Αν θέλετε να κρατήσετε υψηλά το επίπεδο ασφαλείας της web εφαρμογής σας πρέπει να γνωρίζετε τους πιο κοινούς τύπους web επιθέσεων και γιατί όχι, να δοκιμάσετε εσείς να επιτεθείτε στην εφαρμογή σας για να ελέγξετε αν είναι ευάλωτη.i. Cross-Site Scripting
Το cross site scripting (XSS) είναι...
ο πιο κοινός τύπος επιθέσεων σε διαδικτυακές εφαρμογές, και ο σκοπός είναι να “ξεγελάσεις” το πρόγραμμα περιήγησης ώστε να εκτελέσει συγκεκριμένες εντολές. Σε αντίθεση με άλλου τύπου επιθέσεις, το XSS στην πράξη στοχεύει στους χρήστες των εφαρμογών παρά σε αυτές και επιτρέπει στον επιτιθέμενο να εκτελέσει μια ποικιλία δραστηριοτήτων όπως:
• Εισαγωγή ιού σε μια ιστοσελίδα
• Εισαγωγή κακόβουλου κώδικα
• Αλλοίωση της εμφάνισης μιας ιστοσελίδας
• Παρακολούθηση των δεδομένων που ανταλλάσσονται
• κ.α.
ii. Εμβόλιμος κώδικας
Ο εμβόλιμος κώδικας εφαρμόζεται σε SQL, Hibernate Query Language (HQL), LDAP, XPath, XQuery, XSLT, HTML, XML, OS, αλλά τα πιο κοινά είναι τα SQL και HTML. Ο εμβόλιμος κώδικας επιτρέπει στον επιτιθέμενο να εκτελέσει εντολές σε ένα διακομιστή (server). Μία τέτοιου είδους επίθεση λειτουργεί ως εξής:
• Κακόβουλος κώδικας αποστέλλεται στον στόχο μέσω ενός αιτήματος HTTP.
• Το site-στόχος επεξεργάζεται τον κακόβουλο κώδικα που έχει λάβει.
• Τέλος, ο κακόβουλος κώδικας εκτελείται για λογαριασμό της εφαρμογής web.
iii. Πλαστογραφία αιτήματος Cross-Site
Μοιάζει αρκετά με την πρώτη κατηγορία, αλλά είναι λίγο διαφορετικό. Αυτός ο τύπος επίθεσης είναι γνωστός και ως CSRF ή XSRF. Σε αυτού του είδους την επίθεση γίνεται εκμετάλλευση του χρήστη. Έχοντας επισκεφθεί μία “παγιδευμένη” ιστοσελίδα, ανακατευθύνεται αυτόματα και ο browser δημιουργεί αιτήματα προς το νέο server χωρίς να το καταλάβει ο χρήστης. Βέβαια κατά την είσοδο στο πρώτο site συνήθως ο browser εμφανίζει προειδοποιητικό μήνυμα όπου ο χρήστης θα πρέπει να δηλώσει ότι εμπιστεύεται την σελίδα. Πριν συμβούν αυτά όμως ένας επιτιθέμενος θα πρέπει να ενσωματώσει κώδικα HTML ή Java σε μία εικόνα (συνήθως <img src=”http://host/?command”>)
iv. Διαρροή πληροφοριών και ακατάλληλος χειρισμός σφάλματος
Σφάλματα συμβαίνουν σε πολλές web εφαρμογές, αλλά μερικές φορές αυτά τα λάθη δίνουν πολύτιμες πληροφορίες σχετικά με το δικτυακό τόπο. Ένα τέτοιο σφάλμα θα μπορούσε να προκύψει από διακοπές μνήμης, null pointers, αποτυχημένη κλήση συστήματος, μη διαθέσιμη βάση δεδομένων, πρόβλημα δικτύου κλπ., αλλά λόγω λανθασμένης ρύθμισης αυτά τα σφάλματα μπορεί να γνωστοποιήσουν πληροφορίες για την ιστοσελίδα. Με γνώση λίγων λεπτομερειών σχετικά με το διακομιστή web ένας επιτιθέμενος μπορεί να τον εκμεταλλευτεί με διάφορους τρόπους.
ΠΗΓΗ: secnews.gr
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου