Введение
Учитывая события 2020 г. и начала 2021 г., переход на удаленный формат работы стал наиболее актуальным, и этот темп продолжает набирать обороты. Большая ответственность легла на сотрудников, отвечающих за настройку корпоративных сетей и серверов. Все это подвергло риску компрометации данных компаний.
По прогнозам экспертов американской IT-компании HP Inc., в 2021 году увеличение негативного влияния на безопасность ИТ-инфраструктур многих крупных организаций по всему миру продолжит увеличиваться.
Неконтролируемые веб-уязвимости могут привести к утечке корпоративных данных, потере доступа к аккаунтам и личным кабинетам важных сервисов, финансовым документам, а также персональных данных сотрудников и клиентов. Веб-ресурсы являются ключевым элементом в корпоративной среде, т.к. содержат много ценной информации, которая влияет на основные функции управления инфраструктурой компании.
Сейчас сложно представить какую-либо компанию без использования веб-ресурсов, которые являются основой для продвижения продуктов и услуг на рынке. Какие угрозы для безопасности можно ожидать? Далее в статье, предлагаем рассмотреть список самых популярных веб-уязвимостей.
Наиболее ожидаемые веб-уязвимости
1. Инъекции (Injections)
Инъекции - это внедрение и исполнение вредоносного кода в запрос, чтобы получить доступ к базе данных, корпоративному серверу и веб-приложениям. Это делается для передачи содержимого базы данных злоумышленнику. Такие атаки считаются наиболее опасными.
Среди основных типов инъекций чаще встречаются: SQL, OS, Xpath, Ldap, RCE, XXE. Такие уязвимости могут появиться, когда запросы на сервер или базу данных передаются без проверки корректности ввода. Успешная атака в таком случае может привести к утечке данных, таким как: пароли, данные кредитной карты или личная информация пользователя и др. А это, в свою очередь, может повлечь потерю репутации пострадавших компаний и штрафам со стороны регулирующих органов.
Примером подобной кибератаки может послужить инциндент, произошедший в середине декабря 2020 года, когда крупные западные СМИ сообщили, что американские власти стали жертвой масштабной атаки правительственных хакеров. В результате инциндента были скомпрометированы, как минимум, Министерство финансов США и Национальная администрация по информатике и телекоммуникациям при Министерстве торговли США.
2. Недостатки системы аутентификации (Broken Authentication)
Аутентификация - проверка вводимых данных пользователя, которая необходима для регистрации при входе в систему (например: логин и пароль). При хакерских атаках злоумышленнику открыт доступ к имени пользователя и пароля для заполнения учетных данных, списков административных учетных записей.
Основными причинами возникновения таких проблем являются нестойкость и простота пароля, а также несвоевременное его обновление и незащищенность. Например, при выборе таких данных, используют имена собственные, памятные даты и т.д., потому что их проще запомнить.
Утечка данных аутентификации позволяет мошенникам получить доступ к личным кабинетам, электронным почтовым ящикам, страницам в социальных сетях, кабинету платежной онлайн системы, интернет-банку и другой личной информации пользователя.
3. Раскрытие конфиденциальных данных (Sensitive Data Explosure)
Конфиденциальные данные являются основной целью хакеров. В 2021 году раскрытие конфиденциальных данных по-прежнему будет серьезным веб-недостатком, так как за последние несколько лет количество утечек значительно увеличилось. Одной из главных причин является отсутствие шифрования информации при ее передаче или хранении.
Хищение конфиденциальных данных, обычно, приводит к компрометации ее владельца, нанесению вреда репутации компании или полной ее ликвидации. Такой случай с утечкой персональных данных о владельцах 60 млн кредитных карт ПАО "Сбербанк" на "черный рынок" произошел 24 августа 2019 г.
4. Небезопасная конфигурация (Security Misconfiguration)
Безопасная конфигурация необходима для обеспечения защиты веб-сервера, фреймворков (набор инструментов, нацеленный на ускорение работы сайта), сервера базы данных, сетевых служб и приложений.
В данной уязвимости кроется широкий спектр проблем безопасности и халатного к ним отношения, таких как:
- Устаревшее программное обеспечение и отсутствие защиты операционной системы. Эти проблемы также распространяются и на веб-сервер.
- Использование конфигураций по умолчанию.
- Игнорирование сообщений об ошибках.
При такой успешной атаке, злоумышленники могут получить доступ к учетным записям по умолчанию, неиспользуемым страницам, незащищенным файлам, каталогам и т.д. По мнению экспертов, впоследствии эта уязвимость может стать серьезной угрозой для веб-приложений.
5. XSS - Межсайтовый скриптинг (Cross-Site Scripting)
XSS - недостаток веб-приложений с внедрением вредоносного кода или скрипта на стороне клиента. Включив такой алгоритм в легитимную веб-страницу, злоумышленник стремится выполнить вредоносные сценарии в веб-браузере. Фактическая атака происходит, когда жертва посещает веб-страницу, которая выполняет этот вредоносный код, и она становится средством доставки сценария в браузер пользователя.
