

Den viktigaste slutsatsen är att inte hoppa över säkerhetsfunktioner när du skapar eller driver din webbplats, eftersom det kan få ödesdigra konsekvenser.

Samtidigt som det inte är möjligt att helt eliminera risken för en webbplatsattack kan du åtminstone minska möjligheten och allvaret i resultatet.

Om författaren: Gert Svaiko är en professionell copywriter som arbetar med cybersäkerhetsföretag i USA och EU. Du kan nå honom på LinkedIn.

Redaktörens anmärkning: De åsikter som uttrycks i den här gästförfattarartikeln är endast bidragsgivarens egna och återspeglar inte nödvändigtvis Tripwire, Inc:s åsikter.

Related Posts

Ditt blodtryck är 102 över 50?

Blodtryck 102/50 – vad betyder det?Blodtryck 102/50 på blodtrycksdiagrammetKontrollera ett annat värde?Blodtryck 102/50 på blodtrycksskalanVad du bör veta om ett…

Lämna ett svar

Din e-postadress kommer inte publiceras.