Aplikazioen segurtasuna lehentasuna izan behar du webgunearen jabe guztientzat. Enpresa gehiegi datu-hauste edo eraso baten zain itxaroten dute webgunearen segurtasuna lehentasuna izateko. Gogoratu ez dagoela softwarerik akatsik eta puntu ahulik gabe. Zure webgunea babesteko neurri guztiak hartu behar dituzu ezerk arriskuan jarri aurretik. Gaur egun sarean dauden milioika webgunek segurtasun ahultasunak dituzte, eta batez besteko webgune batek egunean 50 eraso jasan ditzake.
Zer da aplikazioen segurtasun ahultasun bat?
Aplikazioaren ahultasunak aplikazioaren segurtasuna arriskuan jartzeko abusu litezkeen software sistemaren akatsak edo ezegonkortasunak dira. Besterik gabe, ahultasun bat webgunearen edo web aplikazioaren kodearen ahultasun edo konfigurazio oker bat da, hacker batek zure webgunearen eta/edo ostalaritza zerbitzariaren zati batzuen kontrola lortzeko aukera sortzen duena.
Webgune zaurgarriak aurkitzeko modurik ohikoena programa automatizatuak dira, hala nola ahultasun-eskanerrak eta botnetak. Hackerrek maiz tresnak sortzen dituzte Interneten WordPress bezalako plataformak bilatzeko, ahultasun ezagun eta publikoetarako. Hemendik aurrera, zure webguneko urraketak datuak lapurtzeko, desagerraldia injektatzeko, eduki gaiztoa ezartzeko eta lehendik dagoen edukia spam egiteko erabil daitezke.
Aplikazioen ahultasunen sailkapena
Webguneak eta web aplikazioak ziber-erasotzaileen jomugan izaten dira arrazoi ekonomikoengatik edo datuak lapurtzeagatik. Ez dio axola merkataritza elektronikoko negozio bat zuzentzen baduzu, edo lineako negozio txiki soil bat besterik ez baduzu, eraso bat egiteko aukera dago. Horregatik, ezinbestekoa da jakitea zeren aurka zauden. Eraso gaizto bakoitza desberdina da bere berezitasunen arabera eta zure guneko zati ezberdinetan eragiteko gaitasunaren arabera. Webguneen ahultasun ohikoenak 3 ezaugarri nagusiren arabera sailkatzen dira: ustiagarritasuna, detektagarritasuna eta softwarean duten eragina.
- Ustiagarritasuna segurtasun ahultasuna manipulatzeko beharrezkoak diren tresnei dagokie. Webgune bat web arakatzailea soilik erabiltzeaz aprobetxa daitekeenean, ustiagarritasuna handia da eta ustiagarritasun txikiena programazio eta tresna aurreratuagoak parte hartzen dutenean gertatzen da.
- Detektagarritasunak mehatxu bat hautematea zein erraza den adierazten du. Detektagarritasun handiena informazioa URLan, formulario-mezu batean edo errore-mezu batean bistaratzen denean gertatzen da. Detektagarritasun baxuena malwarea iturburu-kodean soilik hauteman daitekeenean da.
- Softwarearen eragina edo kaltea sistemaren hutsegite oso batetik doa, eta horrek eragin handiena du, eta eragin txikiena zure webgunean kalterik egin ez denean gertatzen da.
Ahultasun motak
Azter ditzagun webguneen segurtasun ahultasun ohikoenak, defini ditzagun webgunearen segurtasun-hauste mota bakoitza eta zure negozioan zer eragin duen.
1. Injekzio erasoak
Kode injekzio akats bat gertatzen da hacker bat datu baliogabeak web aplikaziora bidaltzen dituenean. Eraso mota honen helburua zure softwarea egiteko diseinatuta ez dagoen zerbait egitea da. Kategoria honetako mehatxu ohikoena SQL injekzioa da. Injekzio hau erabiltzaileen datuak hartzeko programatuta dago, webgunearen back-end datu-baserako sarbidea lortuz edo datu-basea aldatuz.
