Öryggi forrita ætti að vera forgangsverkefni allra vefsíðueiganda. Of mörg fyrirtæki bíða eftir gagnabroti eða árás til að setja öryggi vefsíðna í forgang. Mundu að það er enginn hugbúnaður án galla og veika punkta. Þú ættir að gera allar ráðstafanir til að vernda vefsíðuna þína áður en eitthvað getur komið henni í hættu. Milljónir vefsíðna á netinu í dag eru með öryggisveikleika og meðalvefsíða getur orðið fyrir allt að 50 árásum á dag.
Hvað er öryggisveikleiki forrita?
Varnarleysi forrita eru gallar hugbúnaðarkerfisins eða óstöðugleiki sem gæti verið misnotaður til að skerða öryggi forritsins. Einfaldlega sagt, veikleiki er veikleiki eða röng uppsetning á vefsíðu eða vefforritskóða sem skapar tækifæri fyrir tölvuþrjóta til að ná stjórn á sumum hlutum vefsíðunnar þinnar og/eða hýsingarþjónsins.
Algengasta leiðin til að finna viðkvæmar vefsíður er í gegnum sjálfvirk forrit eins og varnarleysisskanna og botnet. Tölvuþrjótar búa oft til verkfæri til að leita á netinu að kerfum eins og WordPress, fyrir vel þekkta og almenna veikleika. Héðan er hægt að nota innbrotin á síðunni þinni til að stela gögnum, sprauta skaðsemi, innleiða skaðlegt efni og senda ruslpóst á núverandi efni.
Flokkun forritsveikleika
Vefsíður og vefforrit eru oft skotmörk netárásarmanna af fjárhagsástæðum eða gagnaþjófnaði. Sama hvort þú rekur rafræn viðskipti, eða þú ert bara með einfalt lítið fyrirtæki á netinu, möguleikinn á árás er fyrir hendi. Þess vegna er mikilvægt að vita hvað þú ert á móti. Sérhver illgjarn árás er mismunandi miðað við sérstöðu þess og getu til að hafa áhrif á mismunandi hluta vefsvæðisins þíns. Algengustu veikleikar vefsíðunnar eru flokkaðir út frá 3 megineinkennum: hagnýtingu, greinanlegleika og áhrifum þeirra á hugbúnað.
- Nothæfni vísar til verkfæranna sem þarf til að vinna með öryggisveikleikann. Þegar hægt er að nýta vefsíðu með því að nota aðeins vafra er hagnýtingarhæfnin mikil og minnst þegar háþróaðri forritun og tól eiga í hlut.
- Greinanleiki vísar til þess hversu auðvelt er að greina ógn. Hæsta greinanleiki er þegar upplýsingarnar eru birtar á vefslóðinni, í formi skilaboðum eða villuboðum. Minnsta greinanleiki er þegar hægt er að greina spilliforritið aðeins í frumkóðann.
- Áhrifin á hugbúnaðinn eða tjónið stafar af algjöru kerfishruni, sem hefur mest áhrif, en minnstu áhrifin eru þegar engar skemmdir urðu á síðunni þinni.
Tegundir veikleika
Við skulum kanna algengustu öryggisveikleika vefsvæða, skilgreina hverja tegund öryggisbrota á vefsíðu og hvaða áhrif það hefur á fyrirtækið þitt.
1. Sprautuköst
Innspýtingsgalli á sér stað þegar tölvuþrjótur er að senda ógild gögn í vefforritið. Tilgangurinn á bak við þessa tegund árása er að láta hugbúnaðinn þinn gera eitthvað sem er ekki hannað til að gera. Algengasta ógnin í þessum flokki er SQL innspýting. Þessi innspýting er forrituð til að taka gögn frá notendum með því að fá aðgang að bakhlið vefsíðunnar eða breyta gagnagrunninum.
Afleiðingar SQL innspýtingar eru sem hér segir: tölvuþrjóturinn mun sprauta skaðlegu efni inn í gagnagrunninn sem er viðkvæmt svæði og mun stela viðkvæmum gögnum eins og notendanöfnum, lykilorðum osfrv. Auk þess geta þeir breytt gögnum með því að setja inn upplýsingar, uppfæra eða jafnvel eyða það. Árásarmenn munu hafa vald stjórnanda og geta framkvæmt allar aðgerðir til að spilla gagnagrunnsinnihaldi.
Hlutirnir sem eru viðkvæmir fyrir þessum inndælingargalla eru innsláttarreiturinn og vefslóðirnar sem hafa samskipti við gagnagrunninn. Annar algengur varnarleysi í þessum flokki er skipanainnspýtingin sem gefur tölvuþrjótum leyfi til að senda og keyra kóða á hýsingarþjóninum þínum úr fjarska. Þetta gerist þegar inntak notenda er sent til netþjónsins og það er ekki rétt staðfest.
Í þessu tilviki geta árásarmenn sett skel skipanir með notendaupplýsingunum. Skipunarsprautur eru mjög hættulegar vegna þess að upphafsmaður árásarinnar getur rænt allri vefsíðunni þinni, hýsingarþjóninum þínum og getur einnig notað netþjóninn sem er í hættu í botnetárásum. Hafðu í huga: allt sem notar færibreytur sem inntak getur verið viðkvæmt fyrir innspýtingarárásum.
2. Brotuð auðkenning
Þessi varnarleysi gerir öllum tölvuþrjótum kleift að nota handvirkar eða sjálfvirkar reiðhestur aðferðir til að öðlast stjórn á hvaða reikningi sem er í kerfinu þínu, eða jafnvel hafa fulla stjórn á honum. Vefsíður sem hafa þennan galla hafa rökfræðileg vandamál sem birtast á auðkenningarkerfi forritsins. Árásarmenn nota venjulega grófa aðferð til að giska á eða staðfesta gilda notendur í kerfi. Brotinn auðkenningargalli kemur í ýmsum myndum, eins og:
- Leyfir sjálfvirk innbrot eins og persónuskilríkisfyllingu (hakkarinn á lista yfir gild notendanöfn og lykilorð).
- Leyfir brute-force og aðrar sjálfvirkar árásir.
- Leyfir sjálfgefin, veik eða algeng lykilorð („Lykilorð1“, „admin“, „12345“ o.s.frv.).
- Kerfið tekur við veika og árangurslausa endurheimt skilríkja og gleymdu lykilorðsferli (þekkingartengd svör).
- Kerfið skortir fjölþátta auðkenningu.
- Innskráningarauðkenni sem heppnuðust snúast ekki eða þau birtast í vefslóðinni (leyfir endurskrifun vefslóða).
- Kerfið ógildir ekki lotuauðkenni á réttan hátt við útskráningu eða óvirkni á tilteknu tímabili (einskráningartákn (SSO).
Öryggisvandamál má rekja til margra þátta eins og skorts á reynslu af kóðaritun, öryggiskröfum, gamaldags hugbúnaðar eða útgáfu á flýtihugbúnaðarþróun, sem er ókláruð en virkur.
3. Handritaskil á milli staða (XSS)
XSS varnarleysið birtist þegar línur af skaðlegum kóða eru settar inn í JavaScript kóðann til að vinna með forskriftir viðskiptavinarhliðar vefsíðu. Þessar forskriftir hafa áhrif á notendalotur í gegnum leitarstiku vefsíðu eða athugasemdir. Áhrifin eru að slíta vefsíðuna og vísa notendum á ruslpóstsvefsíður sem gætu virst eðlilegar síður, en þeir ætla að stela notendaupplýsingum.
Það eru tvær leiðir til að sprauta forskriftum yfir vefsvæði inn á vefsíðu. Fyrsta aðferðin er af óvitandi notanda og önnur aðferðin er af árásarmanninum. Notkun notanda til að setja inn skaðlegan XSS kóða er hægt að gera með tölvupósti. Þeir geta fengið skilaboð sem innihalda falsa tengil til að staðfesta falsa skráningarreikning. Þannig er handritið í einni af færibreytum vefslóðarinnar.
Ef vefforritið leyfir notandanum að senda sértákn í veffang vefsíðunnar verður illgjarn kóðinn sprautaður inn og framkvæmt sem lögmætur hluti af vefsíðunni. Vefveiðar eru leiðin til að framkvæma inndælinguna. Í annarri aðferðinni miða árásarmennirnir venjulega á innsláttareyðublöð til að athuga hvort brot séu og vinna úr kóðanum.
Þegar vefsíðan skilar gögnum sem voru send strax, þá veit tölvuþrjóturinn að varnarleysi er til staðar. XSS getur skaðað vefsíðuna þína á margan hátt eins og að stela viðkvæmum gögnum (notendaskilríki, lotukökur), leyfa lyklaskráningu (taka upp hvern einasta takka sem ýtt er á og senda gögnin til tölvuþrjótsins), breyta innihaldi vefsíðunnar.
4. Fölsun beiðna milli vefsvæða (CSRF)
Þessi illgjarna árás platar notendur til að gera eitthvað sem þeir ætla ekki að gera. CSRF virkar á þennan hátt: vefsíða þriðju aðila sendir beiðni til vefforrits þar sem notandi er þegar auðkenndur, td banki hans eða uppáhaldsfatabúð. Tölvusnápur mun fá aðgangsvirkni í gegnum vafra notandans. Við ráðleggjum þér eindregið að fylgjast með öllum grunsamlegum hlekkjum, tölvupóstum, skilaboðum, sem koma frá vefforritum eins og samfélagsmiðlum, tölvupósti, netbanka, vefviðmótum fyrir nettæki.
