Πόσο ευάλωτο είναι ο Πάροχος Web Hosting;

Άρθρο που γράφτηκε από:
  • Οδηγοί Φιλοξενίας
  • Ενημερώθηκε: Sep 14, 2020

Οι απόπειρες εισβολής σε ιστότοπους είναι πολύ πιο συχνές από ό, τι νομίζετε. Παρόλο που πολλοί από εμάς δεν τους βλέπουν, οι σιωπηλές επιθέσεις γίνονται πάντα παντού στο διαδίκτυο. Ένα καλό μέρος των επιθέσεων στοχεύουν σε λογαριασμούς φιλοξενίας ιστοσελίδων.

Υπάρχουν δύο ευρείες κατηγορίες ευπάθειας φιλοξενίας ιστοσελίδων. Το πρώτο είναι γενικό, ενώ το δεύτερο είναι πιο συγκεκριμένο σχέδιο. Για παράδειγμα, μεταξύ των τύπων σχέδια φιλοξενίας ιστοσελίδων, η κοινή φιλοξενία θεωρείται συνήθως η πιο ευάλωτη.

Ευπάθειες φιλοξενίας ιστού

Γενικές ευπάθειες του Host Web

1. Προσπάθειες δημιουργίας Botnet

Οι κακόβουλοι ηθοποιοί είναι γνωστό ότι στοχεύουν ολόκληρους διακομιστές ιστού στις προσπάθειές τους να δημιουργήσουν botnets. Σε αυτές τις προσπάθειες, οι κοινοί στόχοι περιλαμβάνουν πλαίσια διακομιστή ιστού και γενικά περιλαμβάνουν διαθέσιμα στο κοινό εκμεταλλεύσεις.

Αυτές οι προηγμένες και συγκεντρωμένες προσπάθειες μπορούν συχνά να ξεπεράσουν τους λιγότερο ανθεκτικούς παρόχους φιλοξενίας ιστοσελίδων. Ευτυχώς, μόλις ανακαλυφθεί, οι ευπάθειες συνήθως επιδιορθώνονται αρκετά γρήγορα από τους περισσότερους οικοδεσπότες Ιστού.

2. Επιθέσεις DDoS

Το DDoS επιτίθεται στα στατιστικά
Διάρκεια των επιθέσεων DDoS το Q1 2020 και Q1 και Q4 2019. Το Q1 2020, σημειώθηκε σημαντική αύξηση τόσο στην ποσότητα όσο και στην ποιότητα των επιθέσεων DDoS. Ο αριθμός των επιθέσεων διπλασιάστηκε έναντι της προηγούμενης περιόδου αναφοράς και κατά 80% έναντι του πρώτου τριμήνου του 1. Οι επιθέσεις έγιναν επίσης μεγαλύτερες με σαφή αύξηση τόσο στη μέση όσο και στη μέγιστη διάρκεια (πηγή).

Η κατανεμημένη άρνηση υπηρεσίας (DDoS) δεν είναι μια ευπάθεια, αλλά όπως υποδηλώνει το όνομα, είναι μια μορφή επίθεσης. Κακόβουλοι ηθοποιοί προσπαθούν να πλημμυρίσουν έναν διακομιστή (ή μια συγκεκριμένη υπηρεσία) με μια συντριπτική ποσότητα δεδομένων.

Οι υπηρεσίες φιλοξενίας ιστοσελίδων που δεν είναι προετοιμασμένες για αυτό μπορεί να παραλυθούν από αυτές τις επιθέσεις. Καθώς καταναλώνονται περισσότεροι πόροι, οι ιστότοποι στο διακομιστή δεν μπορούν να ανταποκριθούν σε πραγματικά ερωτήματα των επισκεπτών.

Διαβάστε περισσότερα: Επαγγελματικές επιλογές για την προστασία του ιστότοπού σας από επιθέσεις DDoS.

3. Λανθασμένες διαμορφώσεις διακομιστή Web

Οι βασικοί κάτοχοι ιστότοπων, ειδικά εκείνοι που χρησιμοποιούν κοινόχρηστη φιλοξενία, συχνά δεν θα έχουν ιδέα εάν οι διακομιστές τους έχουν ρυθμιστεί σωστά ή όχι. Ένας σημαντικός αριθμός προβλημάτων μπορεί να προκύψουν από διακομιστές με κακή διαμόρφωση.

