Виды атак на сайты

Актуальные типы угроз и динамика их развития

В большинстве случаев, появление вообще какого-то вредоносного кода на сайте является следствием не какого-то злонамеренного поведения со стороны владельца сайта, а оказывается, зачастую, для владельца сайта неожиданностью, являясь следствием взлома.

Мы уже много лет с этим работаем, посмотрели много разных случаев и за последние годы я видел тоже довольно большое количество самых разных случаев взлома сайтов самых разных. Это как совсем крупные сайты, например, такие, как самые известные онлайн СМИ, банки, сайты крупных компаний, так и подчас совсем маленькие сайты, сайты-визитки, какие-то сайты образовательных, религиозных учреждений.

Как защитить свой сайт

Все они в той или иной мере подвержены каким-то угрозам, рискам, которые связаны с компьютерной безопасностью и об этом пойдет речь. Также мы расскажем о том, как эти риски снижать, о каком-то базовом минимуме, общем обзоре всего, что с этим связано, о том, какие угрозы существуют, с чем сталкивается вебмастер того или иного сайта в своей работе.

Сегодня мы с вами поговорим про самый обычный пример, когда у нас есть какой-то внешний злоумышленник, который тем или иным образом угрожает сайту.

Для того чтобы понять, чего ожидать, какой возможен ущерб, какие возможные атаки, нужно понять кто этот самый злоумышленник.

Типы атак на сайты

Все эти злоумышленники и типы атак делятся на две большие категории. По каким же критериям их можно разделить?

• по используемым подходам к атакам;
• по группам сайтам, которые подвержены той или иной группе атак;
• по соответственным методикам снижения рисков для каждой из этих групп.

Например, массовые атаки во многом автоматизированы, как получение несанкционированного доступа, например. Массовые атаки – это попытка всегда получить доступ в целом к сайту. Здесь массовые вымогательства тоже бывают, но они тоже реализованы через получение несанкционированного доступа.

Зачастую просто работают автоматические системы целиком, работает скрипт, который просто выискивает уязвимые интересующие его версии различных программных компонент. Например, уязвимые версии системы управления контентом, либо наоборот, либо он выискивает какие-то типичные проблемы с конфигурацией серверного окружения. Например, что у вас наружу торчит HTTP сервер какой-нибудь и к нему начинается перебор паролей.

Поскольку все автоматизировано, эксплуатация полученного доступа тоже автоматизирована и, если у вас есть на сайте базы данных с платежными реквизитами, в случае автоматической атаки можно считать, что вам повезло, потому что скрипт не будет разбираться, они по большей части довольно все туповаты.

Он не будет разбираться, какие важные данные у вас на сайте есть, он реализует какую-то очень простую схему в стиле рассылки спама, организации распределенных атак на отказ в обслуживании, простое какое-то мелкое вымогательство, заражение посетителей вашего сайта.

В случае же целевых атак все несколько грустнее для владельца сайта. Зачастую подвержены крупной атаке, приходит человек руками с таким большим опытом и отработанным инструментарием, и начинает выискивать характерные проблемы. С очень большой вероятностью, как показывает практика, находит.

И дальше уже начинается эксплуатация особо злодейская, которую намного сложнее, во-первых, обнаружить, чем в случае массовых атак, а во-вторых, значительно сложнее минимизировать возможный ущерб заранее. Поэтому, как злоумышленник руками попав в систему, очень хорошо понимает контекст и зачастую изначально знает зачем идет.

Что безопаснее использовать? Например, какую-то такую стоковую популярную систему управления контентом или что-то самописное? Чтобы снизить риск от массовых атак лучше использовать что-то нестандартное.

Потому что все это автоматизировано, ищутся какие-то стандартные решения и использование какое-то самописной системы управления контентом, практически, самописной капчи – любых самописных решений от каких-то массовых атак, когда на ваш сайт приходит скрипт, который ищет что-то знакомое, но это все работать не будет.

