Защищаем сайт от атак на примере ХабраХабра. Виды атак на сайты


10 атак на веб-приложения в действии / Блог компании ua-hosting.company / Хабр

В настоящее время практически все разработанные и разрабатываемые приложения стремятся стать как можно более доступными для пользователя в сети интернет. В сети размещаются различные приложения для более продуктивной работы и отдыха, такие как Google Docs, калькуляторы, электронные почты, облачные хранилища, карты, погода, новости и т.д… В общем все, что нужно для повседневной жизни. Наши смартфоны практически бесполезны без доступа к интернету, так как почти все мобильные приложения подключаются к облаку, сохраняя там наши фотографии, логины и пароли. Даже большинство домашних устройств постоянно подключено к сети.

Прикладной уровень является самой надежной защитой. Уязвимости, с которыми мы тут встретимся, зачастую полагаются на сложные сценарии ввода данных пользователем, что делает их трудноопределимыми с помощью систем обнаружения вторжений. Этот уровень — самый доступный извне. Для нормального функционирования приложения должен быть доступ через порт 80 (HTTP) или порт 443 (HTTPS). В схеме ниже веб-приложение полностью доступно извне, несмотря на брандмауэры и системы предотвращения вторжений:

В 2014 году SQL инъекции были ответственны за 8,1 процента всех подобных атак. Это делает его третьим самым используемым типом атаки, сразу после малваре и DDoS атак. Также можно взглянуть на список других атак общего применения, таких как неверная конфигурация безопасности, использования компонентов с уже известными уязвимостями и межсайтовым скриптингом (XSS). Квалифицированный атакующий может легко найти эти уязвимости и использовать их без риска быть обнаруженным.

Большинство уязвимостей были обнаружены в собственном коде веб-приложений, их называют уязвимостями нулевого дня. Это все потому, что уязвимости являются специфическими для каждого приложения и никогда не были известны ранее. Лучшая защита против этих атак — создание безопасных приложений. Разработчики должны быть осведомлены о том, как те или иные атаки работают, чтобы создавать защиту непосредственно в своих приложениях.

Обучение и информирование разработчиков об уязвимостях приложений является основной целью проекта Open Web Application Security Project (OWASP). Организация публикует списки десяти самых распространенных атак для веб-приложений. Данный список обновляется каждые три года и последний раз обновлялся в 2013 году.

Команда IBM X-Force Ethical Hacking использовала данные отчеты, чтобы создать подборку из десяти видео, которые демонстрируют ряд атак для каждой категории из списка OWASP. Каждое видео включает информацию о том, как предотвратить эти атаки и как использовать автоматизированные инструменты для тестирования подверженности приложения к каждому виду атак. Данные видео были изначально предназначены для внутреннего использования, но потом компания решила предоставить их в свободном доступе в сети Интернет.

Мы уже достаточно наговорились ни о чем, давайте же перейдем к самим видео файлам.

10. Непроверенный переход и редирект
Эта категория уязвимостей используется в фишинговых атаках, в которых жертв обманом перенаправляют на вредоносный сайт. Злоумышленники могут манипулировать URL-ми реального сайта, чтобы перенаправить пользователя на нужную им страницу. Вы можете увидеть как Джонатан Фитц-Джеральд (Jonathan Fitz-Gerald) демонстрирует эту атаку на видео, ниже:

9. Использования компонентов с уже известными уязвимостями
Эта категория включает в себя различные приложения, которые продолжают использовать компоненты даже после обнаружения уязвимости в них. Злоумышленники с легкостью могут использовать уязвимости устаревших компонентов на приложения, которые их используют, так как эти уязвимости были уже давно доказаны и опубликованы. Любой скрипт-кидди можете произвести такой взлом.

8. Межсайтовая подделка запроса
Этот тип атаки используется в сочетании с социальными проектами. На видео ниже, Бреннан Brazeau (Brennan Brazeau) демонстрирует, как злоумышленник может украсть деньги из банковского счета жертвы путем использования социальных медиа — и фотографии котиков:

7. Отсутствие функции контроля уровня доступа
В данном случаи описывается ситуация, в которой функциональность более высокого уровня скрыта от более низкого или незарегистрированного пользователя вместо того, чтобы производить изменения через контроль доступов. Джон Заккато демонстрирует атаку, в которой пользователь более низкого уровня получает доступ к интерфейсу администрирования веб-приложения:

6. Чувствительная экспозиция данных
Тут отсутствует шифрования данных во время перемещения и в состоянии покоя. Если веб-приложения, которые вы используете не правильно защитят конфиденциальные данные, такие как кредитные карты или данные аутентификации, злоумышленники могут украсть или изменить данные.

5. Неправильная настройка безопасности
В данном видео будет исследована другая чрезвычайно опасная категория дефектов, которая связана с неправильной, неверной конфигурацией сервера или самого приложения.

4. Незащищенные прямые ссылки на объект
В этом видео Фитц-Джеральд продемонстрирует атаку незащищенной прямой ссылки на объект, что позволяет злоумышленникам получить данные с сервера, манипулируя именами файлов. Вы увидите, как он терпеливо загружает файл, пока не получит всю базу данных.

3. Межсайтовый скриптинг
Межсайтовый скриптинг тип уязвимости, позволяющий злоумышленникам вставить JavaScript на страницах реальных сайтов. Поступая таким образом, они могут полностью изменить содержимое сайта, чтобы получить возможность отправить учетные данные пользователя на любой другой сервере. Уоррен Мойнихан (Warren Moynihan) продемонстрирует нам как это может быть достигнуто, ниже:

2. Повреждение аутентификации и управление сеансами
Brazeau обсуждает недостатки программирования, которые позволяют злоумышленникам обойти методы проверки подлинности, которые используются приложением:

1. Инъекции
Инъекции позволяют атакующим изменить запрос бэкэнда команды через несанкционированный ввод данных пользователем. Мойнихан продемонстрирует несколько примеров SQL-инъекций и, самое главное, покажет как получить всю таблицу пользователя, включая пароли.

На этом все. Спасибо за ваше внимание.

habr.com

Атаки на сайт. Какие бывают атаки и кто их устраивает

Цель любой атаки – это устранение конкурента, отбирающего клиентов, ну или просто уникальных посетителей. Многие вебмастера не всегда используют для продвижения своего детища только «белые» методы. Не обходиться и без «черных». За счет продвижения черными методами, владелец компании или просто сайта продвигается в ТОП выдачи за счет уничтожения своих конкурентов.

Но самое страшно, что жертвой атаки могут стать ни в чем неповинные сайты, возможно даже те которые только недавно были созданы, такое может случиться, если атакуют весь сервер. Кстати говоря, это та самая причина по которой нужно покупать выделенный IP для своего сайта. И даже не смотря на то, что данные атаки караются по закону, большинство это не останавливает.

Защитить свой сайт на 100% нельзя. Если у злоумышленников имеется большой бюджет на это дело и сильное желание, то их вряд ли что-то может остановить.

Цели атак

Выделяют несколько основных целей:

— Кража паролей пользователей, доступ в закрытые разделы;

— «Уничтожение» сервера. Цель, довести до нерабочего состояния;

— Получить неограниченный доступ к серверу;

— Вживление в код ссылок, различных вирусов и прочего;

— Понижение сайта в поисковой выдаче до полного его выпадения.

Помимо выше перечисленного атаки делятся на внутренние и внешние.  К внутренним можно отнести  различные взломы для доступа к сайту или серверу, а к внешним, клевету или спам.

