home | login | register | DMCA | contacts | help | donate |      

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
А Б В Г Д Е Ж З И Й К Л М Н О П Р С Т У Ф Х Ц Ч Ш Щ Э Ю Я


my bookshelf | genres | recommend | rating of books | rating of authors | reviews | new | форум | collections | читалки | авторам | add
fantasy
space fantasy
fantasy is horrors
heroic
prose
  military
  child
  russian
detective
  action
  child
  ironical
  historical
  political
western
adventure
adventure (child)
child's stories
love
religion
antique
Scientific literature
biography
business
home pets
animals
art
history
computers
linguistics
mathematics
religion
home_garden
sport
technique
publicism
philosophy
chemistry
close

реклама - advertisement



   Слабые места сайтов и как ими пользуются злоумышленники

   Чтобы быть готовым к обороне, нужно знать хотя бы, каким угрозам потенциально подвергаются веб-проекты. Прежде всего перечислим часть бед, которые могут приключиться с сайтом при неосмотрительном отношении к его защите.

   • Подмена главной страницы сайта. На хакерском сленге – «дефейс» (от англ. deface – «портить», «обезображивать»). Один из беспроигрышных вариантов подмочить репутацию компании. «Раз ее корпоративный сайт был взломан, то какая ей вера?» – думает средний пользователь. Самый заметный, но часто наиболее безобидный в долгосрочной перспективе вид взлома. Грязно, однако не смертельн о. Зачастую вандалу хочется лишь громко заявить о себе и он не преследует корыстных целей, вторгаясь в ваше интернет-представительство.

   • Подлог или уничтожение информации и функциональных элементов. Гораздо менее безобидный вариант враждебных манипуляций с сайтом. Периодически используется в конкурентной борьбе. Но чаще взломщики изначально атакуют фактически наобум, прощупывая все подвернувшиеся сайты подряд в надежде, что у какого-нибудь окажется «мягкое подбрюшье». Берет киберпреступник (а как его еще прикажете называть?) и подменяет ваши платежные реквизиты своими, принадлежащими подставному лицу. Если у вас через Интернет проводится много сделок по безналичному расчету, а товара, допустим, заказчик ждет в течение недели-двух, то, пока вы хватитесь, злоумышленники могут умыкнуть немаленькие суммы, предназначавшиеся вам.

   Также в случае захвата интернет-ресурса узурпаторы имеют обыкновение выжимать из него все соки. Например, размещать на его страницах платные SEO-ссылки (таким образом он теряет «вес», который вы с трудом ему обеспечили) или превращать всю площадку в дорвей.

   • Удаление сайта. Со всеми его каталогами и контентом. Самый грубый прием. Но иногда он бывает нокаутом. Водятся еще веб-мастера и администраторы, которые пренебрегают регулярным резервным копированием сайтов (см. далее по тексту).

   • Заражение вирусами. «Зловреды», как их еще называют в Рунете, селятся на сайте и стараются потихоньку внедриться на компьютеры его ни о чем не подозревающих посетителей, если браузеры у тех «дырявые», а антивирусная защита устарела. Успешно инфицировав чей-то ПК, такая вредоносная программа может выполнять самые разные действия: от похищения персональных данных, включая коды доступа к банковским картам и их реквизиты, до выполнения команд от владельца ботнета – целой сети зараженных компьютеров (см. следующий пункт).

   • Создание чрезмерно высокой нагрузки на сайт. Необязательно «зачумлять» сам сайт, чтобы парализовать его работу. Удручающе часто бывает достаточно сделать площадку не доступной никому – на час, день, неделю. Редкий интернет-ресурс рассчитан на по-настоящему высокую посещаемость: многие дислоцируются на виртуальном хостинге (см. главу 7 «Домен и хостинг: паспорт, прописка, жилье»), у иных толком нет постоянного администратора. Значит, чтобы «свалить» сайт, можно пустить на него шквальный поток аудитории. А проще симулировать такой ажиотаж: будто сотни и тысячи человек одновременно пытаются зайти на сайт. Такой печально известный способ обрушения сайтов называется DDoS.

   Суть его в том, что обращения к площадке действительно осуществляются, но не живыми людьми, а ботами – зараженными компьютерами, чьи владельцы ни сном ни духом не ведают про то, что с их ПК отправляется запрос к какому-то сайту. Про методы предупреждения DDoS-атак и борьбу с ними написано в следующей главе.