В случае же целевых атак все, скорее, наоборот. То есть вероятность того, что в каком-то самописном решении будут допущены типичные критические ошибки, которые потом становятся уязвимостями, эксплуатируются для получения доступа, она намного выше, чем если бы вы использовали какие-то популярные программные решения, которые за долгую историю своей разработки собрали много «граблей» по этой части. Поэтому, когда публикуют уязвимости в них, они часто либо замысловатые, либо происходят на стыке разных систем.

Схема получения несанкционированного доступа

Атака состоит из следующих ступеней:

Особенно для массового случая. Берется какая-нибудь специальная строка, типа Power Add Buy, phpBB версии 1.6.1. Выискивается набор сайтов автоматически с использованием какой-то конкретной технологии – один из векторов. Находятся все эти сайты, по ним запускается скрипт, скрипт идет, ищет какие-то уязвимости, разные админ. панели по стандартным путям, какие-то стандартные инструменты, типа php my admin, которые тоже расположены по стандартным путям.

И, соответственно, если находится уязвимость, они автоматически эксплуатируются, если находятся какие-то админ. панели, куда можно вводить пароли и при этом там нет никакой защиты от перебора, начинается перебор простых случаев, который, как показывает практика, тоже очень результативен.

После того, как доступ получен, заливается такой компонент, который называется web-shell – это такое средство, такой кусочек веб-приложения, скрипт, который открывает широкие возможности, оставляет постоянную заднюю «дверь» на вашем сервере для продолжения дальнейших действий.

После этого, когда у злоумышленника есть стабильный проход на ваш сервер мимо всех средств аутоинтефикации, злоумышленник пытается укрепиться в системе и, например, раскидать всяких запасных web-shell’ов вокруг, эксплуатировать, например, уязвимость в операционной системе, поднять привилегии. Например, стать root’ом, что зачастую тоже автоматизировано и после этого эксплуатация становится еще более суровой. А потом начинается выжимка денег из-за того, что сайт был взломан. Сейчас редко можно встретить случаи, когда кто-то или что-то взламывает сайт, имея в качестве мотива что-либо кроме денег в той или иной мере.

Вот так с точки зрения злоумышленника выглядит этот самый web-shell:

Это система, которая позволяет через интерфейс работать, так и автоматически. Что любопытно, тут наверху строчка – очень подробная информация о ядре операционной системы. Как раз для того, чтобы автоматизировать тут же эксплуатацию поднятия привилегий.

Когда находят уязвимости в ядре операционной системы, публикуют эксплоиты на популярных сайтах. Что такое эксплоит? Программа, которая эту уязвимость использует, чтобы реализовать свою какую-то цель, и поднимаются привилегии. Примерно это выглядит так:

Помимо того, что начинают раскидываться разные вредоносные скрипты по серверу, по сайту, бывает, попадают так же бинарные компоненты. Например, такие, как основная бинарная сборка или плагины к самому веб-серверу. Это бывают модули к патчу, к njinx, пересобранные njinx или какой-нибудь еще важный бинарный компонент, который у вас есть в системе, SSHD.

Это такой сайт Virustotal, на котором можно проверить любой файл, что про него думают 50 антивирусных движков.

Это примеры некоторых бинарных компонент, когда добавляются, что говорят различные антивирусные сканеры про различные вредоносные веб-сервера, либо модули к ним, которые нам доводилось находить:

Хочу отметить, что, когда мы их находили, тут везде было пусто, никто ничего не детектил зачастую. Это уже потом, подчас мы начинали рассылать в антивирусные компании эти примеры, появлялись детекты.

Иногда, если вы уже пытаетесь найти источник вредоносного кода на своем сайте, антивирусная индустрия в чем-то вам может помочь. Все подготовительные файлы можно «кормить» или на сайт, либо конкретным утилитам, но об этом поговорим чуть позже, но смысл такой.

Места естественного обитания вредоносного кода

После эксплуатации появляются серверные скрипты, а также модифицированные конфиги веб-сервера. Пример такой был, часто встречаемый, когда тоже автоматически при взломе сайта модифицировали конфигурацию веб-сервера, добавляя условные редиректы.