Вести борьбу с внутренними видами атак можно и довольно активно. Что же касается  внешних, то тут все гораздо сложнее. Все дело в том, что владелец сервера не может взять ситуацию под контроль, что делает его очень уязвимым.

Виды атак

Ddos атака

Это самая, извиняюсь, поршивая разновидность. Следствием такой атаки будет являться полная остановка сервера, а может даже и нескольких серверов. Самое плохое заключается в том, что 100% полной защиты от DDoS не существует. Если атака не из слабых, то сервер будет находиться в нерабочем состоянии пока не будет прекращена атака.

Очередной характерной чертой DDoS-атак, является её доступность. Чтобы «завалить» сервер конкурента, не нужно быть в этом деле профи хакером. Для этого нужны всего лишь деньги или собственный ботнет (Ботнет- сеть зараженных компьетеров). А для слабенького ддоса хватит нескольких компьютеров.

Ddos – перевод данной аббревиатуры звучит как «распределенный отказ от обслуживания». Смысл атаки, заключается в одновременном, огромном обращении к серверу, которое происходит с многочисленных компьютеров.

Как мы знаем у любого сервера есть максимальный предел нагрузки, и если эту нагрузку превысить, что и делает ддос-атака, то сервер «погибает».

Самое интересное, что в атаках участвуют обычные пользователи сети, сами того не зная. И чем больше новых юзеров в сети интернет, тем более армия ботнета, и как следствие сила атаки будет расти в геометрической прогрессии. Но сегодня хакеры перенаправили свои силы с ддос атак на мошеннические проделки для непосредственного заработка денег.

Мощность атак измеряется объемом трафика, направляемого на сервер конкурента в секунду. Атакам, объем трафика которых более нескольких ГБ/сек, противостоять очень сложно. Такой объем трафа очень сложно отфильтровать, практически невозможно. Такие мощные атаки, как правило не длятся долго, но даже и одни сутки простоя крупной компании может нанести серьезный ущерб в виде падения продаж и репутации.

Кстати атакуют не только отдельные сервера, а  так же  национальные сети, в результате чего отрубается сеть в целых регионах.

Для профилактики следует размещать свои сайты на серверах, на которых есть внушительный запас ресурсов, для того чтобы у вас было время принять меры.

В качестве простых методов против слабых атак можно порекомендовать:— отдавать вместо главной страницы сайта (если атака идет на нее) страницу с редиректом. Так как ее размер намного меньше, то и нагрузка на сервер будет несравненно меньше; — если количество соединений с одного айпи превышает определенное число, заносить его в черный список;— уменьшить число клиентов (MaxClients), одновременно подключенных к серверу;— заблокировать зарубежный трафик, так как чаще всего атаки идут из стран Азии;

Нужно иметь отдельный независимый канал к серверу, через который можно будет получить к нему доступ в случае недоступности основного. Все серверное программное обеспечение нужно регулярно обновлять, ставить все выходящие патчи.

Некое подобие ддос-атаки могут спровоцировать поисковые или иные роботы, активно индексирующие сайт. Если движок сайта не оптимизирован, большое количество обращений к страницам за короткий промежуток времени вызовет слишком высокую нагрузку на сервер.

Взлом сервера и размещение ссылок или вирусов

Многие начинающие вебмастера обнаруживают скрытые ссылки на своих сайтах лишь тогда, когда эти ссылки уже привели к негативным последствиям – например, блокировка сайта хостером, выпадение из индекса поисковых систем, жалоба на домен. Тогда и обнаруживается, что сайт был взломан, и на нем размещены ссылки или с целью продвижения других ресурсов, или для распространения вирусов и троянов.

Есть вероятность, что был осуществлен взлом непосредственно сервера хостинга. Но в большинстве случаев подобные гадости на сайты попадают через дыры в движках сайта или как следствие халатности вебмастера при хранении паролей.

Скрытые ссылки являются одной из популярных причин санкций поисковиков, в частности, может быть значительная пессимизация (падение всех позиций на несколько сотен пунктов), выйти из-под которой будет крайне сложно. Если вставлены будут не просто ссылки, а код вируса, то хостер может просто удалить сайт без предупреждения. Ресурс и его айпи-адрес могут также попасть в черные списка сомнительной (если не сказать мошеннической) конторы Спамхаус, что означает конец, так как выйти оттуда практически невозможно.

Профилактика простая – следить за обновлениями движков, устанавливать все новые версии и выходящие регулярные дополнения. А пароли просто не хранить у себя на компьютере в открытом виде. Это же касается и всего серверного программного обеспечения.

Определенную опасность представляет предсказуемые названия служебных папок и файлов. (Predictable Resource Location). Путем простого перебора хакер определит их нахождение – и у него будет преимущество. Тут стоит пожертвовать удобством ради безопасности.

SQL-инъекция

Исполнение злоумышленником sql-запроса на чужом сервере, используя уязвимости движков, несовершенство программного кода. Суть бреши безопасности заключается в том, что в GET-параметре можно передать произвольный sql-запрос. Поэтому все строковые параметры необходимо экранировать (mysql_real_escape_string) и обрамлять кавычками.

Использовав инъекцию, хакер может совершить практически любое действие с базой данных – удалить ее, получить доступ к пользовательским данным и паролям и т. п.

XSS

Суть XSS-атаки заключается во внедрении в страницу, которая генерируется скриптом, произвольного кода. Это работает, если переменная, передаваемая в адресе страницы, не проверяется на присутствие в ней символов типа кавычек.

Основная опасность – кража cookies, и, следовательно, получение доступа к аккаунтам пользователей. Также хакер может получить информацию о системе посетителя, об истории посещенных сайтов и т. п. Внедрить также можно не только java-скрипт, а и ссылку на php-скрипт, размещенный на стороннем сервере, что намного опаснее.

Одно время этот метод применялся в «черном» СЕО для получения бесплатных ссылок. Владельцам сайтов это не особо вредило.

Спам с адресом сайта и реквизитами

Метод, по большому счету, безобидный, но тут опять же вступает вышеупомянутый Спамхаус. Буквально по одной жалобе сайт и его айпи могут быть занесены в черный список, и хостер будет вынужден отказать в обслуживании. А разослать несколько сотен тысяч писем с адресом любого сайта стоит копейки. Спамить также могут форумы, комментарии и т. п., и крайне сложно будет доказать, что этим занимались конкуренты.

Манипуляция поведенческими факторами

Новый метод, основанный на том, что поведенческие факторы ранжирования сайтов в поисковых системах выходят на главные роли. Они могут играть как положительную, так и отрицательную роль, вторым и пользуются недобросовестные конкуренты.

Если массовый трафик, повышающий процент отказов, можно легко фильтровать, то «реальные» посещения могут навредить, особенно если на сайт будут часто заходить реальные люди и сразу уходить с него. Показатель отказов будет высоким, следовательно, позиции будут падать. Впрочем, эффективность метода в настоящее время невысока.

Спам в комментариях и на форуме

Заспамленные сайты либо плохо ранжируются, либо вообще банятся поисковыми системами. Следовательно, если основательно забросать сайт или форум комментариями со ссылками, то это приведет к резкому уменьшению трафика. Чтобы избежать этого, нужно тщательно настраивать системы антиспама, а также постоянно модерировать все новые сообщения.

Массовая закупка ссылок на сайт

В 99% случаев этот способ не работает, и даже наоборот. Суть заключается в том, что за очень короткий срок появляется значительное количество ссылок, ведущих на сайт, причем крайне низкого качества. Теоретически поисковые системы, особенно Гугл, должны отреагировать на это крайне негативно и опустить сайт в выдаче. На практике для таких санкций нужно уж очень много ссылок, которые сразу проиндексируются, а это стоит очень дорого; так что чаще всего если и бывает падение, то временное, а затем – подъем, так как ссылочная масса выросла.