   • Рассы лка спама через интернет-ресурс. Отправка нежелательной, мусорной корреспонденции до сих пор остается прибыльным делом. Однако спамеров никто не любит. И нет лучше способа оказаться на обочине Интернета, чем быть уличенным в массовом распространении рекламных писем. Говорите, ваш сайт заразили? Тем, кто занесет его в черные списки, безразличны оправдания. Да и со стороны поисковиков ничего хорошего сайт, рассылающий спам пусть даже поневоле, не ждет. Из-за предупреждения вида «Сайт представляет угрозу» (рис. 39) в выдаче поисковика посещаемость площадки гарантированно снижается, подчас в десять и более раз, о чем на конференции CyberMarketing 2012 рассказал руководитель службы безопасного поиска «Яндекса» Александр Сидоров.

   В свою очередь, способы получения несанкционированного доступа к сайту многочисленны, как рой саранчи, и варьируются в широчайшем диапазоне. Все эти методы прекрасно известны специалистам по интернет-безопасности и веб-разработчикам и в массе с воей (но не все до единого) сводятся к манипуляции с программной частью атакуемого проекта. Не углубляясь в джунгли технологий, коснемся наиболее распространенных и уделим каждому несколько фраз.

   • Захват администраторских логина и пароля не через сам сайт. Действительно, чем подбирать ключи к двери, бывает проще стянуть их с пояса у смотрителя. Способов сделать это уйма: взломать почту администратора сайта, или запустить на его рабочий компьютер «троян», который передает своему «заводчику» информацию о происходящем на инфицированном ПК, или, как ни смешно, подсмотреть из-за сутулого вебмастерского плеча.

Создание сайтов
    -------

| bookZ.ru collection

|-------

|  

 -------

   • SQL-инъекции. Название очень меткое. Часто сайты активно задействуют базы данных (собственно, SQL – язык для оперирования БД) и для формирования страниц используют вводимую посети телями информацию. Через подобный SQL-запрос, замаскированный под пользовательские данные, при наличии уязвимости взломщику, бывает, удается «впрыснуть» вредоносный код – и далее тот выполняется на веб-сервере.

   • XSS-уязвимости. Cross-site scripting, или «межсайтовый скриптинг». Первую букву аббревиатуры заменили на X во избежание путаницы с CSS – каскадными таблицами стилей, о которых мы говорили в предыдущих главах. Это способ внедрить в страницу, формируемую веб-сервером, фрагмент кода извне за счет неоптимальной работы с пользовательскими переменными на сайте. В простых выражениях – злоумышленник не совершает нападение на сервер, а идет в обход: пытается выхватить (cookies, связку «пароль – логин» и т. д.) критически важные авторизационные данные пользователя площадки, а то и самого администратора. XSS многолик и широко используется в целях так называемого фишинга.

   • LFI (local file include) – не закрытая, как полагается, возможность внед рения локального файла на веб-сервер. Например, если в форме для загрузки пользовательских фотографий или аватарок программистами не была реализована проверка расширений файлов, то хакер располагает возможностью «просунуть» через эту лазейку свой коварный скрипт. Последствия бывают самыми плачевными.

   • CSRF (cross site request forgery) – буквально «подделка межсайтовых запросов». Пользователь заходит на сайт и вводит свои личные данные. Например, аутентифицирующие его с целью отправки платежа. Однако из-за того, что HTTP-запросы к серверу недостаточно тщательно проверяются, эта лакомая информация может утечь за пределы ресурса – прямо в руки к лихоимцу (чтобы удерживаться от более крепких выражений, мы вынуждены употреблять галантные синонимы).

   В арсенале у киберпреступников еще не один прием: обход уязвимых CGI– и PHP-скриптов на веб-сервере, ошибки в конфигурировании программного обеспечения на сервере же, халатная реализация криптограф ических решений, кликджекинг и т. д. Часть из них эксплуатирует глупые, откровенные ошибки веб-разработчиков, часть основана на более изощренных принципах. Однако от львиной доли атак можно уберечься, если продумывать защиту от них начиная с этапа прототипирования сайта.


   Глава 19. Уязвимости на сайте: семь раз отмерь, семь раз зашей | Создание сайтов |    Как обезопасить сайт