Всех посетителей мобильных устройств вашего сайта перенаправляли на различные мошеннические сайты, таким образом монетизируя их. А, поскольку, не так давно, пару лет назад многие вебмастера не задумывались про мобильных пользователей для своих сайтов, они могли этого долго даже не замечать, что мобильные посетители, заходя на их сайт, отправляются на различное мошенничество. Многие вебмастера это ставили осознанно, стараясь делать такую монетизацию, но действительно были такие массовые случаи, когда это все появлялось в рамках взлома.

Также не исключено наличие вредоносного кода в базе данных. Самый банальный пример, когда делается атака классохранимая XXS. У вас, например, есть какая-нибудь форма ввода комментариев на сайте и там недостаточная валидация параметров.

Атакующий, как я уже сказал, зачастую это полностью автоматизированные системы, которые сами ищут ваш сайт, они сгружают туда не просто текст, а специальную нагрузку, которая при отрисовке страницы станет скриптом, контролируемым злоумышленником. И таким образом можно делать с посетителями вашего сайта что угодно.

Он бывает в статике, когда просто добавляют в шаблоны, в статические JavaScript какой-то вредоносный код. Как я уже говорил, бывает, подменяют бинарные файлы. Бывают очень хитрые случаи, когда, например, злоумышленники делают такую хитрую систему, мы сталкивались уже с этим.

Берется основной файл веб-сервера, например, если это веб-сервера патч – это sshd бинарный файл, который копируется в другое место, на его место кладется вредоносная сборка, а потом она запускается.

После этого модифицированный файл с файловой системы стирается и кладется оригинальный. У вас работает вредоносный веб-сервер, а в файловой системе у вас его неизменная версия и даже проверка целостности не показывает никаких проблем.

Злоумышленники, попадая на сервер, особенно, в случае целевых атак, довольно хитры на выдумки и порой по большей части для целевых атак, когда приходят живые люди, приходится какую-то не дюжую сноровку проявлять, чтобы отыскать вообще источник компрометации сайта.

Монетизация

Зачем это все делается? Тоже важно понимать для того, чтобы держать в голове некоторую модель угроз, прогнозировать, что будет с сайтом и какие вообще проблемы могут быть. Как я уже говорил, методы монетизации, которые мотивируют злоумышленников для атак, различаются для этих групп для целевых и массовых атак.

Если для массовых атак у нас что-то, что можно провернуть, не вникая в контекст сайта. Просто мы попали на абстрактный сервер, что можно с ним делать? У него есть посетители, поэтому их можно заражать. Он, скорее всего, фигурирует в поисковой системе, поэтому его можно использовать в позиции в поисковой системе для различной черной сеошной оптимизации.

Добавлять ему каталоги с дорвеями, выставлять его на ссылочной бирже, в общем, все с этим связанное. Рассылка спама, организация DDoS-атак, например. Для DDoS-атак, о чем мы позже поговорим, злоумышленникам тоже нужны какие-то ресурсы, например, много-много разных серверов.

Строчка «вымогательство» очень интересная. Это тоже в последнее время очень развивается. Все много раз слышали и, возможно, сталкивались с такими троянами-вымогателями, например, на десктопах, на операционной системе Windows. Несколько лет назад они более-менее начали заполнять, попадать на андроидные телефоны, когда…

Все знают, все сталкивались в той или иной мере, или хотя бы слышали про то, как запускается вредоносный файл. Он начинает шифровать всю файловую систему, а потом просит выкуп. Так вот, последний год мы наблюдаем, что такие штуки начались как раз на серверах. Сайт взламывается, после этого шифруется целиком содержимое баз данных, а также целиком вся файловая система и злоумышленник просит у администратора выкупа, надеясь, что у администратора нет актуальных backup’ов файловой системы и базы данных.

В целевых атаках все еще более изощрено. Зачастую если делается целевая атака, то уже заведомо известно, что можно получить с сайта. Это либо клиентская база, либо очень-очень много посетителей, которых тоже можно монетизировать различными способами. Зачастую незаметно для администратора ресурса месяцами.

Можно, уже оказавшись внутри, мешать сайту всячески, создавать различные технические сложности в целях недобросовестной конкуренции. Это надо понимать, что на самом деле бытует в антивирусной среде такой миф, что у меня, например, стоит компьютер на отшибе или в случае сайта, у сайта маленькая посещаемость, значит, он никому не нужен. Это неправда.