Фишинг

Это не совсем атака на сайт, но, тем не менее, фишинг может нанести серьезный вред репутации ресурса. Суть его заключается в том, что на другом сайте, зачастую с похожим адресом, размещается копия вашего с формой авторизации. Естественно, все, кто вводит туда свои данные, отдают их злоумышленникам. Подобные вещи бывают и в рассылках, имитирующих рассылки нормального сайта. Только ссылка в ней ведет на фишинговый сайт и часто маскируется так, что сразу и не заметишь.

Бороться с этим можно одним способом – заметив такой сайт, следует сразу обратиться к хостингу, на котором он размещен, и к регистратору домена. Такие обманные сайты обычно быстро блокируются.

Это была статья "Атаки на сайт. Какие бывают атаки и кто их устраивает". Спасибо за прочтение! Поделитесь статьей в социальных сетяхСистема Orphus

Понравилось? Расскажи друзьям!

kak7.ru

Основные угрозы безопасности сайта / Блог компании Pentestit / Хабр

Безопасность веб-приложений — один из наиболее острых вопросов в контексте информационной безопасности. Как правило большинство веб-сайтов, доступных в Интернете, имеют различного рода уязвимости и постоянно подвергаются атакам. В статье будут рассмотрены основные угрозы информационной безопасности веб-приложений.

Угрозы информационной безопасности

Основные типы угроз информационной безопасности веб-приложения:
  1. Угрозы конфиденциальности – несанкционированный доступ к данным.
  2. Угрозы целостности – несанкционированное искажение или уничтожение данных.
  3. Угрозы доступности – ограничение или блокирование доступа к данным.
Основным источником угроз информационной безопасности веб-приложения являются внешние нарушители. Внешний нарушитель – лицо, мотивированное, как правило, коммерческим интересом, имеющее возможность доступа к сайту компании, не обладающий знаниями об исследуемой информационной системе, имеющий высокую квалификацию в вопросах обеспечения сетевой безопасности и большой опыт в реализации сетевых атак на различные типы информационных систем.

Говоря простыми словами — основная угроза безопасности сайта — хакерская атака. Она может иметь конечную цель, быть т.н. целевой атакой, либо атака носит бессистемный характер, по принципу — атакую все подряд, что-нибудь да сломается.

В первом случае злоумышленник может выявлять максимально возможное количество векторов атаки для составления и реализации потенциально успешных сценариев взлома, во втором же объекты атакуются массово, обычно использую несколько поверхностных уязвимостей.

Виды угроз

Угрозы безопасности связаны с несколькими факторами: в первую очередь это уязвимости веб-приложений или их компонентов. Во вторую — с используемыми механизмами проверки идентификации. В третью очередь угрозы безопасности относятся к атакам на самих пользователей, клиент-сайд атаки. Четвертый вид угроз — утечка или разглашение критичной информации. Пятый вид угроз — логические атаки.

Уязвимости веб-приложений, как правило, приводят к выполнению кода на удаленном сервере. Все серверы используют данные, переданные пользователем при обработке запросов. Часто эти данные используются при составлении команд, применяемых для генерации динамического содержимого. Если при разработке не учитываются требования безопасности, злоумышленник получает возможность модифицировать исполняемые команды. К такого рода уязвимостям относятся, например, SQL-injection.

Атаки, направленные на используемые веб-приложением методы проверки идентификатора пользователя, службы или приложения, либо направленные на методы, которые используются веб-сервером для определения того, имеет ли пользователь, служба или приложение необходимые для совершения действия разрешения. К такого рода атакам относятся — bruteforce, обход авторизации, небезопасное восстановление паролей, предсказуемое значение сессии или ее фиксация.

Во время посещения сайта, между пользователем и севером устанавливаются доверительные отношения, как в технологическом, так и в психологическом аспектах. Пользователь ожидает, что сайт предоставит ему легитимное содержимое. Кроме того, пользователь не ожидает атак со стороны сайта. Эксплуатируя это доверие, злоумышленник может использовать различные методы для проведения атак на клиентов сервера. Такого рода атаки могут быть задействованы как в сложных сценариях атаки (watering hole, drive by), так и в более привычных — клиент-сайд атаках, например XSS.

К разглашению информации относится как информация непосредственно о веб-приложении, его компонентах, платформе и составляющих, так и утечка чувствительной информации с сайта, из-за ее ненадлежащей защиты. Подразумевается раскрытие информации лицам, доступ к которым им запрещен, либо раскрытие информации в результате неверной настройки веб-приложения или веб-сервера.

Логические атаки направлены на эксплуатацию функций приложения или логики его функционирования. Логика приложения представляет собой ожидаемый процесс функционирования программы при выполнении определенных действий. В качестве примеров можно привести восстановление паролей, регистрацию учетных записей,, аукционные торги, транзакции в системах электронной коммерции. Приложение может требовать от пользователя корректного выполнения нескольких последовательных действий для выполнения определенной задачи. Злоумышленник может обойти или использовать эти механизмы в своих целях. К такого рода атакам относятся и атаки класса отказ в обслуживании, DoS.

Виды атак на веб-приложения

Целевые атаки — это атаки, специально нацеленные на один сайт или их группу, объединенную одним признаком (сайты одной компании, либо сайты, относящиеся к определённой сфере деятельности, либо объединенные рядом признаков). Опасность таких атак заключается именно в «заказном» характере. Исполнителями таких атак становятся, как правило, злоумышленники, обладающие высокой квалификацией в области безопасности веб-приложений.

Целью таких атак обычно является получение конфиденциальной информации, которая может быть использована недобросовестными конкурентами или преступниками для получения прибыли.

Нецелевые атаки — это атаки, которые проводится фактически “на удачу”, а ее жертвами становятся случайные веб-сайты независимо от популярности, размера бизнеса, географии или отрасли. Нецелевая атака на сайт – это попытка получения несанкционированного доступа к веб-ресурсу, при которой злоумышленник не ставит целью взломать конкретный сайт, а атакует сразу сотни или тысячи ресурсов, отобранных по какому-то критерию. Например, сайты, работающие на определенной версии системы управления сайтом. Такого рода атаки бьют по «площадям», стараясь охватить максимальное количество сайтов при минимуме затрат.

При удачной попытке атаке злоумышленник старается извлечь из этого пользу: закрепиться на сайте, загрузив хакерский скрипт (бэкдор, веб-шелл), добавить еще одного администратора, внедрить вредоносный код или получить необходимую информацию из базы данных.

Целевые атаки — проводятся скрытно, как правило достигают своей цели. Нецелевые атаки довольно «шумные» и зачастую не достигают поставленных целей, но, тем не менее, могут доставить множество проблем владельцу веб-ресурса.

Чем это грозит?

В первую очередь это несет угрозу работоспособности сайта. Во вторую, но не менее важную, — сохранность пользовательских данных. Из этих причин вытекает логичное следствие — финансовые и репутационные потери компании.

Хакеры используют ваш сайт для атак на другие ресурсы, в качестве опорного плацдарма, для рассылки спама или проведения DoS атак. Ваш сайт блокируют поисковики и браузеры, вы теряете пользователей.

Атака на веб-сайт в корпоративной среде может является т.н. точкой входа в корпоративную сеть компании.

Атаки на системы электронной коммерции могут быть использованы для совершения мошеннических действий, похищения клиентских баз и т.д.

