Webホスティングプロバイダーはどの程度脆弱ですか?

書かれた記事:
  • ホスティングガイド
  • 更新:9月14、2020

Webサイトでのハッキングの試みは、あなたが思っているよりもはるかに一般的です。 私たちの多くはそれらを目にしませんが、サイレント攻撃は常にネット上のどこでも進行しています。 攻撃の大部分は、Webホスティングアカウントを対象としています。

Webホスティングの脆弱性には、大きく分けてXNUMXつのカテゴリがあります。 XNUMXつ目は一般的なものですが、XNUMXつ目はより計画固有のものです。 たとえば、タイプの ウェブホスティングプラン、共有ホスティングは通常、最も脆弱であると考えられています。

Webホストの脆弱性

一般的なWebホストの脆弱性

1.ボットネット構築の試み

悪意のある俳優が構築しようとする試みでWebサーバー全体を標的にすることが知られています ボットネット。 これらの試みでは、一般的なターゲットにはWebサーバーフレームワークが含まれ、一般に公開されているエクスプロイトが含まれます。

これらの高度で集中的な取り組みにより、回復力の低いWebホスティングプロバイダーを克服できることがよくあります。 ありがたいことに、発見された脆弱性は通常、ほとんどのWebホストによってかなり迅速にパッチされます。

2. DDoS攻撃

DDoS攻撃の統計
1年第2020四半期と1年第4四半期および第2019四半期におけるDDoS攻撃の期間。1年第2020四半期には、DDoS攻撃の量と質の両方が大幅に増加しました。 攻撃の数は、前のレポート期間に対して80倍になり、1年の第2019四半期に対してXNUMX%増加しました。平均および最大持続時間(source).

分散型サービス拒否(DDoS)は脆弱性ではありませんが、その名前が示すように、一種の攻撃です。 悪意のある攻撃者は、サーバー(または特定のサービス)に膨大な量のデータを殺到させようとします。

これに対応していないWebホスティングサービスは、これらの攻撃によって麻痺する可能性があります。 より多くのリソースが消費されると、サーバー上のWebサイトは訪問者からの実際のクエリに応答できなくなります。

続きを読む: DDoS攻撃からWebサイトを保護するための専門的なオプション.

3. Webサーバーの設定ミス

基本的なWebサイトの所有者、特に共有ホスティングの所有者は、サーバーが適切に構成されているかどうかがわかりません。 サーバーの構成が適切でないと、かなりの数の問題が発生する可能性があります。

たとえば、パッチが適用されていないアプリケーションや古いアプリケーションの実行。 実行中に発生する技術的な問題にはエラー処理メカニズムがありますが、悪用されるまで欠陥は目に見えないままです。

サーバーの構成が不正確であると、サーバーがアクセス権を正しく検証できない可能性があります。 制限された機能またはURLへのリンクを非表示にするだけでは不十分です。これは、ハッカーが予想されるパラメータ、一般的な場所を推測し、ブルートフォースアクセスを実行できるためです。

この例として、攻撃者は保護されていないJPEGと同じくらい小さくシンプルなものを利用して、サーバーへの管理者アクセスを取得できます。 それらは、システム内のオブジェクトを指す単純なパラメーターを変更してから、それらを変更します。

共有ホスティングの脆弱性

共有ホスティング環境では、誰もが同じボートに座っていると言えます。 各サーバーには数百人のユーザーがいる可能性がありますが、XNUMX回の攻撃でいわば船全体を沈める可能性があります。

「XNUMXつすべて(Webホスティングサービスプロバイダー)には、ユーザーアカウントの乗っ取りを可能にする深刻な脆弱性が少なくともXNUMXつありました。」 パウロス・イベロ、評判の高いバグハンターとして、 TechCrunchの、彼はそれを公開する前に彼の発見を共有しました。

Yibeloが示したように、この攻撃は複雑な攻撃やファイアウォールの破壊を介したものではありません。 それは単にサイトのホストの正面玄関を通過するだけであり、平均的なハッカーの努力はほとんど必要ありません。

4.非サイロ環境

共有ホスティングアカウントは、広範なデータプールのようなものです。 各アカウントにはいくつかのリソースが割り当てられますが、一般に、それらはすべて単一の環境内に存在します。 すべてのファイル、コンテンツ、データは実際には同じスペースにあり、ファイル構造によって単純に分割されています。

このため、共有ホスティングプランのサイトは本質的にリンクされています。 ハッカーがメインディレクトリにアクセスした場合、すべてのサイトが危険にさらされる可能性があります。 XNUMXつのアカウントが侵害されたとしても、リソースを浪費する攻撃は大きな影響を及ぼします。