Даже самый захудалый сайт на каком-нибудь бесплатном хостинге так или иначе хоть немного, да монетизируется, и он всегда будет представлять некоторую желанную цель для массовых атак. Не говоря уже, конечно, про крупные сайты, которые монетизировать еще проще.

Атака на посетителей: drive-by download

Да, мы говорили про заражение посетителей, буквально, в двух словах. Наверное, в последний год эта угроза сходит на нет сейчас сама по себе. Что такое заражение посетителей? Злоумышленник взломал сайт и что дальше происходит, если он хочет получать деньги за счет заражения посетителей:

Как я уже говорил, может перенаправлять мобильных пользователей на какой-нибудь сайт, где им предлагают поставить приложение под видом какого-нибудь обновления flash player или вроде того. А для десктопов такая популярная схема, когда эксплуатируется уязвимость в браузере посетителя или в каком-то из плагинов его окружения.

Например, в 2012 году больше всего эксплуатировали уязвимости в Java-плагине, которые стояли больше, чем у половины пользователей, эксплуатировали в Adobe Reader в 2012 году. Сейчас не Adobe Reader, не Java не эксплуатируют, сейчас эксплуатируют Flash Player.

Новые уязвимости во Flash Player выходят регулярно, и каждый из них зачастую позволяет производить такую атаку, которая называется drive-by download. Что это значит? Это значит, что посетитель просто заходит на сайт, ничего не делает дополнительно и у него в системе за счет эксплуатации в уязвимости плагина появляется вредоносная программа, которая автоматически запускается и инфицирует систему.

Отказ в обслуживании, он же DDoS

Это если мы говорим про то, когда злоумышленник все-таки получает доступ к сайту и его управлению. Во многих случаях злоумышленник даже и не пытается получить доступ, он просто хочет тем или иным способом помешать нормальному функционированию вашего сайта. Все, наверное, слышали, сталкивались с отказом в обслуживании, который называется Distributed Denial of Service.

Основные мотивы: конкурентность и вымогательство. Конкуренция – понятно, пока пользователи не идут на ваш сайт, они идут на сайт конкурента, вымогательство – тоже довольно очевидно, что начинается атака на ваш сайт, вы получаете какое-нибудь письмо с призывом что-то кому-то заплатить, и там приходится что-то с этим делать.

Атаки делятся на три основные категории

Самая простая атака – атака на приложение. Самый типичный сценарий атаки на приложение – у вас есть какой-то сайт, предположим, интернет-магазин с каким-нибудь поиском. У вас есть там расширенный поиск по куче параметров, который создает относительно тяжелый запрос к базе данных. Приходит злоумышленник, видит у вас возможность расширенного поиска и делает скрипт, который у вас начинает пихать тяжелые-тяжелые запросы в вашу форму расширенного поиска. База данных быстро ложится даже под напором одного стандартного хоста для многих сайтов на практике и все. Для этого никаких особых ресурсов не надо со стороны атакующего.

Атака на транспортном уровне. На транспортном уровне, по сути, есть два протокола. Атаки на UDP, они, скорее, относятся уже к атаке на канал, потому что там нет никакой сессии. А если мы говорим про протокол TCP, то это довольно частый случай атак.

Что такое протокол TCP? Протокол TCP подразумевает, что у вас есть сервер и на нем есть таблица открытых соединений с пользователями. Понятно, что эта таблица не может быть бесконечного размера и злоумышленник, специально конструируя множество-множество пакетов, которые инициируют создание нового подключения, при этом пакеты зачастую идут даже с поддельных IP-адресов.

Он переполняет эту таблицу, соответственно, легальные пользователи, которые идут к вам на сайт, не могут попасть в эту таблицу подключений и в итоге не получают ваш сервис. Это типичный пример распространенной атаки, с которой научились бороться в последние годы.

И самое ужасное – это атака на канал. Это когда у вас есть входящий канал, по которому могут к вашему серверу поступать какие-то запросы и просто весь канал забивается целиком.