Площадки, которые обычно подвергаются атакам с использованием XXS - форумы, доски объявлений и веб-страницы, на которых можно оставлять комментарии.
6. Небезопасная десериализация (Insecure Deserialization)
Сериализация - это преобразование части объекта или нескольких объектов в битовую последовательность (последовательность двоичного кода нулей и единиц).
Десериализация - восстановление объекта из битовой последовательности в первоначальное его состояние.
Небезопасная десериализация относится к преобразованию сериализованной информации обратно в объекты, которые могут быть использованы веб-приложением. Причина этой уязвимости кроется в приеме сериализованных объектов из вредоносных или ненадежных источников. Небезопасная десериализация была добавлена к основным уязвимостям безопасности OWASP только в выпуске 2017 года. Считается относительно новым типом угрозы.
При таком типе атаки, объекты данных подделываются злоумышленниками, вызывая серьезные последствия, например: удаленное выполнение кода или отказ в обслуживании (DoS), что в свою очередь, привjlbn к нарушениям работы веб-приложений.
7. Использование компонентов с известными уязвимостями (Using Components with Known Vulnerabilities)
Компоненты с известными уязвимостями включают в себя: библиотеки, фреймворки (набор инструментов, которые ускоряют работу сайта), программные модули, а также компоненты целых приложений, неустойчивые к угрозам. Возникновению подобных недостатков способствует несвоевременное обновление версий как для серверных, так и для клиентских компонентов программного обеспечения.
Таким образом, если хотя бы один из компонентов стал уязвимым для хакеров, то это может повлечь за собой утечку более важных данных или, вообще, потерю управления над серверами, т.е. к несанкционированному захвату.
8. Недостатки журналирования и мониторинга (Insufficient Logging & Monitoring)
Мониторинг и журналирование - это проверка, устранение неполадок и систематизация отчетов и истории о внутренней работе систем компании. Другими словами, это подробные записи всего, что делает веб-приложение. Такой способ хранения информации дает возможность фильтровать и искать проблему со стороны работы системы в заданный период, вовремя предотвращая некорректную ошибку.
Причины возникновения этой уязвимости объясняются недобросовестным отношением к журналированию и мониторингу, отсутствием или неэффективным использованием системы реагирования на возникающие инциденты.
Большинство исследований показывают, что время обнаружения нарушения составляет более 200 дней, и обычно оно обнаруживается внешними сторонами, а не внутренними процессами или мониторингом. Вышеуказанные ошибки позволяет злоумышленникам продолжать атаковать системы компании, что приводит к утечке информации.
9. SMS-флуд (SMS Flooder)
SMS-флуд - это поток однотипных сообщений, отправляемых одному или нескольким адресатам без определенной смысловой нагрузки или с запросами, чтобы пользователь осуществил авторизацию в системе.
Для того, чтобы осуществить данный вид атаки, злоумышленники проникают на веб-сервер, перегружая его запросами до тех пор, пока он не перестанет отвечать, а также используют метод подбора паролей. В результате таких манипуляций атакующий может злоупотреблять функционалом веб-приложений восстановления паролей по SMS.
Помимо повышенной нагрузки веб-приложений и базы данных, успешные атаки наносят финансовый ущерб компании, отправляя платные SMS-сообщения. Избыточные запросы на сервер могут привести и к "угону" аккаунта (например: получив доступ к личному кабинету клиента интернет-магазина, у которого продолжительное время копились бонусы или начислялся Cashback, хакер может использовать и растратить их по своему усмотрению).
Как избежать угрозы компрометации
Обеспечение информационной безопасности - это непрерывный процесс, который требует постоянного контроля и оценки качества для снижения общего риска компрометации. Приведем ниже небольшую инструкцию по защите веб-приложения от хакерских атак:
1. Регулярно обновляйте программное обеспечение.
2. Откажитесь от простых и предсказуемых паролей, используйте шифрование при их хранении.
3. Имейте актуальную резервную копию.
4. Используйте систему выявления и блокировки уязвимостей веб-приложений: Nemesida WAF Free или ModSecurity.
Заключение
В данной статье мы перечислили самые распространенные недостатки веб-приложений, привели примеры утечек информации. Также рассмотрели основные причины возникновения таких угроз и их возможные последствия. Более подробно угрозы безопасности веб-сайтов и приложений описаны в списке OWASP Top 10 , который регулярно обновляется.
По данным исследования специалистов из университета Мериленда (США), каждые 39 секунд в мире происходят атаки, которые воздействуют на информационное пространство.
Любая успешная кибератака со стороны злоумышленников может нанести ощутимый вред бизнесу: штрафы, потеря репутации и клиентов или возможную полную ликвидацию компании. Будьте в курсе основных тенденций в области информационной безопасности, следуйте приведенным выше рекомендациям, оставайтесь здоровыми и защищёнными.