SQL injekzioen ondorioak honako hauek dira: hacker-ak eduki gaiztoa sartuko du zure datu-baseko eremu zaurgarrietan eta datu sentikorrak lapurtuko ditu, hala nola, erabiltzaile-izenak, pasahitzak, etab. Honetaz gain, datuak alda ditzake informazioa sartuz, eguneratuz edo are ezabatuz. hura. Erasotzaileek administratzaile baten boterea izango dute eta datu-basearen edukia hondatzeko edozein eragiketa egin dezakete.
Injekzio akats honen aurrean zaurgarriak diren objektuak sarrera-eremua eta datu-basearekin elkarreragiten duten URLak dira. Kategoria honetako beste ahultasun arrunt bat hackerrei zure hosting zerbitzarian kodea urrunetik pasatzeko eta exekutatzeko baimena ematen dien komando-injekzioa da. Hau erabiltzailearen sarrera zerbitzariari transmititzen zaionean gertatzen da, eta behar bezala balioztatzen ez denean.
Kasu honetan, erasotzaileek shell komandoak sar ditzakete erabiltzailearen informazioarekin. Komando-injekzioak oso arriskutsuak dira, erasoaren hastapenak zure webgune osoa bahitu dezakeelako, zure ostalaritza zerbitzaria, eta arriskutsua den zerbitzaria ere erabil dezake botnet-en erasoetan. Kontuan izan: parametroak sarrera gisa erabiltzen dituen edozer kaltegarria izan daiteke kodea injekzio erasoen aurrean.
2. Hautsitako autentifikazioa
Ahultasun horri esker, edozein hacker-ek eskuzko edo automatikoki hackeatzeko metodoak erabil ditzake zure sistemako edozein konturen gaineko kontrola eskuratzeko, edo baita horren gaineko kontrol osoa izateko. Akats hori duten webguneek aplikazioen autentifikazio-mekanismoan agertzen diren logika-arazoak dituzte. Erasotzaileek indar gordinaren ikuspegia erabiltzen dute sistema bateko erabiltzaile baliodunak asmatzeko edo berresteko. Hautsitako autentifikazio-akatsa hainbat formatan dago, hala nola:
- Intrusio automatizatuak baimentzea, esate baterako, kredentzialak betetzea (hackera baliozko erabiltzaile-izen eta pasahitzen zerrendaren jabe da).
- Indar gordina eta beste eraso automatizatu batzuk onartzen ditu.
- Pasahitz lehenetsiak, ahulak edo ohikoak onartzen ditu ("Pasahitza1", "admin", "12345", etab.).
- Sistemak kredentzialak berreskuratzeko eta ahaztutako pasahitz prozesuak (ezagutzan oinarritutako erantzunak) ahulak eta eraginkorrak onartzen ditu.
- Sistemak faktore anitzeko autentifikazioa falta du.
- Saioa hasteko ID arrakastatsuak ez dira biratzen edo URLan agertzen dira (URLa berridazteko baimena ematen du).
- Sistemak ez ditu zuzen baliogabetzen saioen IDak saioa amaitzean edo jarduerarik ez dagoenean denbora-tarte jakin batean (saio-hasiera bakarra (SSO) tokenak).
Segurtasun-arazoak hainbat faktoreri egotzi diezazkiokete, hala nola, kodea idazteko esperientzia eza, segurtasun-baldintzak, software zaharkitua edo presazko software-garapena askatzea, amaitu gabe baina funtzionala dena.
3. Cross-site Scripting (XSS)
XSS ahultasuna JavaScript kodean kode maltzurren lerroak txertatzen direnean agertzen da web-orri bateko bezeroen alboko script-ak manipulatzeko. Script hauek erabiltzaileen saioetan eragiten ari dira webgune baten bilaketa-barra edo iruzkinen bidez. Efektua web orria hondatzen ari da eta erabiltzaileak spam-webguneetara birbideratzen ditu, itxura arrunta diruditen orrialdeetara, baina erabiltzailearen informazioa lapurtzeko asmoa dute.