Если в двух вышестоящих атаках вы еще можете какую-то логику на самом сервере применить, чтобы как-то этим атакам дать отворот-поворот, то в случае атаки на канал на самом сервере сделать ничего невозможно, потому что чтобы что-то сделать надо хотя бы запрос принять, а весь канал уже забит, пользователи вообще никак не могут простучаться.

Почему? Зачем мы вообще обсуждаем такую классификацию и для чего она вам нужна? Да просто потому, что от каждого из этих типов атак есть своя мера противодействия. Если вы сталкиваетесь, вы понимаете, что у вас происходит атака типа отказа в обслуживании и первым делом следует определиться, какого типа атака идет и выбрать верный способ как начать бороться с данной атакой. Хотя они бывают и комбинированными.

Цель любой атаки – это устранение конкурента, отбирающего клиентов, ну или просто уникальных посетителей. Многие вебмастера не всегда используют для продвижения своего детища только «белые» методы. Не обходиться и без «черных». За счет продвижения черными методами, владелец компании или просто сайта продвигается в ТОП выдачи за счет уничтожения своих конкурентов.

Но самое страшно, что жертвой атаки могут стать ни в чем неповинные сайты, возможно даже те которые только недавно были созданы, такое может случиться, если атакуют весь сервер. Кстати говоря, это та самая причина по которой нужно покупать выделенный IP для своего сайта. И даже не смотря на то, что данные атаки караются по закону, большинство это не останавливает.

Защитить свой сайт на 100% нельзя. Если у злоумышленников имеется большой бюджет на это дело и сильное желание, то их вряд ли что-то может остановить.

Цели атак

Выделяют несколько основных целей:

— Кража паролей пользователей, доступ в закрытые разделы;

— «Уничтожение» сервера. Цель, довести до нерабочего состояния;

— Получить неограниченный доступ к серверу;

— Вживление в код ссылок, различных вирусов и прочего;

— Понижение сайта в поисковой выдаче до полного его выпадения.

Помимо выше перечисленного атаки делятся на внутренние и внешние. К внутренним можно отнести различные взломы для доступа к сайту или серверу, а к внешним, клевету или спам.

Вести борьбу с внутренними видами атак можно и довольно активно. Что же касается внешних, то тут все гораздо сложнее. Все дело в том, что владелец сервера не может взять ситуацию под контроль, что делает его очень уязвимым.

Виды атак

Это самая, извиняюсь, поршивая разновидность. Следствием такой атаки будет являться полная остановка сервера, а может даже и нескольких серверов. Самое плохое заключается в том, что 100% полной защиты от DDoS не существует. Если атака не из слабых, то сервер будет находиться в нерабочем состоянии пока не будет прекращена атака.

Очередной характерной чертой DDoS-атак, является её доступность. Чтобы «завалить» сервер конкурента, не нужно быть в этом деле профи хакером. Для этого нужны всего лишь деньги или собственный ботнет (Ботнет- сеть зараженных компьетеров). А для слабенького ддоса хватит нескольких компьютеров.

Ddos – перевод данной аббревиатуры звучит как «распределенный отказ от обслуживания». Смысл атаки, заключается в одновременном, огромном обращении к серверу, которое происходит с многочисленных компьютеров.

Как мы знаем у любого сервера есть максимальный предел нагрузки, и если эту нагрузку превысить, что и делает ддос-атака, то сервер «погибает».

Самое интересное, что в атаках участвуют обычные пользователи сети, сами того не зная. И чем больше новых юзеров в сети интернет, тем более армия ботнета, и как следствие сила атаки будет расти в геометрической прогрессии. Но сегодня хакеры перенаправили свои силы с ддос атак на мошеннические проделки для непосредственного заработка денег.

Мощность атак измеряется объемом трафика, направляемого на сервер конкурента в секунду. Атакам, объем трафика которых более нескольких ГБ/сек, противостоять очень сложно. Такой объем трафа очень сложно отфильтровать, практически невозможно. Такие мощные атаки, как правило не длятся долго, но даже и одни сутки простоя крупной компании может нанести серьезный ущерб в виде падения продаж и репутации.