Также, все эти атаки могут быть нацелены на дальнейшее «заражение» пользователей сайта, например с помощью т.н. эксплоит-паков — средств эксплуатации уязвимостей браузеров и их компонентов, в том числе и с применением социотехнических векторов атаки.

Природа атак

Распространение атак на веб-приложения связаны с двумя основными факторами: халатное отношение к безопасности сайта и низкий порог входа потенциальных злоумышленников.

В большинстве случаев на сайтах не используются специальные средства обнаружения, мониторинга и защиты, а также нет ответственного персонала и осведомленности об угрозах безопасности сайта. Качеству кода и безопасной настройке веб-приложения (и веб-сервера) уделяется мало внимания.

Распространение утилит и сканеров безопасности веб-приложений обуславливает низкий порог вхождения потенциальных злоумышленников. А многочисленные коммюнити и «околохакерские» форумы способствуют распространению техник атак среди всех желающих. Также этому способствует широкая и довольно оперативная огласка об обнаружении новых уязвимостей или технических аспектах атак.

Предотвращение угроз

Необходимо не забывать о соблюдении базовых мер безопасности при разработке и поддержке работы сайта: обновлять CMS и ее компоненты; регулярно менять пароли; отказаться от использования устаревших протоколов; настроить и использовать HTTPS/HSTS.

Используйте Nemesida WAF для своевременного обнаружения и блокирования различных веб-атак. Это позволит быть спокойным за защищенность веб-приложений от хакерских атак и их последствий.

habr.com

Виды хакерских атак на веб-ресурсы

Mailbombing Старейший вид атак. Значительно увеличивается трафик и количество присылаемых сообещний, что генерирует сбой в работе сервиса. Это вызывает паралич не только Вашей почты, но и работы самого почтового сервера. Эффективность таких атак в наши дни считается нулевой, поскольку теперь провайдер имеет возможность установить ограничение трафика от одного отправителя.

Заражение компьютерным вирусом сервер на котором развернут сайтЧитайте статью "Как вылечить вирус".

Переполнение буфера Принцип этого вида атак - программные ошибки, при которых память нарушает свои же границы. Это, в свою очередь, вынуждает либо завершить процесс аварийно, либо выполнить произвольный бинарный код, где используется текущая учетная запись. Если учётная запись – администраторская, то данные действия разрешают получить полный доступ к системе.

Вирусы, трояны, почтовые черви, снифферы Данный тип атак объединяет различные сторонние программы. Назначение и принцип действия такой программы может быть чрезвычайно разнообразным, поэтому нет смысла подробно останавливаться на каждой из них. Все эти программы объединяет то, что их главная цель - доступ и "заражение" системы.

Сетевая разведка Данный тип атаки сам по себе не предусматривает какое-либо разрушительное действие. Разведка подразумевает лишь сбор информации злоумышленником – сканирование портов, запрос DNS, проверка защиты компьютера и проверка системы. Обычно разведка проводится перед серьёзной целенаправленной атакой.

Сниффинг пакетов Принцип действия основан на особенностях работы сетевой карты. Пакеты, полученные ей, пересылаются на обработку, где с ними взаимодействют специальные приложения. В результате злоумышленник получает доступ не только к информация о структуре вычислительной системы, но и непосредственно передаваемая информация – пароли, сообщения и другие файлы.

IP-спуфинг Тип атак на локальные сети, когда компьютер злоумышленника использует IP-адрес, входящий в данную локальную сеть. Атака возможна, если система безопасности предусматривает идентификацию типа IP-адрес, исключая дополнительные условия.

Man-in-the-middle Злоумышленник перехватывает канал связи между двумя приложениями, в результате чего получает доступ ко всей информации, идущей через данный канал. Цель атаки - не только кража, но и фальсификация информации. Примером такой атаки может служить использование подобного приложения для мошенничества в онлайн-играх: информация об игровом событии, порождаемом клиентской частью, передаётся на сервер. На её пути ставится программа-перехватчик, которая изменяет информацию по желанию злоумышленника и отправляет на сервер вместо той, которую отправила программа-клиент игры.

Инъекция Также довольно широкий тип атак, общий принцип которых - внедрение информационных систем со сторонними кусками программного кода в ход передачи данных, где код фактически не мешает работе приложения, но одновременно производит необходимое злоумышленнику действие.

Отказ в обслуживанииDoS (от англ. Denial of Service) — атака, имеющая своей целью заставить сервер не отвечать на запросы. Такой тип атаки не подразумевает непосредственно получение некоторой секретной информации, но используется для того, чтобы парализовать работу целевых сервисов. Например, некоторые программы из-за ошибок в своем коде могут вызывать исключительные ситуации, и при отключении сервисов способны исполнять код, предоставленный злоумышленником или атаки лавинного типа, когда сервер не в состоянии обработать все входяще пакеты.

DDoS (от англ. Distributed Denial of Service — распределённая DoS) — подтип DoS атаки, имеющий ту же цель что и DoS, но производимой не с одного компьютера, а с нескольких компьютеров в сети. В данных типах атак используется либо возникновение ошибок, генерирущих отказ сервиса, либо срабатывание защиты, вызывающей блокирование работы сервиса, а в результате также и отказ в обслуживании. DDoS используется там, где обычный DoS неэффективен. Для этого несколько компьютеров объединяются, и каждый производит DoS атаку на систему жертвы. Вместе это называется DDoS-атака.

Способы защиты от сетевых атак. Существует множество способов защиты от злоумышленников, в том числе антивирусы, фаерволлы, различные встроенные фильтры и пр. Самым же эффективным является профессионализм пользователя. Не следует открывать подозрительные сайты (ссылки), файлы в письмах от отправителя типа "таинственный незнакомец". Перед открытием вложений со знакомых адресов следует запрашивать подтверждение каким-либо иным, нежели почта, способом. Как правило, в этом могут помочь курсы повышения компьютерной квалицикации и грамотности, проводимые практически в любой организации. Это, впрочем, не заменит защитные механизмы и программы. Стоит помнить, что технология сетевых атак не стоит на месте и поэтому следует как можно чаще осуществлять обновление антивируса, а также проводить полные проверки компьютеров.

Проконсультируйтесь со специалистами компьютерной компании "КЛиК", чтобы предупредить все возможные хакерские атаки и заражения вирусами.

www.it-click.ru

Защищаем сайт от атак на примере ХабраХабра / Хабр

Рано утром Хабр «выкатил» своё новое обновление, и я с чистой совестью достаю эту статью из черновиков.Вчера у меня случился epic fail и этот топик частично, включая строчку об апдейте выше, попал в паблик на пару секунд. За эти секунды топик успело плюсануть несколько человек. Ещё раз, теперь публично, прошу прощения у администрации! Совет остальным — НИКОГДА не храните в черновиках информацию вроде этой.

В последнее время в сети Интернет можно найти очень много пособий для «Начинающих хакеров», в которых подробно описываются все основные методы взлома сайтов. Думаете, веб-разработчики стали от этого умнее и предприняли все возможные методы для защиты? Я так не думаю.

В настоящей статье я хочу ещё раз поведать разработчикам о том, как ломают сайты, а чтобы вам не было скучно, я попутно буду ломать Хабр и подробно описывать, как я это делал. Мы рассмотрим такие интересные штучки, как «Активная XSS в профиле», «Бесконечное обнуление кармы», «Публикация топиков со значком 'Из песочницы'», «CSRF через Flash и дыру в Internet Explorer 6» и многое другое.