Webgune batean zehar guneen script-a injektatzeko bi modu daude. Lehenengo metodoa ezagutzen ez duen erabiltzaile batek da eta bigarren metodoa erasotzaileak. Erabiltzaile bat erabiltzea XSS kode maltzur bat txertatzeko, posta elektroniko bidez egin daiteke. Erregistro-kontu faltsu bat berresteko esteka faltsu bat duen mezu bat jaso dezakete. Horrela, script-a URL parametroetako batean sartzen da.
Web-aplikazioak erabiltzaileari webgunearen helbidean karaktere bereziak pasatzeko aukera ematen badio, kode gaiztoa webgunearen zati legitimo gisa sartuko da eta gauzatuko da. Phishinga injekzioa gauzatzeko modua da. Bigarren metodoan, erasotzaileek normalean sarrera inprimakiak bideratzen dituzte urraketarik dagoen egiaztatzeko eta kodea prozesatzeko.
Webguneak berehala emandako datuak itzultzen dituenean, hackerrak badaki ahultasun bat dagoela. XSS-k zure webgunea kaltetu dezake hainbat modutan, esate baterako, datu sentikorrak lapurtuz (erabiltzaileen kredentzialak, saioko cookieak), teklak erregistratzea ahalbidetuz (sakatutako tekla guztiak grabatu eta datuak hackerri bidaltzea), webgunearen edukia aldatzea.
4. Guneen arteko eskaera faltsutzea (CSRF)
Eraso gaizto honek erabiltzaileak engainatzen ditu egin nahi ez duten zerbait egitera. CSRF honela funtzionatzen du: hirugarrenen webgune batek eskaera bat bidaltzen ari da erabiltzaile bat dagoeneko autentifikatu den web aplikazio batera, adibidez, bere banku edo arropa denda gogokoena. Hacker-ak sarbide-funtzionalitatea lortuko du erabiltzailearen arakatzailearen bidez. Biziki gomendatzen dizugu arreta jartzea sare sozialetako, posta elektronikoko, lineako bankuetako eta sareko gailuetarako web-interfazeetatik datozen web aplikazioetatik datozen esteka, mezu elektroniko eta mezu susmagarriei.
5. Datu sentikorren esposizioa
Datu sentikorrak babesteko baliabide akastunei etekina ateratzeko baliatzen den webguneen segurtasun ahultasun oso hedatua da. Ahultasun hori sarearen bidez isilpeko datuak transmititzen direnean gertatzen da normalean, baina datuak ere arriskuan egon daitezke atsedenean daudenean. Babestu behar diren datu sentikorren adibide batzuk hauek dira:
- Kreditu txartelaren zenbakiak.
- Erabiltzaile-kontuen kredentzialak.
- Informazio medikoa.
- Gizarte segurantzako zenbakiak.
- Beste datu pertsonal batzuk.
Enpresa-jabeek ulertu behar dute zein garrantzitsua den erabiltzailearen datuak eta pribatutasuna babestea, eta tokiko pribatutasun-legeak errespetatu eta bete behar dituzte.
6. Objektu zuzeneko erreferentzia seguruak
Akats hau gertatzen da web-aplikazio batek erabiltzailearen sarrera fidatzen duenean eta barne inplementazio-objektu bati erreferentzia erakusten dionean, hala nola fitxategiak, datu-base-erregistroak, datu-basearen gakoak eta direktorioak. URLan barne-objektu bati erreferentzia bat azaltzen denean, zibersegurtasun-eraso bat gerta daiteke URLa manipulatzeko eta erabiltzailearen datuetarako sarbidea lortzeko. Ohiko ahultasun bat pasahitza berrezartzeko funtzio bat da, erabiltzaileen sarrera bakarrik behar duena zeinen pasahitza berrezarri den erabakitzeko.