Για παράδειγμα, η εκτέλεση μη ενημερωμένων ή ξεπερασμένων εφαρμογών. Παρόλο που υπάρχουν μηχανισμοί χειρισμού σφαλμάτων για τεχνικά ζητήματα που προκύπτουν κατά την εκτέλεση, τα ελαττώματα μπορούν να παραμείνουν αόρατα μέχρι να αξιοποιηθούν.

Η ανακριβής διαμόρφωση στο διακομιστή, μπορεί να προκαλέσει στο διακομιστή να μην επαληθεύσει σωστά τα δικαιώματα πρόσβασης. Η απόκρυψη περιορισμένων λειτουργιών ή συνδέσμων μόνο για τη διεύθυνση URL δεν επαρκεί, καθώς οι εισβολείς μπορούν να μαντέψουν τις πιθανές παραμέτρους, τις τυπικές τοποθεσίες και, στη συνέχεια, να κάνουν μια βίαιη πρόσβαση.

Για παράδειγμα, ένας εισβολέας μπορεί να χρησιμοποιήσει κάτι τόσο μικρό και απλό όσο ένα μη προστατευμένο JPEG για να αποκτήσει πρόσβαση διαχειριστή στον διακομιστή. Τροποποιούν μια απλή παράμετρο που οδηγεί σε ένα αντικείμενο στο σύστημα και μετά βρίσκονται.

Κοινόχρηστες ευπάθειες φιλοξενίας

Σε ένα κοινόχρηστο περιβάλλον φιλοξενίας, μπορεί να ειπωθεί ότι όλοι κάθονται στο ίδιο σκάφος. Παρόλο που κάθε διακομιστής έχει δυνητικά εκατοντάδες χρήστες, μία επίθεση μπορεί να βυθίσει ολόκληρο το πλοίο, για να το πούμε.

"Και οι πέντε (πάροχοι υπηρεσιών φιλοξενίας ιστοσελίδων) είχαν τουλάχιστον μία σοβαρή ευπάθεια που επέτρεπε την παραβίαση λογαριασμού χρήστη" Paulos Yibelo, ένας γνωστός και σεβαστός κυνηγός σφαλμάτων, είπε TechCrunch, με το οποίο μοιράστηκε τα ευρήματά του πριν δημοσιοποιηθεί.

Όπως έδειξε ο Yibelo - Η επίθεση δεν είναι μέσω περίπλοκης επίθεσης ή αποτυχίας τείχους προστασίας. Είναι απλώς μέσω της μπροστινής πόρτας του κεντρικού υπολογιστή του ιστότοπου, που απαιτεί λίγη προσπάθεια για τον μέσο χάκερ.

4. Περιβάλλοντα χωρίς σίγαση

Οι κοινόχρηστοι λογαριασμοί φιλοξενίας είναι σαν ευρεία ομάδα δεδομένων. Αν και σε κάθε λογαριασμό διατίθενται ορισμένοι πόροι, γενικά όλοι βρίσκονται σε ένα ενιαίο περιβάλλον. Όλα τα αρχεία, το περιεχόμενο και τα δεδομένα βρίσκονται στην ίδια θέση, διαιρούμενα απλώς με τη δομή των αρχείων.

Εξαιτίας αυτού, οι ιστότοποι σε κοινόχρηστα προγράμματα φιλοξενίας συνδέονται εγγενώς. Εάν ένας χάκερ επρόκειτο να αποκτήσει πρόσβαση στον κύριο κατάλογο, όλοι οι ιστότοποι ενδέχεται να διατρέχουν κίνδυνο. Ακόμα κι αν ένας λογαριασμός έχει παραβιαστεί, οι επιθέσεις που εξαντλούν πόρους θα έχουν σημαντικό αντίκτυπο.

5. Ευπάθειες λογισμικού

Παρόλο που υπάρχουν ευπάθειες λογισμικού για όλους τους τύπους λογαριασμών φιλοξενίας, οι κοινόχρηστοι διακομιστές συνήθως διατρέχουν πολύ μεγαλύτερο κίνδυνο. Λόγω του μεγάλου αριθμού λογαριασμών ανά διακομιστή, ενδέχεται να υπάρχει ένας σημαντικός αριθμός διαφορετικών εφαρμογών - όλες απαιτούν τακτικές ενημερώσεις.