5. Viðkvæm gögn útsetning
Útsetning fyrir viðkvæm gögn er útbreidd öryggisveikleiki vefsíðu sem er nýttur til að nýta gölluð verndarúrræði. Þessi varnarleysi á sér venjulega stað þegar verið er að senda trúnaðargögn í gegnum netið, en einnig geta gögn verið í hættu þegar þau eru í hvíld. Nokkur dæmi um viðkvæm gögn sem þarf að vernda eru:
- Kreditkortanúmer.
- Skilríki notendareikninga.
- Læknisfræðilegar upplýsingar.
- Kennitalanúmer.
- Aðrar persónulegar upplýsingar.
Eigendur fyrirtækja verða að skilja hversu mikilvæg verndun gagna og friðhelgi notenda er og þeir ættu að virða og fara að staðbundnum persónuverndarlögum.
6. Óöruggar beinar tilvísanir í hlut
Þessi galli gerist þegar vefforrit treystir inntak notenda og afhjúpar tilvísun í innri útfærsluhlut eins og skrár, gagnagrunnsskrár, gagnagrunnslykla og möppur. Þegar tilvísun í innri hlut er afhjúpuð í vefslóðinni getur netöryggisárás átt sér stað til að vinna með vefslóðina og fá aðgang að gögnum notanda. Algengur veikleiki er endurstillingaraðgerð sem þarf aðeins notandainntak til að ákveða hvers lykilorð á að endurstilla.
7. Öryggi rangstillingar
Öryggisröng stillingar fela í sér margar tegundir af veikleikum sem í kjarnanum hafa skort á viðhaldi vefsíðu eða skortir rétta uppsetningu. Stillingar verða að vera útfærðar og dreift fyrir forritið, vefþjóninn, gagnagrunnsþjóninn, vefpallinn, ramma og forritaþjóninn. Þetta öryggisbrot veitir tölvuþrjótum aðgang að einkagögnum og vefsíðueiginleikum. Niðurstaðan gæti sett allt kerfið í hættu.
Við ætlum að gefa þér nokkur dæmi um rangstillingar öryggis til að fylgjast með: forritið keyrir með kembiforrit virkt í framleiðslu, þú hefur kveikt á skráningarskránni á þjóninum, vefsíðan þín keyrir á gamaldags hugbúnaði eins og WordPress viðbótum eða gömlum PhpMyAdmin, með því að nota sjálfgefna lykla og lykilorð, afhjúpar þú staflaspor (upplýsingar um villumeðferð) fyrir árásarmanninum.
8. Biluð aðgangsstýring
Aðgangsstýring vísar til takmörkunar á því hvaða hluta eða vefsíður notendur geta nálgast, byggt á þörfum þeirra. Netverslunarvefsíður munu til dæmis ekki veita aðgang að stjórnborðinu þar sem þú bætir við vörum eða setur upp kynningar. Með því að leyfa gestum þínum að komast á innskráningarsíðu vefsíðunnar þinnar opnar þú dyr fyrir tölvuþrjóta til að ráðast á þig. Hér er listi yfir dæmi um bilaða aðgangsstýringu:
- Aðgangur að hýsingarstjórn eða stjórnborði.
- Aðgangur að netþjóninum þínum í gegnum FTP, SFTP eða SSH.
- Aðgangur að forritum á þjóninum þínum.
- Aðgangur að gagnagrunninum þínum.
Með því að leyfa þessa tegund aðgangs geta árásarmenn fengið aðgang að óviðkomandi virkni og gögnum, fengið aðgang að viðkvæmum skrám og jafnvel breytt aðgangsrétti.
Hvernig á að koma í veg fyrir öryggisveikleika vefsíðunnar
Það er mjög mikilvægt fyrir öll netfyrirtæki að þekkja ógnirnar sem þeir standa frammi fyrir og leggja meira áherslu á öryggi forrita. Af hverju að hætta öllu sem þú byggir, þegar þú getur verndað þig og viðskiptavini þína?
1. Sprautuköst
Til að koma í veg fyrir sprautuárásir skaltu sía inntak þitt rétt. Öll inntak þín, ekki meirihluti þeirra. Ef þú ert með 500 inntak og 499 hafa verið síuð, getur það eitt inntak orðið árásartækifæri. Treystu á síunaraðgerðir rammans þíns. Haltu einnig gögnunum þínum aðskildum frá skipunum og fyrirspurnum. Notaðu öruggt forritunarviðmót (API), notaðu inntaksstaðfestingu á netþjóni, innleiddu stillingar og takmarkanir til að takmarka útsetningu gagna. Þar að auki, hvítlistaðu innsláttarreitina og forðastu að birta villuboðaupplýsingar sem tölvuþrjótar geta notað.