Все уязвимости уже исправлены. Ну или почти все. Поэтому, если вы найдёте очередную дыру, то пишите на [email protected] — миф о том, что эту почту никто не читает всего лишь миф.

Вместо вступления
Хотелось бы тут, в самом начале, рассказать несколько очень важных на мой взгляд вещей.

Во-первых, кто такие взломщики и что им нужно (давайте не будем называть «взломщиков» словом «хакеры», потому что это неправильно и хакеры никого не ломают). Не хочу никого обидеть, но в большинстве случаев это подростки 15-17 лет, главная цель которых не сколько получить деньги, сколько просто взломать систему и получить чувство некого самоудовлетворения.

Часто разработчик думает, что ломать его сайт никому и в голову не придёт, поскольку там нет ничего интересного. Но взломщикам только что описанного типа это и не нужно, поэтому они легко находят уязвимость и делают дефейс (как правило, размещение своего сообщения вместо главной страницы, Чёрный Властелин уже делал так пару раз с ХабраХабром :-). Иногда же они даже не могут найти и простую уязвимость, поэтому используют готовые эксплоиты (таких людей ещё называют «Скрипт-кидди»). Таким образом, я уже могу дать вам несколько советов:

  • Не ленитесь фильтровать входные данные [об этом пойдёт речь дальше], даже если ваш сайт «никому не нужен».
  • Ставить самые свежие версии ПО иногда опасно, но и на старых сидеть не стоит, потому что вас сможет взломать любой человек, умеющий пользоваться поиском и скачивать специальные программы «для взлома сайтов».
Теперь давайте представим, что наш «персонаж» вырос и начал искать работу. Чем он будет скорее всего заниматься? Правильно, взломом за деньги.

Такой тип уже не представляет особой опасности для сайтов, где в самом деле нет ничего интересного. Работает же он теперь, в основном, «по заказу», часто в небольших группах.

В общем, советы те же, только теперь вам стоит немного потратиться на человека, который за деньги проверит ваш сайт на наличие уязвимостей и сообщит вам результаты.

Кстати, подобные «Эксперты» — это, как правило, всё тот же взломщик, который ушёл на пенсию и теперь зарабатывает на жизнь вполне мирным способом.

XSS или «Межсайтовый скриптинг»
Очень часто используемый тип уязвимостей. Для его использования взломщику нужно лишь иметь базовые знания HTML и JavaScript, вследствие чего применяется всеми типами описанных ранее «персонажей». Хочется отметить, что в данном случае сервер взламывать никто и не собирается, а атака, по сути, направлена на пользователей уязвимого сайта.

Ключевая ошибка веб-разработчика в данном случае — недостаточная фильтрация полученных от пользователей данных.

XSS делится на две основные группы: «Активная XSS», это которая лежит где-то на сайте и ждёт свою жертву, а также «Пассивная XSS», которую взломщик посылает жертве, используя социальную инженерию.

Посмотрим, чем нас может «обрадовать» Хабр. Британские учёные установили, что 95% взломщиков называют себя

"https://habrastorage.org/storage2/dd5/b62/241/dd5b62241f540d096fb0f313a50d2984.png"/>

Подобные уязвимости часто вылезают, когда система не фильтрует или фильтрует частично приходящую от пользователя информацию. Если вы пишете на PHP, то в нём есть очень хорошая функция htmlspecialchars, которая позволяет решить проблему почти полностью. Смысл такой, что не нужно давать пользователю возможность использовать все теги, нужно также тщательно проверять, не вставил ли он что-то в разрешённый тег и не вышел ли он за пределы поля, как в примере выше.

Найти пример пассивной XSS на Хабре мне не удалось, потому опишу её суть на словах.

Самое частое место, где их можно найти — это поиск. Попробуйте «поискать» у себя на сайте что-то вроде

<script>alert(1)</script> или"> <script>alert(1)</script> <!-- Если выскочило окошко с цифрой «1», то ваш сайт подвержен таким атакам. Теперь взломщику достаточно послать вам особую ссылку, перейдя по которой вы отдадите ему полный доступ к своему аккаунту. Смысл тот же, что и в «Активной XSS», только теперь взломщику нужно «скормить» вам ссылку!
Проверяем другую принимаемую информацию
Фильтровать нужно не только HTML-теги и кавычки, но также и другую полученную от пользователя информацию.Особенно важно следить за логикой и никогда не верить пользователю! За примером далеко ходить не надо — заветная мечта любого тролля на Хабре, «Бесконечно обнуляемая карма», была вполне реализуема до сегодняшнего дня :-)

Если вы уже обнуляли карму и хотите сделать это ещё раз, то нужно с помощью «средств разработчика» вашем браузере просто сделать видимой скрытую форму и нажать «Обнулить»!

Для примера я создал «виртуальчика», слил ему карму, обнулил, опять слил, опять обнулил и так далее…

Справедливости ради стоит заметить, что мой милый виртуальчик был за это переведён в режим «Read-Only». Хорошо, что сам аккаунта не лишился.

Приведу ещё очень интересный пример. Когда публикуем новую статью или редактируем старую, то замена поля «topic_type» на «sandbox» позволяет получить плашку «Из песочницы».

Зачем это вам нужно? Ну не знаю, допустим, такие топики чаще плюсуют…

Что я могу посоветовать в данном случае? Ну конечно же, контролировать то, что вам шлют пользователи! Если вам шлют запрос на обнуление кармы, то проверьте, не обнулял ли пользователь её раньше, а если пользователь пытается опубликовать топик «из песочницы», то проверьте, в самом ли деле он оттуда.

SQL-инъекции
Такие уязвимости очень часто встречаются у начинающих веб-разработчиков. Найти такую на Хабре я не смог, но один хабропользователь утверждал мне в личке, что она есть. Я повторил его эксперимент, но ничего не вышло — наверное, закрыли.

Для защиты нужно фильтровать кавычки и прочие спецсимволы, которые могут нарушить логику вашего запроса. Также, когда у вас есть число, обязательно явно приводите его к числу.

CSRF-уязвимости
Если Бубмбурум начинал своё покорение Хабра с супер-флешки, то я за ночь попал в ТОП5 пользователей благодаря найденной мною в прошлом году CSRF-уязвимости.

Прочитать мой топик можно тут. Сейчас же я пишу это потому, что недавно нашел ещё одну такую же и она могла приглашать на Хабр моих виртуальчиков с помощью пользователей, которые пользовались Internet Explorer 6. Стоит заметить, что таковых оказалось не много.

Для защиты вам нужно вставлять в каждую форму или важный запрос особенный csrf-токен, который не должен знать злоумышленник. Некоторые фреймворки вставляют этот токен в ваши формы автоматически.

Ссылки по теме
Википедия — XSS, SQL-инъекция, CSRF.

Еще интересная на мой вгляд статья, в которой описаны все основные уязвимости вместе.

habr.com

Типы атак на сайты и защита сайта. Актуальные типы угроз

Актуальные типы угроз и динамика их развития

В большинстве случаев, появление вообще какого-то вредоносного кода на сайте является следствием не какого-то злонамеренного поведения со стороны владельца сайта, а оказывается, зачастую, для владельца сайта неожиданностью, являясь следствием взлома.

Мы уже много лет с этим работаем, посмотрели много разных случаев и за последние годы я видел тоже довольно большое количество самых разных случаев взлома сайтов самых разных. Это как совсем крупные сайты, например, такие, как самые известные онлайн СМИ, банки, сайты крупных компаний, так и подчас совсем маленькие сайты, сайты-визитки, какие-то сайты образовательных, религиозных учреждений.

