Безопасность сайта: какие бывают угрозы и как их избежать

2 августа 2018

15 мин. 18226

Алексей Семёнов редактор

Подпишитесь на наш телеграм

Там мы делимся «квинтэссенцией» своей экспертизы — постим выжимки статей, анализируем UX-решения, делаем разборы продуктов, делимся образовательными курсами и чек-листами.

Безопасность сайта: какие бывают угрозы и как их избежать

Атаке может подвергнуться любой сайт вне зависимости от размера и коммерциализации. В результате ресурс потеряет работоспособность, а конфиденциальные данные пользователей окажутся под угрозой. Для вас это выльется в репутационные и финансовые потери. Рассказываем, что еще может грозить вашему сайту и как защититься от злоумышленников.

Кроме прямой атаки, ваш сайт могут использовать для причинения вреда другим ресурсам — рассылки спама и DDoS-атак, нападений на пользователей, заражения устройств и приложений. Если такое произойдет, сайт будет заблокирован со стороны хостинга, поисковой системы или браузеров.

Коммерческие сайты атакуют с целью получения пользовательских данных. Затем эти данные используют в мошеннических схемах. Корпоративные сайты подвергают угрозе, чтобы получить точку доступа в сеть компании, похитить клиентскую базу, получить конфиденциальную информацию.

Где сайт может быть уязвим:

•

В серверной части.

•

Программной части — CMS, скриптах, плагинах.

•

Системе администрирования — мошенники могут подобрать или украсть пароли от административной панели, FTP.

Атаки могут носить бессистемный, массовый характер на основе автоматических действий роботов. А могут быть целенаправленными, когда хакеры стремятся взломать именно ваш сайт.

Разберем, какими могут быть уязвимости.

Классы атак и уязвимостей

Аутентификация (Authentication)

Использование уязвимостей в механизмах проверки идентификатора пользователя, службы или приложения, которые направлены на обход системы.

Авторизация (Authorization)

Авторизация требуется для определения уровня прав доступа пользователя, службы или приложения. Атаки проводят, чтобы получить доступ к скрытому содержимому или функциям.

Логические атаки (Logical Attacks)

Атаки данного класса используют уязвимости логики или функций приложения. Логика приложения — ожидаемый процесс при выполнении определенных действий. Для решения определенной задачи приложение требует произвести несколько последовательных действий. Пример: регистрация учетных записей, восстановление паролей, покупка в интернет-магазине и т. д. Механизмы можно обойти или использовать в своих целях.

Разглашение информации (Information Disclosure)

Большинство серверов предоставляют чрезмерный объем служебной информации. Эта уязвимость дает возможность определить используемые дистрибутивы программного обеспечения, номера версий клиента и серверов, а также установленные обновления. Далее эта информация используется для взлома и последующих действий.

Выполнение кода (Command Execution)

Атаки, цель которых — выполнение кода на стороне сервера. Серверы используют данные, которые передают при обработке запросов. Эти данные могут использоваться при составлении команд для генерации динамического содержания. Если требования безопасности не соблюдаются, злоумышленник может модифицировать исполняемые команды.

Атаки на клиентов (Client-side Attacks)

Атаки на пользователей сервера во время посещения сайта.

Уязвимость Cross-site Scripting — позволяет атакующему передать серверу исполняемый код, который будет перенаправлен браузеру пользователя;Межсайтовое выполнение сценариев (Cross-site Scripting, xss) — код получает возможность читать, модифицировать или передавать важные данные, доступные с помощью браузера. У атакованного пользователя может быть скомпрометирован аккаунт (кража cookie), браузер можно перенаправить на другой сервер или подменить содержимое сервера Уязвимость к расщеплению HTTP-запроса — возникает, когда серверные скрипты внедряют пользовательские данные в заголовки HTTP-ответов, например, в URL перенаправления, а также когда программы формируют куки на основе введенных пользователем данных;Расщепление HTTP-запроса (HTTP Response Splitting) — на сервер приходит специально сформированный запрос, ответ на который интерпретируется как два разных ответа. Таким образом жертва вместо запрошенного ресурса получает информацию, которую сформировал атакующий ;Подмена содержимого (Content Spoofing) — содержимое страницы передается не с веб-сервера сайта, а из внешнего источника. То есть подменяется контент, например, телефон, e-mail, адрес

Как защитить сайт

•

Надежные пароли. Для генерации и хранения паролей можно применять специальные менеджеры. Нельзя хранить пароли просто на компьютере, в браузерах и FTP-клиентах, нужно регулярно их менять.

•

Ограничение доступа. Круг лиц, которые имеют доступ к учетной записи администратора сайта, должен быть строго ограничен.

•

Безопасные протоколы. При подключении к сайту через файлообменные и прочие подобные программы необходимо использовать только безопасные протоколы с шифрованием SFTP или SCP.

•

Сервер. Системные функции по возможности должны быть отключены, а сайты максимально изолированы. Учетную запись «по-умолчанию» необходимо отключить, а в новой назначить минимум необходимых прав.