6. Κακόβουλο λογισμικό

Με παρόμοιο τρόπο με τις ευπάθειες λογισμικού, το κακόβουλο λογισμικό μπορεί να έχει βαθύ αντίκτυπο σε έναν κοινόχρηστο διακομιστή φιλοξενίας. Αυτά τα κακόβουλα προγράμματα μπορούν να βρουν το δρόμο τους σε κοινόχρηστους λογαριασμούς φιλοξενίας με πολλούς τρόπους.

Υπάρχουν τόσοι πολλοί τύποι ιών, trojans, worms και spyware που όλα είναι δυνατά. Λόγω της φύσης της κοινής φιλοξενίας, εάν το έχει ο γείτονάς σας - πιθανότατα θα το πιάσετε και τελικά.

Προτάσεις: Φιλοξενία Ιστού με δωρεάν σάρωση κακόβουλου λογισμικού - A2 Hosting, Hostinger, Kinsta.

7. Κοινή χρήση IP

Οι κοινόχρηστοι λογαριασμοί φιλοξενίας μοιράζονται επίσης διευθύνσεις IP. Είναι συνηθισμένο να αναγνωρίζονται πολλοί ιστότοποι σε κοινόχρηστους λογαριασμούς φιλοξενίας με μία μόνο διεύθυνση IP. Αυτό ανοίγει ένα πλήθος πιθανών προβλημάτων.

Για παράδειγμα, εάν ένας από τους ιστότοπους συμπεριφέρεται άσχημα (όπως η αποστολή ανεπιθύμητων μηνυμάτων κ.λπ.) είναι πιθανό όλοι οι άλλοι ιστότοποι που μοιράζονται την IP να καταλήγουν στη μαύρη λίστα. Η κατάργηση μιας μαύρης λίστας IP cna είναι εξαιρετικά δύσκολη.

Διαβάστε περισσότερα: Συμβουλές για την επιλογή ενός ασφαλούς παρόχου φιλοξενίας ιστοσελίδων.

Ευπάθειες VPS / Cloud Hosting

Η φύση του VPS ή του Cloud σημαίνει ότι είναι γενικά πιο ασφαλείς από φτηνοί κοινόχρηστοι διακομιστές φιλοξενίας.

Ωστόσο, η δυνατότητα πρόσβασης σε πιο προηγμένους διασυνδεδεμένους διακομιστές σημαίνει ότι η πληρωμή για τους χάκερ είναι επίσης πιο επικερδής. Ως εκ τούτου, αναμένονται πιο προηγμένες μέθοδοι εισβολής.

8. Διαδικτυακή πλαστογράφηση ασφαλείας

Γνωστός και ως πλαστογράφηση αιτήσεων μεταξύ ιστότοπων (CSRF), αυτό το ελάττωμα παρατηρείται συνήθως σε ιστοτόπους που βασίζονται σε υποδομή με ελάχιστη ασφάλεια. Κατά καιρούς, οι χρήστες αποθηκεύουν τα διαπιστευτήριά τους σε ορισμένες πλατφόρμες και αυτό μπορεί να είναι επικίνδυνο εάν ο αντίστοιχος ιστότοπος δεν διαθέτει ισχυρή υποδομή.

Αυτό είναι ιδιαίτερα συνηθισμένο στους λογαριασμούς φιλοξενίας ιστοσελίδων στους οποίους γίνεται τακτική πρόσβαση. Σε αυτά τα σενάρια, η πρόσβαση είναι επαναλαμβανόμενη, έτσι τα διαπιστευτήρια αποθηκεύονται συνήθως. Μέσω της πλαστογράφησης, οι χρήστες ενθαρρύνονται να εκτελέσουν μια ενέργεια που δεν σχεδίαζαν αρχικά.

Αυτές οι τεχνικές έχουν περιγραφεί τα τελευταία χρόνια πιθανή αδυναμία στις εξαγορές λογαριασμών σε διάφορες δημοφιλείς πλατφόρμες φιλοξενίας, συμπεριλαμβανομένων των Bluehost, Dreamhost, HostGator, FatCow και iPage.

Σκεφτείτε αυτό,

Ένα παράδειγμα αυτού μπορεί να αποδειχθεί ως ένα τυπικό σενάριο οικονομικής απάτης.

Οι επιτιθέμενοι μπορούν να στοχεύσουν άτομα ευάλωτα στο CSRF που επισκέπτονται μια έγκυρη διεύθυνση URL. Ένα απόσπασμα απόκρυψης κώδικα που εκτελείται αυτόματα στον ιστότοπο μπορεί να δώσει εντολή στην τράπεζα του στόχου να μεταφέρει χρήματα αυτόματα.