Как защитить свой сайт

Все они в той или иной мере подвержены каким-то угрозам, рискам, которые связаны с компьютерной безопасностью и об этом пойдет речь. Также мы расскажем о том, как эти риски снижать, о каком-то базовом минимуме, общем обзоре всего, что с этим связано, о том, какие угрозы существуют, с чем сталкивается вебмастер того или иного сайта в своей работе.

Сегодня мы с вами поговорим про самый обычный пример, когда у нас есть какой-то внешний злоумышленник, который тем или иным образом угрожает сайту.

Для того чтобы понять, чего ожидать, какой возможен ущерб, какие возможные атаки, нужно понять кто этот самый злоумышленник.

Типы атак на сайты

Все эти злоумышленники и типы атак делятся на две большие категории. По каким же критериям их можно разделить?

  • по используемым подходам к атакам;
  • по группам сайтам, которые подвержены той или иной группе атак;
  • по соответственным методикам снижения рисков для каждой из этих групп.

Например, массовые атаки во многом автоматизированы, как получение несанкционированного доступа, например. Массовые атаки – это попытка всегда получить доступ в целом к сайту. Здесь массовые вымогательства тоже бывают, но они тоже реализованы через получение несанкционированного доступа.

Зачастую просто работают автоматические системы целиком, работает скрипт, который просто выискивает уязвимые интересующие его версии различных программных компонент. Например, уязвимые версии системы управления контентом, либо наоборот, либо он выискивает какие-то типичные проблемы с конфигурацией серверного окружения. Например, что у вас наружу торчит HTTP сервер какой-нибудь и к нему начинается перебор паролей.

Поскольку все автоматизировано, эксплуатация полученного доступа тоже автоматизирована и, если у вас есть на сайте базы данных с платежными реквизитами, в случае автоматической атаки можно считать, что вам повезло, потому что скрипт не будет разбираться, они по большей части довольно все туповаты.

Он не будет разбираться, какие важные данные у вас на сайте есть, он реализует какую-то очень простую схему в стиле рассылки спама, организации распределенных атак на отказ в обслуживании, простое какое-то мелкое вымогательство, заражение посетителей вашего сайта.

В случае же целевых атак все несколько грустнее для владельца сайта. Зачастую подвержены крупной атаке, приходит человек руками с таким большим опытом и отработанным инструментарием, и начинает выискивать характерные проблемы. С очень большой вероятностью, как показывает практика, находит.

И дальше уже начинается эксплуатация особо злодейская, которую намного сложнее, во-первых, обнаружить, чем в случае массовых атак, а во-вторых, значительно сложнее минимизировать возможный ущерб заранее. Поэтому, как злоумышленник руками попав в систему, очень хорошо понимает контекст и зачастую изначально знает зачем идет.

Что безопаснее использовать? Например, какую-то такую стоковую популярную систему управления контентом или что-то самописное? Чтобы снизить риск от массовых атак лучше использовать что-то нестандартное.

Потому что все это автоматизировано, ищутся какие-то стандартные решения и использование какое-то самописной системы управления контентом, практически, самописной капчи – любых самописных решений от каких-то массовых атак, когда на ваш сайт приходит скрипт, который ищет что-то знакомое, но это все работать не будет.

В случае же целевых атак все, скорее, наоборот. То есть вероятность того, что в каком-то самописном решении будут допущены типичные критические ошибки, которые потом становятся уязвимостями, эксплуатируются для получения доступа, она намного выше, чем если бы вы использовали какие-то популярные программные решения, которые за долгую историю своей разработки собрали много «граблей» по этой части. Поэтому, когда публикуют уязвимости в них, они часто либо замысловатые, либо происходят на стыке разных систем.

Типы атак на сайты

Схема получения несанкционированного доступа

Атака состоит из следующих ступеней:

Схема получения несанкционированного доступа

Особенно для массового случая. Берется какая-нибудь специальная строка, типа Power Add Buy, phpBB версии 1.6.1. Выискивается набор сайтов автоматически с использованием какой-то конкретной технологии – один из векторов. Находятся все эти сайты, по ним запускается скрипт, скрипт идет, ищет какие-то уязвимости, разные админ. панели по стандартным путям, какие-то стандартные инструменты, типа php my admin, которые тоже расположены по стандартным путям.

И, соответственно, если находится уязвимость, они автоматически эксплуатируются, если находятся какие-то админ. панели, куда можно вводить пароли и при этом там нет никакой защиты от перебора, начинается перебор простых случаев, который, как показывает практика, тоже очень результативен.

После того, как доступ получен, заливается такой компонент, который называется web-shell – это такое средство, такой кусочек веб-приложения, скрипт, который открывает широкие возможности, оставляет постоянную заднюю «дверь» на вашем сервере для продолжения дальнейших действий.

После этого, когда у злоумышленника есть стабильный проход на ваш сервер мимо всех средств аутоинтефикации, злоумышленник пытается укрепиться в системе и, например, раскидать всяких запасных web-shell’ов вокруг, эксплуатировать, например, уязвимость в операционной системе, поднять привилегии. Например, стать root’ом, что зачастую тоже автоматизировано и после этого эксплуатация становится еще более суровой. А потом начинается выжимка денег из-за того, что сайт был взломан. Сейчас редко можно встретить случаи, когда кто-то или что-то взламывает сайт, имея в качестве мотива что-либо кроме денег в той или иной мере.

Вот так с точки зрения злоумышленника выглядит этот самый web-shell:

Это система, которая позволяет через интерфейс работать, так и автоматически. Что любопытно, тут наверху строчка – очень подробная информация о ядре операционной системы. Как раз для того, чтобы автоматизировать тут же эксплуатацию поднятия привилегий.

Когда находят уязвимости в ядре операционной системы, публикуют эксплоиты на популярных сайтах. Что такое эксплоит? Программа, которая эту уязвимость использует, чтобы реализовать свою какую-то цель, и поднимаются привилегии. Примерно это выглядит так:

Помимо того, что начинают раскидываться разные вредоносные скрипты по серверу, по сайту, бывает, попадают так же бинарные компоненты. Например, такие, как основная бинарная сборка или плагины к самому веб-серверу. Это бывают модули к патчу, к njinx, пересобранные njinx или какой-нибудь еще важный бинарный компонент, который у вас есть в системе, SSHD.

Это такой сайт Virustotal, на котором можно проверить любой файл, что про него думают 50 антивирусных движков.

Это примеры некоторых бинарных компонент, когда добавляются, что говорят различные антивирусные сканеры про различные вредоносные веб-сервера, либо модули к ним, которые нам доводилось находить:

Хочу отметить, что, когда мы их находили, тут везде было пусто, никто ничего не детектил зачастую. Это уже потом, подчас мы начинали рассылать в антивирусные компании эти примеры, появлялись детекты.

Иногда, если вы уже пытаетесь найти источник вредоносного кода на своем сайте, антивирусная индустрия в чем-то вам может помочь. Все подготовительные файлы можно «кормить» или на сайт, либо конкретным утилитам, но об этом поговорим чуть позже, но смысл такой.

Места естественного обитания вредоносного кода

Места естественного обитания вредоносного кода

После эксплуатации появляются серверные скрипты, а также модифицированные конфиги веб-сервера. Пример такой был, часто встречаемый, когда тоже автоматически при взломе сайта модифицировали конфигурацию веб-сервера, добавляя условные редиректы.

