Значна частина бізнесу ведеться через Інтернет, тому не дивно, що веб-сайти є однією з головних цілей кіберзлочинців. Використовувані напади відносно добре відомі, проте захист від них залишається неефективною для багатьох. Складність Інтернету та вразливість інфраструктури роблять багато веб-сайтів уразливими, а кількість загроз зростає.

найпоширеніших

Згідно з останнім звітом Symantec Internet Security Threat, у 2013 році було зареєстровано 6787 вразливостей проти 5291 у 2012 році. Показово, що кожен восьмий веб-сайт має критичну, відому, але недоступну вразливість, і 67 відсотків веб-сайтів поширюють законні програми, які були визнані легітимними. Охоронна компанія зібрала п’ять найпоширеніших методів веб-атак.

1. Ін’єкція SQL

За допомогою технології введення SQL зловмисні оператори SQL передаються в одне з полів введення, тому веб-сервер повертає конфіденційну інформацію та надає доступ до конфіденційної інформації, такої як імена користувачів та паролі.

2. Сценарії між сайтами (XSS)

Міжсайтовий сценарій (XSS) - одна з найпоширеніших вад безпеки в Інтернет-програмах, яка виникає, коли програма надсилає ненадійні дані до браузера, який не належним чином автентифікований або зашифрований. Це дозволяє зловмисникам запускати сценарії в браузері жертви, які переспрямовують користувача на шкідливий веб-сайт або знищують веб-сайт під час відвідування веб-сайту.

3. CSRF (підробка між запитами)

Напад CSRF викрадає файли cookie перегляду жертви та іншу ідентифікаційну інформацію під час доступу до вразливого веб-сайту. В кінці процесу зловмисник бере під контроль робочі процеси жертви, і, наприклад, у випадку банківського сайту, зловмисник може повністю контролювати рахунок жертви. Оскільки веб-сайт виявляє, що реальний користувач увійшов, дуже важко виявити атаку, якщо дія успішна.

4. Використання компонентів з відомими вразливими місцями

Компоненти з відомими вразливими місцями - бібліотеки, фреймворки та інші програмні модулі - є легкою здобиччю для кіберзлочинців. Як ми нещодавно бачили з помилкою Heartbleed, ефективне виправлення та безпечне кодування можуть бути складним процесом, особливо для складних веб-додатків. Тому програми, що використовують компоненти з відомими вразливими місцями, можуть підірвати належний захист та запропонувати цілий ряд атак.

5. Інтервенційна атака

Атака "Людина посередині" компрометує зв'язок між системами. Наприклад, під час передачі даних http ціллю є TCP-з'єднання між клієнтом і сервером. У цьому випадку, викрадаючи канал зв'язку, зловмисник видає себе партнером обох сторін, тому обидва користувачі думають, що вони спілкуються між собою, а насправді вони обидва контактують із зловмисником. У деяких випадках ми могли бачити сторінки, які передавали конфіденційну інформацію без належного шифрування.