2. Brotuð auðkenning
Til að koma í veg fyrir brot á auðkenningu skaltu nota ramma. Þetta er einfaldasta leiðin til að forðast þennan öryggisgalla. Gættu þess að afhjúpa ekki nein skilríki í vefslóðum þínum eða annálum og athugaðu hvort auðkenningar- og lotustjórnunarkröfur þínar uppfylli OWASP öryggisstaðla um öryggisstaðla.
3. Handritaskil á milli staða (XSS)
Til að koma í veg fyrir (XSS) forskriftarforskriftir milli staða er fyrsta skrefið að hreinsa inntak. Þetta ferli vísar til þess að skipta út sérstökum HTML stöfum eins og krulluðum axlaböndum, hornklofa osfrv í HTML einingar, þar sem þeir tryggja rétta vinnslu beiðni. Ennfremur geturðu sett upp eldvegg sem er hannaður til að draga úr XSS árásum, beita samhengisnæmri kóðun og þú getur líka virkjað innihaldsöryggisstefnu (CSP).
4. Fölsun beiðna milli vefsvæða (CSRF)
Fyrir fölsun beiðna á milli vefsvæða, ættir þú að geyma leynilegan tákn í falinn eyðublaðsreit sem er ekki aðgengilegur þriðja aðila síðuna. Þessi aðferð verndar notendur fyrir CSRF árásum vegna þess að tölvuþrjótar sem senda beiðnina verða að giska á tákngildið. Betri fréttirnar eru þær að eftir að notandi hefur skráð sig út, verður táknið ógilt. Fyrir utan það geturðu líka innleitt CAPTCHA eða endurauðkenningarkerfi.
5. Viðkvæm gögn útsetning
Til að koma í veg fyrir útsetningu fyrir viðkvæmum gögnum er mikilvægt að hugsa um bæði tilvikin: gögnin í flutningi og gögnin í geymslu. Fyrir flutningsgögn notaðu HTTPS með réttu Secure Sockets Layer (SSL) vottorði og samþykktu enga tengingu sem er ekki HTTPS. Fyrir gögnin sem eru í geymslu, ekki geyma viðkvæm gögn ef það er ekki nauðsynlegt, dulkóða öll geymd gögn, haltu dulkóðunarlyklum þínum leyndum og dulkóðaðu afritin þín.
6. Óöruggar beinar tilvísanir í hlut
Til að vernda forritið þitt gegn óöruggum beinum tilvísunum hluta skaltu innleiða notendaheimild rétt og oft. Forðastu að afhjúpa tilvísanir hluta í vefslóðunum, staðfestu heimild hvers tilvísunarhluts og forðastu að geyma gögn innbyrðis. Ekki treysta aðeins á CGI breytur.
7. Öryggi rangstillingar
Hægt er að koma í veg fyrir brot á öryggisstillingum með því að hafa áreiðanlegt sjálfvirkt smíða- og dreifingarferli sem getur keyrt próf á uppsetningu.
8. Biluð aðgangsstýring
Hægt er að forðast bilaða aðgangsstýringu með því að samþykkja og innleiða hugmyndafræðihugbúnað sem er fyrst og fremst öryggi. Vinna með þróunaraðila til að neita sjálfgefið aðgangi að öllum tilföngum sem eru ekki fyrir almenning, lágmarka CORS notkun, slökkva á skráningum á vefþjónum, tryggja lýsigögn skráa, bilun í aðgangsstýringu og láta stjórnendur vita þegar endurteknar bilanir eiga sér stað.
Niðurstaða
Sama á hvaða stigi fyrirtæki þitt er núna, öryggi er mikilvægt fyrir hvaða vefsíðu eða vefforrit sem er á netinu. Til að draga það saman, taktu eftir eftirfarandi:
- Þrjár efstu öryggisógnirnar eru innspýting, auðkenningargallar og forskriftir á milli vefsvæða (XSS).
- Viðkvæmasti vettvangurinn er WordPress, ef þú ert að leita að mjög öruggum vettvangi skaltu fara í sérsniðna þróun. Vegna einstaka kóðans skilur það nánast engar dyr eftir fyrir algengar árásir.
- Til að ganga úr skugga um að vefsíðan þín sé ekki viðkvæm skaltu skanna og fylgjast með vefsíðunni þinni reglulega. Ef þú finnur fyrir einhverju ósamræmi skaltu grípa strax til aðgerða.
- Til að koma í veg fyrir að vefsvæðið þitt verði fyrir árás skaltu leitast við að halda forritinu þínu uppfærðu, notaðu eldvegg vefsíðuforrita (WAF) og notaðu skanni fyrir spilliforrit.