Всех посетителей мобильных устройств вашего сайта перенаправляли на различные мошеннические сайты, таким образом монетизируя их. А, поскольку, не так давно, пару лет назад многие вебмастера не задумывались про мобильных пользователей для своих сайтов, они могли этого долго даже не замечать, что мобильные посетители, заходя на их сайт, отправляются на различное мошенничество. Многие вебмастера это ставили осознанно, стараясь делать такую монетизацию, но действительно были такие массовые случаи, когда это все появлялось в рамках взлома.

Также не исключено наличие вредоносного кода в базе данных. Самый банальный пример, когда делается атака классохранимая XXS. У вас, например, есть какая-нибудь форма ввода комментариев на сайте и там недостаточная валидация параметров.

Атакующий, как я уже сказал, зачастую это полностью автоматизированные системы, которые сами ищут ваш сайт, они сгружают туда не просто текст, а специальную нагрузку, которая при отрисовке страницы станет скриптом, контролируемым злоумышленником. И таким образом можно делать с посетителями вашего сайта что угодно.

Он бывает в статике, когда просто добавляют в шаблоны, в статические JavaScript какой-то вредоносный код. Как я уже говорил, бывает, подменяют бинарные файлы. Бывают очень хитрые случаи, когда, например, злоумышленники делают такую хитрую систему, мы сталкивались уже с этим.

Берется основной файл веб-сервера, например, если это веб-сервера патч – это sshd бинарный файл, который копируется в другое место, на его место кладется вредоносная сборка, а потом она запускается.

После этого модифицированный файл с файловой системы стирается и кладется оригинальный. У вас работает вредоносный веб-сервер, а в файловой системе у вас его неизменная версия и даже проверка целостности не показывает никаких проблем.

Злоумышленники, попадая на сервер, особенно, в случае целевых атак, довольно хитры на выдумки и порой по большей части для целевых атак, когда приходят живые люди, приходится какую-то не дюжую сноровку проявлять, чтобы отыскать вообще источник компрометации сайта.

Монетизация

Зачем это все делается? Тоже важно понимать для того, чтобы держать в голове некоторую модель угроз, прогнозировать, что будет с сайтом и какие вообще проблемы могут быть. Как я уже говорил, методы монетизации, которые мотивируют злоумышленников для атак, различаются для этих групп для целевых и массовых атак.

Монетизация

Если для массовых атак у нас что-то, что можно провернуть, не вникая в контекст сайта. Просто мы попали на абстрактный сервер, что можно с ним делать? У него есть посетители, поэтому их можно заражать. Он, скорее всего, фигурирует в поисковой системе, поэтому его можно использовать в позиции в поисковой системе для различной черной сеошной оптимизации.

Добавлять ему каталоги с дорвеями, выставлять его на ссылочной бирже, в общем, все с этим связанное. Рассылка спама, организация DDoS-атак, например. Для DDoS-атак, о чем мы позже поговорим, злоумышленникам тоже нужны какие-то ресурсы, например, много-много разных серверов.

Строчка «вымогательство» очень интересная. Это тоже в последнее время очень развивается. Все много раз слышали и, возможно, сталкивались с такими троянами-вымогателями, например, на десктопах, на операционной системе Windows. Несколько лет назад они более-менее начали заполнять, попадать на андроидные телефоны, когда…

Все знают, все сталкивались в той или иной мере, или хотя бы слышали про то, как запускается вредоносный файл. Он начинает шифровать всю файловую систему, а потом просит выкуп. Так вот, последний год мы наблюдаем, что такие штуки начались как раз на серверах. Сайт взламывается, после этого шифруется целиком содержимое баз данных, а также целиком вся файловая система и злоумышленник просит у администратора выкупа, надеясь, что у администратора нет актуальных backup’ов файловой системы и базы данных.

В целевых атаках все еще более изощрено. Зачастую если делается целевая атака, то уже заведомо известно, что можно получить с сайта. Это либо клиентская база, либо очень-очень много посетителей, которых тоже можно монетизировать различными способами. Зачастую незаметно для администратора ресурса месяцами.

Можно, уже оказавшись внутри, мешать сайту всячески, создавать различные технические сложности в целях недобросовестной конкуренции. Это надо понимать, что на самом деле бытует в антивирусной среде такой миф, что у меня, например, стоит компьютер на отшибе или в случае сайта, у сайта маленькая посещаемость, значит, он никому не нужен. Это неправда.

Даже самый захудалый сайт на каком-нибудь бесплатном хостинге так или иначе хоть немного, да монетизируется, и он всегда будет представлять некоторую желанную цель для массовых атак. Не говоря уже, конечно, про крупные сайты, которые монетизировать еще проще.

Атака на посетителей: drive-by download

Да, мы говорили про заражение посетителей, буквально, в двух словах. Наверное, в последний год эта угроза сходит на нет сейчас сама по себе. Что такое заражение посетителей? Злоумышленник взломал сайт и что дальше происходит, если он хочет получать деньги за счет заражения посетителей:

Атака на посетителей сайта

Как я уже говорил, может перенаправлять мобильных пользователей на какой-нибудь сайт, где им предлагают поставить приложение под видом какого-нибудь обновления flash player или вроде того. А для десктопов такая популярная схема, когда эксплуатируется уязвимость в браузере посетителя или в каком-то из плагинов его окружения.

Например, в 2012 году больше всего эксплуатировали уязвимости в Java-плагине, которые стояли больше, чем у половины пользователей, эксплуатировали в Adobe Reader в 2012 году. Сейчас не Adobe Reader, не Java не эксплуатируют, сейчас эксплуатируют Flash Player.

Новые уязвимости во Flash Player выходят регулярно, и каждый из них зачастую позволяет производить такую атаку, которая называется drive-by download. Что это значит? Это значит, что посетитель просто заходит на сайт, ничего не делает дополнительно и у него в системе за счет эксплуатации в уязвимости плагина появляется вредоносная программа, которая автоматически запускается и инфицирует систему.

Отказ в обслуживании, он же DDoS

Это если мы говорим про то, когда злоумышленник все-таки получает доступ к сайту и его управлению. Во многих случаях злоумышленник даже и не пытается получить доступ, он просто хочет тем или иным способом помешать нормальному функционированию вашего сайта. Все, наверное, слышали, сталкивались с отказом в обслуживании, который называется Distributed Denial of Service.

DDoS

Основные мотивы: конкурентность и вымогательство. Конкуренция – понятно, пока пользователи не идут на ваш сайт, они идут на сайт конкурента, вымогательство – тоже довольно очевидно, что начинается атака на ваш сайт, вы получаете какое-нибудь письмо с призывом что-то кому-то заплатить, и там приходится что-то с этим делать.

Атаки делятся на три основные категории

Самая простая атака – атака на приложение. Самый типичный сценарий атаки на приложение – у вас есть какой-то сайт, предположим, интернет-магазин с каким-нибудь поиском. У вас есть там расширенный поиск по куче параметров, который создает относительно тяжелый запрос к базе данных. Приходит злоумышленник, видит у вас возможность расширенного поиска и делает скрипт, который у вас начинает пихать тяжелые-тяжелые запросы в вашу форму расширенного поиска. База данных быстро ложится даже под напором одного стандартного хоста для многих сайтов на практике и все. Для этого никаких особых ресурсов не надо со стороны атакующего.

Атака на транспортном уровне. На транспортном уровне, по сути, есть два протокола. Атаки на UDP, они, скорее, относятся уже к атаке на канал, потому что там нет никакой сессии. А если мы говорим про протокол TCP, то это довольно частый случай атак.