7. Segurtasun-konfigurazio okerra
Segurtasun-konfigurazio okerrak hainbat ahultasun mota biltzen ditu, oinarrian webgunearen mantentze-lan falta edo konfigurazio egokirik ez dutenak. Konfigurazioak aplikaziorako, web zerbitzarirako, datu-baserako zerbitzarirako, web plataformarako, esparruetarako eta aplikaziorako zerbitzarirako inplementatu eta zabaldu behar dira. Segurtasun-hauste honek hackerrei datu pribatuetarako eta webguneko funtzioetarako sarbidea ematen die. Emaitza sistema osoa arriskuan jarri dezake.
Segurtasun-konfigurazio okeren adibide batzuk emango dizkizugu begiak mantentzeko: aplikazioa arazketa funtzioa gaituta exekutatzen da produkzioan, direktorioa zerrenda gaituta duzu zerbitzarian, zure webgunea software zaharkitu batean exekutatzen ari da, hala nola WordPress pluginak edo zaharrak. PhpMyAdmin-ek, lehenetsitako gako eta pasahitzak erabiliz, pila-aztarnak (erroreak kudeatzeko informazioa) erakusten dizkiozu erasotzaileari.
8. Apurtutako sarbide-kontrola
Sarbide-kontrolak erabiltzaileek zer atal edo web-orrietara irits dezaketen mugari egiten dio erreferentzia, haien beharren arabera. Merkataritza elektronikoko webguneek, adibidez, ez dute produktuak gehitzen dituzun edo sustapenak konfiguratzen dituzun administrazio-panelerako sarbidea emango. Zure bisitariei zure webguneko saio-hasiera orrira iristeko aukera emanez, hackerrek zu eraso ditzaten ate bat irekitzen duzu. Hona hemen hautsitako sarbide-kontrolaren adibideen zerrenda:
- Ostalaritza-kontrolerako edo administrazio panelerako sarbidea.
- Sar zaitez zure zerbitzarira FTP, SFTP edo SSH bidez.
- Zure zerbitzariko aplikazioetarako sarbidea.
- Zure datu-baserako sarbidea.
Sarbide mota hori baimenduz, erasotzaileek baimenik gabeko funtzionalitate eta datuak atzi ditzakete, fitxategi sentikorrak atzi ditzakete eta baita sarbide-eskubideak ere alda ditzakete.
Nola saihestu webgunearen segurtasun ahultasunak
Oso garrantzitsua da lineako edozein negoziorentzat jasaten ari diren mehatxuak ezagutzea eta aplikazioen segurtasunari garrantzi handiagoa ematea. Zergatik arriskatu eraikitzen duzun guztia, zeure burua eta zure bezeroak babestu ditzakezunean?
1. Injekzio erasoak
Injekzioak erasoak saihesteko, zure sarrera behar bezala iragazi behar duzu. Zure sarrera guztiak, ez gehienak. 500 sarrera badituzu eta 499 behar bezala iragazten badira, sarrera hori erasorako aukera bihur daiteke. Izan konfiantza zure markoaren iragazketa-funtzioetan. Gainera, mantendu zure datuak komandoetatik eta kontsultetatik bereizita. Erabili Aplikazioen Programazio Interfaze (API) seguru bat, erabili zerbitzariaren sarreraren baliozkotzea, ezarri ezarpenak eta murrizketak datuen esposizioa mugatzeko. Gainera, sartu sarrera-eremuak zerrenda zuria eta saihestu hackerrek erabil ditzaketen errore-mezuen xehetasunak bistaratzea.
2. Hautsitako autentifikazioa
Hautsitako autentifikazioaren prebentziorako, erabili marko bat. Hau da segurtasun-akats hori saihesteko modurik errazena. Kontuz ibili zure URLetan edo Erregistroetan inolako kredentzialik ez erakusteko, eta egiaztatu zure autentifikazio- eta saioak kudeatzeko eskakizunak OWASP Aplikazioen Segurtasun-Egiaztapen-arauak betetzen ari diren.
