Распространенные уязвимости безопасности веб-приложений
Здравствуйте, уважаемые друзья! Атаки на веб-приложения варьируются от целенаправленных манипуляций с базами данных до крупномасштабных сетевых сбоев.
В сегодняшнем выпуске предлагаю вам рассмотреть распространенные уязвимости безопасности веб-приложений.
Итак, некоторые из распространенных методов атаки или «типов», которые обычно используются:
Межсайтовые сценарии (XSS)
XSS — это уязвимость, позволяющая злоумышленнику внедрить клиентские сценарии на веб-страницу для прямого доступа к важной информации, выдавать себя за пользователя или заставить пользователя раскрыть важную информацию.
SQL injection (SQi)
SQi — это метод, с помощью которого злоумышленник использует уязвимости в пути к базе данных и выполняет поисковые запросы. Злоумышленники используют SQi для получения доступа к несанкционированной информации, изменения или создания новых разрешений пользователя, а также для иного манипулирования или уничтожения конфиденциальных данных.
Атаки типа «отказ в обслуживании» (DoS) и «распределенный отказ в обслуживании»» (DDoS)
Злоумышленники могут перегрузить целевой сервер или окружающую его инфраструктуру различными типами атакующего трафика. Когда сервер больше не в состоянии эффективно обрабатывать входящие запросы, он начинает вести себя вяло и в конечном итоге отказывать в обслуживании входящих запросов от законных пользователей.
Что такое межсайтовый скриптинг?
Повреждение памяти
Повреждение памяти происходит, когда расположение в памяти непреднамеренно модифицируется, приводя к потенциалу для неожиданного поведения в программном обеспечении. Злоумышленники будут пытаться использовать повреждение памяти с помощью таких эксплойтов, как инъекции кода или атаки переполнения буфера.
Переполнение буфера
Переполнение буфера является аномалией, возникающей при программной записи данных в определенное пространство в памяти, известное как буфер. Переполнение буфера приводит к перезаписи соседних ячеек памяти данными. Это поведение может быть использовано для внедрения вредоносного кода в память, что может привести к возникновению уязвимости в целевой машине.
Подделка межсайтовых запросов (CSRF)
Подделка межсайтовых запросов включает в себя обман жертвы, чтобы сделать запрос, который использует их аутентификации или авторизации. Используя привилегии учетной записи пользователя, злоумышленник может отправить запрос, маскируясь под пользователя. После взлома учетной записи злоумышленник может удалить, уничтожить или изменить важную информацию. Обычно используются учетные записи с высокими привилегиями, такие как администраторы или руководители.
Нарушение данных
Отличается от конкретных типов атаки, нарушение данных является общим термином, относящимся к разглашению конфиденциальной или секретной информации, и может произойти в результате вредоносных действий или по ошибке. Объем того, что считается нарушением данных, довольно широк и может состоять из нескольких очень ценных записей вплоть до миллионов открытых учетных записей пользователей.
Патчи безопасности существуют не на всех устройствах, и не у всех пользователей есть навыки или стимул для обновления устройств. Производители бюджетных интернет-вещей вообще не предлагают никакого обслуживания. Для тех, кто это делает, это часто не длительный срок. Также нет способа, чтобы списать устройства, как только обновления больше не поддерживается, что делает их бесконечно небезопасным.
Трудности в отслеживании и судебном преследовании создателей ботнетов затрудняют сдерживание распространения ботнетов. Не существует глобальной интерполированной организации (международной организации уголовной полиции) по борьбе с киберпреступностью, обладающей соответствующими следственными навыками. Правоохранительные органы по всему миру, как правило, не в состоянии идти в ногу с киберпреступниками, когда дело доходит до новейших технологий.
Многие ботнеты теперь используют технику DNS под названием Fast Flux, чтобы скрыть домены, которые они используют для загрузки вредоносных программ или для размещения фишинговых сайтов. Это делает их чрезвычайно трудно отслеживать и снимать. Заражение ботнетом снижает ли производительность устройств интернет-вещей . Время от времени зараженные устройства могут работать вяло, но в основном они работают по назначению. Владельцы не имеют большой мотивации, чтобы найти способы, чтобы очистить их от заражения.
Законодательство требует, чтобы устройства IoT имели разумные функции безопасности, «соответствующие характеру и функциям устройства». В январе 2020 года вступит в силу закон о безопасности IoT устройств, требующий защиту, соответствующую характеру и функциям устройства. Почему это законодательство так важно? Прибыльный Калифорнийский рынок не позволяет компаниям игнорировать его. Если они хотят продавать устройства во всем мире, им нужно будет улучшить безопасность своих устройств. Это пойдет на пользу всем государствам.