Το απόσπασμα κώδικα μπορεί να είναι θαμμένο πίσω από μια εικόνα ίσως, χρησιμοποιώντας κωδικούς όπως οι εξής:

<img src = http: //example.com/app/transferFunds? number = 1500 & destinationAccount = 4673243243 πλάτος = 0 ύψος = 0 />

*Σημείωση: Αυτό είναι απλώς ένα παράδειγμα και ο κώδικας δεν θα λειτουργήσει.

9. SQL Injections

Για οποιονδήποτε ιστότοπο ή διαδικτυακή πλατφόρμα, το πιο σημαντικό συστατικό στοιχείο είναι τα δεδομένα. Χρησιμοποιείται για προβολές, ανάλυση και διάφορους άλλους σκοπούς. Δεύτερον, εάν εμπιστευτικές οικονομικές πληροφορίες όπως καρφίτσες πιστωτικών καρτών φτάσουν σε λάθος χέρια, μπορεί να δημιουργήσει τεράστια προβλήματα.

Τα δεδομένα που αποστέλλονται από και προς έναν διακομιστή βάσης δεδομένων πρέπει να περνούν μέσω αξιόπιστης υποδομής. Οι χάκερ θα προσπαθήσουν αποστολή σεναρίων SQL στους διακομιστές, ώστε να μπορούν να εξαγάγουν δεδομένα, όπως πληροφορίες πελατών. Αυτό σημαίνει ότι πρέπει να σαρώσετε όλα τα ερωτήματα πριν φτάσουν στο διακομιστή.

Εάν δεν υπάρχει ασφαλές σύστημα φιλτραρίσματος, μπορεί να χαθούν σημαντικά δεδομένα πελατών. Θα πρέπει να σημειωθεί ότι μια τέτοια εφαρμογή θα αυξήσει το χρόνο που απαιτείται για την εξαγωγή εγγραφών.

10. Εκμετάλλευση ελαττωμάτων XSS

Οι χάκερ είναι συνήθως εξαιρετικά ικανοί σε κώδικα και η προετοιμασία σεναρίων διεπαφής δεν αποτελεί πρόβλημα. Javascript ή άλλες γλώσσες προγραμματισμού μπορούν να χρησιμοποιηθούν για την εισαγωγή κώδικα. Οι επιθέσεις που πραγματοποιούνται με αυτόν τον τρόπο συνήθως επιτίθενται στα διαπιστευτήρια χρήστη.

Επιβλαβή σενάρια που βασίζονται σε XSS μπορεί είτε να αποκτήσει πρόσβαση σε εμπιστευτικές πληροφορίες είτε να ανακατευθύνει τους επισκέπτες σε συνδέσμους που στοχεύει ο εισβολέας. Σε ορισμένες περιπτώσεις, οι εταιρείες μπορούν επίσης να χρησιμοποιήσουν τεχνικές όπως αυτή για να πραγματοποιήσουν δόλιες επιχειρηματικές δραστηριότητες.

11. Ασφαλής κρυπτογραφία

Αλγόριθμοι κρυπτογραφίας συνήθως χρησιμοποιούν γεννήτριες τυχαίων αριθμών, αλλά οι διακομιστές εκτελούνται ως επί το πλείστον χωρίς πολλή αλληλεπίδραση χρήστη. Αυτό θα μπορούσε να οδηγήσει στην πιθανότητα χαμηλότερων πηγών τυχαιοποίησης. Το αποτέλεσμα μπορεί να είναι εύκολα προβλέψιμοι αριθμοί - ένα σημείο αδυναμίας για κρυπτογράφηση.

12. Διαφυγή εικονικής μηχανής

Πολλές εικονικές μηχανές εκτελούνται στην κορυφή των εποπτών σε φυσικούς διακομιστές. Είναι πιθανό ένας εισβολέας να μπορεί να εκμεταλλευτεί ένα ευπάθεια του υπεύθυνου ελάχιστα. Αν και σπάνια, σε αυτές τις περιπτώσεις ο εισβολέας μπορεί να έχει πρόσβαση και σε άλλες εικονικές μηχανές.

13. Αδυναμία εφοδιαστικής αλυσίδας

Ενώ η κατανομή πόρων είναι ένα σημαντικό πλεονέκτημα του σύννεφο φιλοξενία, μπορεί επίσης να είναι ένα σημείο αδυναμίας. Εάν έχετε ακούσει τον όρο «είστε τόσο ισχυροί όσο ο πιο αδύναμος σύνδεσμος», αυτός ισχύει τέλεια για το Cloud.