3. Cross-site Scripting (XSS)
(XSS) guneen arteko scripten prebentziorako, lehen urratsa sarrerak garbitzea da. Prozesu honek HTML entitateetan HTML karaktere bereziak ordezkatzeari egiten dio erreferentzia, hala nola giltza kizkur, angelu-kotxe, etab., eskaeraren prozesamendu egokia bermatzen baitute. Gainera, XSS erasoak arintzeko diseinatutako suebaki bat instala dezakezu, testuinguruaren araberako kodeketa aplika dezakezu eta edukien segurtasun politika (CSP) ere gaitu dezakezu.
4. Guneen arteko eskaera faltsutzea (CSRF)
Guneen arteko eskaera faltsutzeko, token sekretu bat gorde beharko zenuke hirugarrenen gunerako eskuragarri ez den inprimaki-eremu ezkutuan. Metodo honek erabiltzaileak babesten ditu CSRF erasoetatik, eskaera bidaltzen duten hackerrek token balioa asmatu behar dutelako. Albiste hobea da erabiltzailea saioa amaitu ondoren, tokena baliogabetu egingo dela. Horrez gain, CAPTCHA edo berriro autentifikazio mekanismoak ere ezar ditzakezu.
5. Datu sentikorren esposizioa
Datu sentikorren esposizioa saihesteko, garrantzitsua da bi kasuetan pentsatzea: garraioan dauden datuak eta biltegiratuta daudenak. Garraio-datuetarako erabili HTTPS Secure Sockets Layer (SSL) ziurtagiri egoki batekin eta ez onartu HTTPS ez den konexiorik. Biltegian dauden datuetarako, ez gorde datu sentikorrik beharrezkoa ez bada, enkriptatu gordetako datu guztiak, gorde enkriptatze-gakoak sekretuan eta enkriptatu babeskopiak.
6. Objektu zuzeneko erreferentzia seguruak
Zure aplikazioa objektu zuzeneko erreferentzia seguruetatik babesteko, ezarri erabiltzailearen baimena behar bezala eta maiz. Saihestu objektuen erreferentziak URLetan erakustea, egiaztatu erreferentzia-objektu bakoitzaren baimena eta saihestu datuak barnean gordetzea. Ez fidatu CGI parametroetan soilik.
7. Segurtasun-konfigurazio okerra
Segurtasun-konfigurazio-hauste bat saihestu daiteke inplementatzean probak egin ditzakeen eraikitze- eta inplementazio-prozesu automatizatu fidagarri bat edukita.
8. Apurtutako sarbide-kontrola
Hautsitako sarbide-kontrola saihestu daiteke segurtasun-lehenengo filosofia software bat hartu eta ezarriz. Lan egin garatzaile batekin publikoak ez diren baliabideei lehenespenez sarbidea ukatzeko, CORS erabilera minimizatzeko, web-zerbitzarien direktorio-zerrendak desgaitzeko, fitxategien metadatuak ziurtatzeko, erregistro-sarbideen kontrolaren hutsegite eta administratzaileei ohartarazteko hutsegite errepikatuak gertatzen direnean.
Ondorioa
Ez dio axola zein fasetan dagoen zure negozioa une honetan, segurtasuna funtsezkoa da lineako edozein webgune edo web aplikaziorako. Laburbilduz, kontuan hartu honako hau:
- Segurtasun-mehatxu nagusiak injekzioak, autentifikazio-akatsak eta cross-site scripting (XSS) dira.
- Plataforma zaurgarriena WordPress da, oso plataforma seguru baten bila bazabiltza, joan garapen pertsonalizatua. Bere kode berezia dela eta, ez du ia ate irekirik uzten ohiko erasoetarako.
- Zure webgunea zaurgarria ez dela ziurtatzeko, eskaneatu eta kontrolatu zure webgunea aldizka. Inkoherentziaren bat aurkitzen baduzu, hartu neurriak berehala.
- Zure webgunea eraso ez dadin, ahalegindu zure aplikazioa eguneratuta mantentzen, erabili webguneko aplikazioen suebakia (WAF) eta erabili malware eskaner bat.