•

Программное обеспечение сервера. Необходимо регулярно обновлять программное обеспечение, поскольку большая часть атак производится через уязвимости устаревшего ПО.

•

Файлы и каталоги. Файлы и каталоги должны быть доступны только для чтения. Необходимо запретить выполнение скриптов в каталогах загрузки.

•

Дополнения и компоненты. Все компоненты, которые не используются, необходимо отключить.

•

Антивирусы. Компьютер администратора сайта должен быть максимально защищен. Периодически проверяйте сайт на вирусы.

•

Бэкапы. Регулярно создавайте резервные копии сайта. Лучше, если хостинг будет делать это автоматически.

•

Панели вебмастера. Обращайте внимание на предупреждения безопасности в панелях вебмастеров «Яндекс» и Google.

•

HTTPS. Если принимаете оплату или передаете данные пользователей, используйте безопасный протокол шифрования данных.

•

CMS. Выбирайте надежные системы управления сайтом, которые имеют встроенные системы защиты. Например, «1С-Битрикс. Управление сайтом» с единой системой авторизации и бюджетом пользователя для всех модулей, многоуровневым разграничением прав доступа, независимой системой контроля доступа, возможностью шифрования при передаче данных, журналированием, политикой работы с переменными и внешними данными, методикой двойного контроля критически опасных участков ввода. Регулярно обновляйте CMS.

•

Аудит безопасности. Для профилактики уязвимостей можно проводить аудит с помощью программ-сканеров либо привлекать для оценки специалистов.

Профилактика угроз

Аудит безопасности — упреждающая мера, которая позволяет выявить уязвимости, оценить защищенность сайта и возможные сценарии атак, а затем сформировать рекомендации по защите ресурса.

Комплексный аудит безопасности включает в себя:

•

Атаку подбором паролей.

•

Внедрение XML-сущностей.

•

Поиск компонентов с известными уязвимостями.

•

Проверку на удаленное выполнение произвольного кода.

•

Поиск уязвимостей серверных компонентов и в веб-окружении сервера.

•

Проверку на наличие «инъекций» кода.

•

Попытки обхода системы аутентификации.

•

Поиск XSS/ CSRF-уязвимостей.

•

Попытки перехвата привилегированных аккаунтов или их сессий.

•

Проверку на возможность файловых инъекций Remote File Inclusion/ Local File Inclusion.

•

Сканирование директорий с помощью перебора и взлома через индекс Google.

•

Анализ всех форм на сайте: регистрации, авторизации, поиска и т.д.

•

Попытки обхода системы аутентификации.

•

Проверку на возможность открытого получения конфиденциальной информации.

•

Проверку на атаки класса Race Condition — ошибки проектирования многопоточных систем и приложений.

Для аудита используются сканеры уязвимостей — специальные программы, которые проверяют ресурс и зондируют типичные уязвимые места, тем самым анализируют общую защищенность сайта.

Сканеры бывают 3-х типов:

•

Сетевые. Проверяют дистанционно, подключаясь через сетевые сервисы. Самый популярный вид сканеров.

•

Пассивные. В качестве источника данных используют сетевой трафик, при этом, в отличие от сетевых, минимизируют влияние сканера на уязвимости.

•

Локальные. Устанавливаются непосредственно на проверяемом узле, благодаря чему обеспечивают высокую достоверность. Ищут уязвимости, сравнивая атрибуты файлов.

Самые распространенные сканеры: MaxPatrol, N-Stealth, Shadow Security Scanner, Acunetix, ISS Internet Scanner, XSpider, Nessus.

Обеспечение безопасности сайта — постоянный процесс, который не ограничивается проверками. По результатам сканирования ресурс необходимо дорабатывать, закрывать дыры, а некоторые вопросы решать на стороне сервера. Аудит безопасности позволяет определить ряд мер и работ, которые надо выполнить. Это могут быть доработки программной части, услуги инженеров, которые решат технические вопросы, и набор организационных мер.

•

Управление репутацией в интернете — кому, когда и зачем

Читайте по теме

#Сайт #Сайты #Бизнес

вернуться к списку статей

Читайте по теме

30 мин.

674426

Как создавать и использовать лендинги: разбор с примерами

25 мин.

257070

Юнит-экономика: как оценить успешность бизнеса

30 мин.

343997

Безопасность сайта: какие бывают угрозы и как их избежать

Подпишитесь на наш телеграм

Классы атак и уязвимостей

Аутентификация (Authentication)

Авторизация (Authorization)

Логические атаки (Logical Attacks)

Разглашение информации (Information Disclosure)

Выполнение кода (Command Execution)

Атаки на клиентов (Client-side Attacks)

Как защитить сайт

Профилактика угроз

Читайте по теме

Читайте по теме

Как создавать и использовать лендинги: разбор с примерами

Юнит-экономика: как оценить успешность бизнеса

Дорожная карта: подробное объяснение с примерами и шаблонами

Расскажите
о вашем проекте

Расскажите о вашем проекте

Оставьте заявку на сотрудничество

Расскажите о вашем предложении