Εξελιγμένη επίθεση και βασίζεται κυρίως στους παρόχους υπηρεσιών cloud. Αυτό δεν αφορά ειδικά το Cloud και μπορεί να συμβεί οπουδήποτε αλλού. Οι λήψεις από διακομιστές ζωντανών ενημερώσεων μπορούν να προστεθούν με κακόβουλη λειτουργικότητα. Οπότε, φανταστείτε τους πολλούς χρήστες που έχουν κατεβάσει αυτό το λογισμικό. Οι συσκευές τους θα μολυνθούν από αυτό το κακόβουλο πρόγραμμα.

14. Μη ασφαλή API

Οι εφαρμογές Interfaces χρήστη (API) χρησιμοποιούνται για να βοηθήσουν στον εξορθολογισμό των διαδικασιών υπολογιστικού νέφους. Εάν δεν ασφαλιστεί σωστά, μπορούν να αφήσουν ένα ανοιχτό κανάλι για χάκερ να εκμεταλλευτούν τους πόρους του Cloud.

Με επαναχρησιμοποιήσιμα στοιχεία τόσο δημοφιλή, μπορεί να είναι δύσκολο να προστατευθεί επαρκώς από τη χρήση ανασφαλών API. Για να επιχειρήσει μια εισβολή, ένας χάκερ μπορεί απλώς να δοκιμάσει βασικές προσπάθειες πρόσβασης ξανά και ξανά - το μόνο που χρειάζονται είναι να βρουν μια μόνο ξεκλείδωτη πόρτα.

Βρες περισσότερα: Οι καλύτεροι προμηθευτές φιλοξενίας VPS / Καλύτεροι πάροχοι φιλοξενίας cloud


Τελικές Σκέψεις

Διαφορετικοί τύποι κυβερνοεπιθέσεων σε ιστότοπους που εντοπίστηκαν κατά το πρώτο εξάμηνο του 2020.
Διαφορετικοί τύποι διαδικτυακών επιθέσεων που εντοπίστηκαν κατά το πρώτο εξάμηνο του 2020 (πηγή).

Όταν σκέφτονται οι περισσότεροι από εμάς ιστοσελίδα της ασφάλειας, είναι συνήθως από τη σκοπιά να ξεπεράσουμε τις αδυναμίες των δικών μας ιστότοπων. Δυστυχώς, όπως μπορείτε να δείτε, είναι εξίσου ευθύνη των παρόχων φιλοξενίας ιστοσελίδων να προστατεύουν και από άλλες επιθέσεις.

Αν και δεν μπορείτε να κάνετε πολλά για να πείσετε έναν πάροχο υπηρεσιών να προστατευθεί, αυτή η ευαισθητοποίηση μπορεί να σας βοηθήσει Κάντε καλύτερες επιλογές φιλοξενίας ιστοσελίδων. Για παράδειγμα, παρατηρώντας την έμφαση που δίνει ένας οικοδεσπότης Ιστού στην ασφάλεια, μπορείτε να πάρετε μια καλύτερη ιδέα για το πόσο ασφαλείς διατηρούν τους δικούς τους διακομιστές.

Ορισμένοι οικοδεσπότες Ιστού εφαρμόζουν πολύ στοιχειώδη μέτρα ασφαλείας - αν είναι δυνατόν προσπαθήστε να τα αποφύγετε. Άλλοι μπορεί να φτάσουν μέχρι να δουλέψουν με αξιοσημείωτα κυβερνασφάλεια μάρκες ή ακόμη και να αναπτύξουν επιθετικά εργαλεία και λύσεις εσωτερικής ασφάλειας.

Η τιμή της φιλοξενίας ιστού υπερβαίνει τους πόρους που σας έχουν διατεθεί - γι 'αυτό ισορροπήστε τις επιλογές σας με σύνεση.

Σχετικά με τον Jerry Low

Ιδρυτής του WebHostingSecretRevealed.net (WHSR) - ένα σχόλιο φιλοξενίας που εμπιστεύτηκε και χρησιμοποιήθηκε από τους χρήστες του 100,000. Περισσότερο από 15 χρόνια εμπειρίας στο web hosting, μάρκετινγκ θυγατρικών, και SEO. Συνεργάτης στο ProBlogger.net, Business.com, SocialMediaToday.com και πολλά άλλα.