Кстати атакуют не только отдельные сервера, а так же национальные сети, в результате чего отрубается сеть в целых регионах.

Для профилактики следует размещать свои сайты на серверах, на которых есть внушительный запас ресурсов, для того чтобы у вас было время принять меры.

В качестве простых методов против слабых атак можно порекомендовать:
— отдавать вместо главной страницы сайта (если атака идет на нее) страницу с редиректом. Так как ее размер намного меньше, то и нагрузка на сервер будет несравненно меньше; — если количество соединений с одного айпи превышает определенное число, заносить его в черный список;
— уменьшить число клиентов (MaxClients), одновременно подключенных к серверу;
— заблокировать зарубежный трафик, так как чаще всего атаки идут из стран Азии;

Нужно иметь отдельный независимый канал к серверу, через который можно будет получить к нему доступ в случае недоступности основного. Все серверное программное обеспечение нужно регулярно обновлять, ставить все выходящие патчи.

Некое подобие ддос-атаки могут спровоцировать поисковые или иные роботы, активно индексирующие сайт. Если движок сайта не оптимизирован, большое количество обращений к страницам за короткий промежуток времени вызовет слишком высокую нагрузку на сервер.

Взлом сервера и размещение ссылок или вирусов

Многие начинающие вебмастера обнаруживают скрытые ссылки на своих сайтах лишь тогда, когда эти ссылки уже привели к негативным последствиям – например, блокировка сайта хостером, выпадение из индекса поисковых систем, жалоба на домен. Тогда и обнаруживается, что сайт был взломан, и на нем размещены ссылки или с целью продвижения других ресурсов, или для распространения вирусов и троянов.

Есть вероятность, что был осуществлен взлом непосредственно сервера хостинга. Но в большинстве случаев подобные гадости на сайты попадают через дыры в движках сайта или как следствие халатности вебмастера при хранении паролей.

Скрытые ссылки являются одной из популярных причин санкций поисковиков, в частности, может быть значительная пессимизация (падение всех позиций на несколько сотен пунктов), выйти из-под которой будет крайне сложно. Если вставлены будут не просто ссылки, а код вируса, то хостер может просто удалить сайт без предупреждения. Ресурс и его айпи-адрес могут также попасть в черные списка сомнительной (если не сказать мошеннической) конторы Спамхаус, что означает конец, так как выйти оттуда практически невозможно.

Профилактика простая – следить за обновлениями движков, устанавливать все новые версии и выходящие регулярные дополнения. А пароли просто не хранить у себя на компьютере в открытом виде. Это же касается и всего серверного программного обеспечения.

Определенную опасность представляет предсказуемые названия служебных папок и файлов. (Predictable Resource Location). Путем простого перебора хакер определит их нахождение – и у него будет преимущество. Тут стоит пожертвовать удобством ради безопасности.

SQL-инъекция

Исполнение злоумышленником sql-запроса на чужом сервере, используя уязвимости движков, несовершенство программного кода. Суть бреши безопасности заключается в том, что в GET-параметре можно передать произвольный sql-запрос. Поэтому все строковые параметры необходимо экранировать (mysql_real_escape_string) и обрамлять кавычками.

Использовав инъекцию, хакер может совершить практически любое действие с базой данных – удалить ее, получить доступ к пользовательским данным и паролям и т. п.

XSS

Суть XSS-атаки заключается во внедрении в страницу, которая генерируется скриптом, произвольного кода. Это работает, если переменная, передаваемая в адресе страницы, не проверяется на присутствие в ней символов типа кавычек.

Основная опасность – кража cookies, и, следовательно, получение доступа к аккаунтам пользователей. Также хакер может получить информацию о системе посетителя, об истории посещенных сайтов и т. п. Внедрить также можно не только java-скрипт, а и ссылку на php-скрипт, размещенный на стороннем сервере, что намного опаснее.

Одно время этот метод применялся в «черном» СЕО для получения бесплатных ссылок. Владельцам сайтов это не особо вредило.