Что такое протокол TCP? Протокол TCP подразумевает, что у вас есть сервер и на нем есть таблица открытых соединений с пользователями. Понятно, что эта таблица не может быть бесконечного размера и злоумышленник, специально конструируя множество-множество пакетов, которые инициируют создание нового подключения, при этом пакеты зачастую идут даже с поддельных IP-адресов.

Он переполняет эту таблицу, соответственно, легальные пользователи, которые идут к вам на сайт, не могут попасть в эту таблицу подключений и в итоге не получают ваш сервис. Это типичный пример распространенной атаки, с которой научились бороться в последние годы.

И самое ужасное – это атака на канал. Это когда у вас есть входящий канал, по которому могут к вашему серверу поступать какие-то запросы и просто весь канал забивается целиком.

Если в двух вышестоящих атаках вы еще можете какую-то логику на самом сервере применить, чтобы как-то этим атакам дать отворот-поворот, то в случае атаки на канал на самом сервере сделать ничего невозможно, потому что чтобы что-то сделать надо хотя бы запрос принять, а весь канал уже забит, пользователи вообще никак не могут простучаться.

Почему? Зачем мы вообще обсуждаем такую классификацию и для чего она вам нужна? Да просто потому, что от каждого из этих типов атак есть своя мера противодействия. Если вы сталкиваетесь, вы понимаете, что у вас происходит атака типа отказа в обслуживании и первым делом следует определиться, какого типа атака идет и выбрать верный способ как начать бороться с данной атакой. Хотя они бывают и комбинированными.

Подробнее: Защита сайта

 

Источник (видео): Актуальные типы угроз и динамика их развития – Пётр Волков.

o-es.ru

Основные виды атак на сайты

joomla-security

Сегодня мы поговорим о принципах защиты от атак на сайт, т.к. в наше время это является необходимым знанием людям, которые хотят сберечь свои ресурсы. Статью найдут для себя полезной начинающие веб-мастера и владельцы сайтов Joomla.

Кто предупреждён, тот вооружен. А первое, чем предстоит вооружиться, это знание видов атак. Давайте рассмотрим основные из них.

 

Безопасность Joomla, как бесплатной CMS.

Всем известен факт, что платформа joomla является CMS с открытым кодом. Из этого следует, что его может просматривать любой. Давайте оценим плюсы и минусы. При отправке запроса (например заполненной анкеты нового пользователя), система с закрытым кодом выдаст вам лишь результат, либо ошибку. В системе с открытым кодом произойдёт то же самое, но вы сможете увидеть и понять причину этой ошибки, т.к. для нас открыты все процессы, которые проводятся в платформе.

И снова всплывает вопрос, что же всё таки лучше. Может показаться, что система с закрытым кодом куда более безопасна. Всё не так просто. В случае, если закрытый код был написан крайне опытным программистом, проходил множество тестов, то вероятность того, что его взломают действительно ничтожна. Загвоздка в том, что такой код пишут специалисты крупных компаний (google, yandex, facebook) с высочайшим уровнем знаний и зарплатой. Легко понять, что уровень разработчика для малого и среднего бизнеса значительно ниже. Часто написание закрытого кода даже позволяет увильнуть от качественной работы, т.к. его в итоге никто не увидит. Все недочёты легко находятся автоматическими ботами, не говоря уже о хакерах.

А теперь поговорим об открытом коде. Уже на примере Joomla мы видим, что если сообщество достаточно велико, то информация обо всех недостатках системы безопасности оперативно доходит от пользователя разработчику и устраняется в кратчайшие сроки. С каждым новым обновлением платформы её качество повышается, однако остаются моменты, за которыми необходимо следить. Один из них это обновления. Смысл в следующем: если выходит обновление безопасности, значит в коде найдена уязвимая часть, если она найдена, значит теперь о ней знают и, вполне возможно, уже пользуются этим. Если обновить платформу и расширения вовремя, можно избежать любых сопутствующих неудобств и спать спокойно. Помните об этом и вам не обязательно вникать в более тонкие аспекты систем безопасности.

 

Подбор пароля.

Наиболее простым видом атаки на сайт является подбор пароля администратора методом примитивного перебора. Как это делается? Адрес админки не секрет ни для кого. Посылаем по этому адреса бота, который будет подбирать простейшие пароли к логину admin и ждём результата.

Используйте более сложные пары логин/пароль, измените адрес административной части сайта, поставьте капчу с кодом на изображениях для авторизации.

 

Социальная инженерия.

Ещё одной крупной ошибкой часто является пренебрежение к безопасности владельцем или его излишняя доверчивость. Существует свод простейших правил на этот случай:

  • не давайте пароли к сайту людям, которым не доверяете;
  • систематически меняйте пароль;
  • не обращайте внимания на спам, вводите ваши пары логин/пароль только на вашем сайте;
  • проверяйте адрес административной панели на правильность перед тем как вводить данные;
  • пользуйтесь надёжной антивирусной защитой дома и на работе;
  • не храните логин и пароль в доступных местах особенно на жёстком диске или в интернете.

Отсюда становится понятно, что в этом случае врагом является себе сам человек.

 

Специализированные атаки.

Рассмотрим пример сайта, который позволяет пользователю разместить своё объявление. Злоумышленник может поместить в текст ссылку на вредоносный скрипт. Посетитель, просматривающий объявление, пройдёт по ссылке и может заработать вирус.

Во избежание таких ситуаций, данные должны жестко фильтроваться ещё перед тем, как быть опубликованными, дабы обезопасить ваших посетителей от загрузки ненужных им данных или вирусов. Обычно такие моменты решаются на этапах разработки расширений, но рекомендуется устанавливать дополнительные расширения для Joomla, которые обеспечат вас своевременной проверкой данных и уязвимых мест в других расширениях.

 

Атаки DOS и DDOS.

Смысл таких атак - перегрузка сервера, на котором находится сайт запросами. В этом случае сервер перестаёт справляться с потоком и сайт прекращает своё вещание для рядовых пользователей. Часто DDOS атаки являются результатом борьбы конкурентов в бизнесе. От них практически не существует защиты, они дорого стоят, но и длятся в основном недолго. Чаще всего DDOS атаки ведутся с компьютеров пользователей, зараженных вирусными программами.

А порой случаются и такие ситуации: на сайт заходит посетитель, который принимает решение создать копию сайта для личного использования, находит программу, которая обещает ему сделать точную копию сайта и приводит её в действие. Как же поступает программа? Она работает как индекс боты поисковиков. Скачивает контент страницы, переходит на все возможные внутренние ссылки, с этих страниц переходит к следующим и так далее. Отсюда мы получаем подобие DOS атаки, однако запросы поступают с одного адреса. Сайт закрывает доступ к содержимому, либо ваш хостер его отключает. В рамках защиты можно попробовать посчитать количество запросов с одного IP за 5 минут и заблокировать доступ к сайту для “победителя”.

 

Слабые стороны сервера.

Нередко уязвимое место находится именно на оборудовании хостера, у которого расположен сайт. Чаще всего это случается с дешёвыми или “молодыми” хостингами, которые являются приоритетной целью хакера.

Не экономьте на хостерах, пользуйтесь услугами крупных хостинг компаний с проверенным персоналом.

 

Существуют и другие виды атак, но рассматривать их нет смысла, если ваш сайт не принадлежит к тем 5ти процентам, которые вызывают интерес у хакеров до такой степени, что они начнут взламывать его вручную.А в случае если ваш сайт приносит ощутимый доход и конкуренты способны принимать решительные меры, вполне оправданной тратой станет наёмная компания, занимающаяся безопасностью веб сайтов.

joomla.ru