Спам с адресом сайта и реквизитами

Метод, по большому счету, безобидный, но тут опять же вступает вышеупомянутый Спамхаус. Буквально по одной жалобе сайт и его айпи могут быть занесены в черный список, и хостер будет вынужден отказать в обслуживании. А разослать несколько сотен тысяч писем с адресом любого сайта стоит копейки. Спамить также могут форумы, комментарии и т. п., и крайне сложно будет доказать, что этим занимались конкуренты.

Манипуляция поведенческими факторами

Новый метод, основанный на том, что поведенческие факторы ранжирования сайтов в поисковых системах выходят на главные роли. Они могут играть как положительную, так и отрицательную роль, вторым и пользуются недобросовестные конкуренты.

Если массовый трафик, повышающий процент отказов, можно легко фильтровать, то «реальные» посещения могут навредить, особенно если на сайт будут часто заходить реальные люди и сразу уходить с него. Показатель отказов будет высоким, следовательно, позиции будут падать. Впрочем, эффективность метода в настоящее время невысока.

Спам в комментариях и на форуме

Заспамленные сайты либо плохо ранжируются, либо вообще банятся поисковыми системами. Следовательно, если основательно забросать сайт или форум комментариями со ссылками, то это приведет к резкому уменьшению трафика. Чтобы избежать этого, нужно тщательно настраивать системы антиспама, а также постоянно модерировать все новые сообщения.

Массовая закупка ссылок на сайт

В 99% случаев этот способ не работает, и даже наоборот. Суть заключается в том, что за очень короткий срок появляется значительное количество ссылок, ведущих на сайт, причем крайне низкого качества. Теоретически поисковые системы, особенно Гугл, должны отреагировать на это крайне негативно и опустить сайт в выдаче. На практике для таких санкций нужно уж очень много ссылок, которые сразу проиндексируются, а это стоит очень дорого; так что чаще всего если и бывает падение, то временное, а затем – подъем, так как ссылочная масса выросла.

Фишинг

Это не совсем атака на сайт, но, тем не менее, фишинг может нанести серьезный вред репутации ресурса. Суть его заключается в том, что на другом сайте, зачастую с похожим адресом, размещается копия вашего с формой авторизации. Естественно, все, кто вводит туда свои данные, отдают их злоумышленникам. Подобные вещи бывают и в рассылках, имитирующих рассылки нормального сайта. Только ссылка в ней ведет на фишинговый сайт и часто маскируется так, что сразу и не заметишь.

Бороться с этим можно одним способом – заметив такой сайт, следует сразу обратиться к хостингу, на котором он размещен, и к регистратору домена. Такие обманные сайты обычно быстро блокируются.

В настоящее время практически все разработанные и разрабатываемые приложения стремятся стать как можно более доступными для пользователя в сети интернет. В сети размещаются различные приложения для более продуктивной работы и отдыха, такие как Google Docs, калькуляторы, электронные почты, облачные хранилища, карты, погода, новости и т.д… В общем все, что нужно для повседневной жизни. Наши смартфоны практически бесполезны без доступа к интернету, так как почти все мобильные приложения подключаются к облаку, сохраняя там наши фотографии, логины и пароли. Даже большинство домашних устройств постоянно подключено к сети.

Прикладной уровень является самой надежной защитой. Уязвимости, с которыми мы тут встретимся, зачастую полагаются на сложные сценарии ввода данных пользователем, что делает их трудноопределимыми с помощью систем обнаружения вторжений. Этот уровень — самый доступный извне. Для нормального функционирования приложения должен быть доступ через порт 80 (HTTP) или порт 443 (HTTPS).

В схеме ниже веб-приложение полностью доступно извне, несмотря на брандмауэры и системы предотвращения вторжений:

В 2014 году SQL инъекции были ответственны за 8,1 процента всех подобных атак. Это делает его третьим самым используемым типом атаки, сразу после малваре и DDoS атак. Также можно взглянуть на список других атак общего применения, таких как неверная конфигурация безопасности, использования компонентов с уже известными уязвимостями и межсайтовым скриптингом (XSS). Квалифицированный атакующий может легко найти эти уязвимости и использовать их без риска быть обнаруженным.

Большинство уязвимостей были обнаружены в собственном коде веб-приложений, их называют уязвимостями нулевого дня. Это все потому, что уязвимости являются специфическими для каждого приложения и никогда не были известны ранее. Лучшая защита против этих атак — создание безопасных приложений. Разработчики должны быть осведомлены о том, как те или иные атаки работают, чтобы создавать защиту непосредственно в своих приложениях.

Обучение и информирование разработчиков об уязвимостях приложений является основной целью проекта Open Web Application Security Project (OWASP). Организация публикует списки десяти самых распространенных атак для веб-приложений. Данный список обновляется каждые три года и последний раз обновлялся в 2013 году.

Команда IBM X-Force Ethical Hacking использовала данные отчеты, чтобы создать подборку из десяти видео, которые демонстрируют ряд атак для каждой категории из списка OWASP. Каждое видео включает информацию о том, как предотвратить эти атаки и как использовать автоматизированные инструменты для тестирования подверженности приложения к каждому виду атак. Данные видео были изначально предназначены для внутреннего использования, но потом компания решила предоставить их в свободном доступе в сети Интернет.

Мы уже достаточно наговорились ни о чем, давайте же перейдем к самим видео файлам.

10. Непроверенный переход и редирект

Эта категория уязвимостей используется в фишинговых атаках, в которых жертв обманом перенаправляют на вредоносный сайт. Злоумышленники могут манипулировать URL-ми реального сайта, чтобы перенаправить пользователя на нужную им страницу. Вы можете увидеть как Джонатан Фитц-Джеральд (Jonathan Fitz-Gerald) демонстрирует эту атаку на видео, ниже:

9. Использования компонентов с уже известными уязвимостями

Эта категория включает в себя различные приложения, которые продолжают использовать компоненты даже после обнаружения уязвимости в них. Злоумышленники с легкостью могут использовать уязвимости устаревших компонентов на приложения, которые их используют, так как эти уязвимости были уже давно доказаны и опубликованы. Любой скрипт-кидди можете произвести такой взлом.

8. Межсайтовая подделка запроса

Этот тип атаки используется в сочетании с социальными проектами. На видео ниже, Бреннан Brazeau (Brennan Brazeau) демонстрирует, как злоумышленник может украсть деньги из банковского счета жертвы путем использования социальных медиа — и фотографии котиков:

7. Отсутствие функции контроля уровня доступа

В данном случаи описывается ситуация, в которой функциональность более высокого уровня скрыта от более низкого или незарегистрированного пользователя вместо того, чтобы производить изменения через контроль доступов. Джон Заккато демонстрирует атаку, в которой пользователь более низкого уровня получает доступ к интерфейсу администрирования веб-приложения:

6. Чувствительная экспозиция данных

Тут отсутствует шифрования данных во время перемещения и в состоянии покоя. Если веб-приложения, которые вы используете не правильно защитят конфиденциальные данные, такие как кредитные карты или данные аутентификации, злоумышленники могут украсть или изменить данные.

5. Неправильная настройка безопасности

В данном видео будет исследована другая чрезвычайно опасная категория дефектов, которая связана с неправильной, неверной конфигурацией сервера или самого приложения.

3.” Межсайтовый скриптинг

Межсайтовый скриптинг тип уязвимости, позволяющий злоумышленникам вставить JavaScript на страницах реальных сайтов. Поступая таким образом, они могут полностью изменить содержимое сайта, чтобы получить возможность отправить учетные данные пользователя на любой другой сервере. Уоррен Мойнихан (Warren Moynihan) продемонстрирует нам как это может быть достигнуто, ниже:

2. Повреждение аутентификации и управление сеансами

Brazeau обсуждает недостатки программирования, которые позволяют злоумышленникам обойти методы проверки подлинности, которые используются приложением:

1. Инъекции

Инъекции позволяют атакующим изменить запрос бэкэнда команды через несанкционированный ввод данных пользователем. Мойнихан продемонстрирует несколько примеров SQL-инъекций и, самое главное, покажет как получить всю таблицу пользователя, включая пароли.

>