5.ソフトウェアの脆弱性

すべての種類のホスティングアカウントにソフトウェアの脆弱性が存在しますが、共有サーバーは通常、はるかに大きなリスクにさらされています。 サーバーあたりのアカウント数が多いため、さまざまなアプリケーションが多数存在している可能性があります。これらのアプリケーションはすべて定期的に更新する必要があります。

6 マルウェア

ソフトウェアの脆弱性と同様に、マルウェアは共有ホスティングサーバーに深刻な影響を与える可能性があります。 これらの悪意のあるプログラムは、非常に多くの方法で共有ホスティングアカウントに侵入する可能性があります。

ウイルス、トロイの木馬、ワーム、スパイウェアには非常に多くの種類があり、何でも可能です。 共有ホスティングの性質上、あなたの隣人がそれを持っている場合、あなたはおそらく最終的にはそれもキャッチするでしょう。

推奨事項:無料のマルウェアスキャンを備えたWebホスト– A2ホスティング, Hostinger, キンスタ.

7.共有IP

共有ホスティングアカウントもIPアドレスを共有します。 通常、共有ホスティングアカウントの複数のサイトは、単一のIPアドレスで識別されます。 これにより、多くの潜在的な問題が発生します。

たとえば、いずれかのWebサイトの動作が悪い場合(スパムの送信など)、IPを共有する他のすべてのサイトがブラックリストに登録される可能性があります。 ブラックリストに登録されたIP CNAを削除することは非常に困難です。

続きを読む: 安全なWebホスティングプロバイダーを選択するためのヒント.

VPS /クラウドホスティングの脆弱性

VPSまたはクラウドの性質は、それらが一般的によりも安全であることを意味します 安価な共有ホスティングサーバー.

ただし、より高度な相互接続サーバーへのアクセスの可能性は、ハッカーの給料日もより有利であることを意味します。 そのため、より高度な侵入方法が予想されます。

8.クロスサイトセキュリティ偽造

またとして知られています クロスサイトリクエストフォージェリ(CSRF)、この欠陥は通常、不十分なセキュリティで保護されたインフラストラクチャに基づくWebサイトに影響を与えていることが観察されています。 時々、ユーザーは特定のプラットフォームで資格情報を保存しますが、対応するWebサイトに強力なインフラストラクチャがない場合、これは危険な場合があります。

これは、定期的にアクセスされるWebホスティングアカウントでは特に一般的です。 これらのシナリオでは、アクセスは反復的であるため、資格情報は通常保存されます。 偽造により、ユーザーはそもそも計画していなかったアクションを実行することが奨励されます。

これらの技術は最近概説されています アカウント乗っ取りの潜在的な弱点 Bluehost、Dreamhost、HostGator、FatCow、iPageなどの人気のあるさまざまなホスティングプラットフォーム。

このことを考慮、

この例は、典型的な金融詐欺のシナリオとして実証できます。

攻撃者は、有効なURLにアクセスするCSRFに脆弱な人物を標的にすることができます。 サイトで自動的に実行されるマスクされたコードスニペットは、ターゲットの銀行に自動的に資金を転送するように指示できます。

コードスニペットは、おそらく次のようなコードを使用して、画像の背後に埋め込むことができます。

<img src = http://example.com/app/transferFunds?amount = 1500&destinationAccount = 4673243243 width = 0 height = 0 />

*注:これは単なる例であり、コードは機能しません。

9. SQLインジェクション

どのWebサイトまたはオンラインプラットフォームでも、最も重要な構成要素はデータです。 予測、分析、その他さまざまな目的で使用されます。 次に、クレジットカードのピンなどの機密の財務情報が悪用されると、大きな問題が発生する可能性があります。

データベースサーバーとの間で送受信されるデータは、信頼性の高いインフラストラクチャを通過する必要があります。 ハッカーはしようとします SQLスクリプトを送信する サーバーに送信して、顧客情報などのデータを抽出できるようにします。 つまり、サーバーに到達する前にすべてのクエリをスキャンする必要があります。

安全なフィルタリングシステムが導入されていないと、重要な顧客データが失われる可能性があります。 ただし、このような実装では、レコードの抽出にかかる時間が長くなることに注意してください。

10. XSS欠陥の悪用

ハッカーは通常、高度なコード能力を備えており、フロントエンドスクリプトの準備は問題になりません。 JavaScriptまたは他のプログラミング言語を使用してコードを挿入できます。 この方法で実行される攻撃は、通常、ユーザーの資格情報を攻撃します。

有害なXSSベースのスクリプト 機密情報にアクセスするか、ハッカーが標的とするリンクに訪問者をリダイレクトすることができます。 場合によっては、企業はこのような手法を使用して不正な事業活動を行うこともあります。

11.安全でない暗号化

暗号化アルゴリズム 通常は乱数ジェネレータを使用しますが、サーバーはほとんどユーザーの操作なしで実行されます。 これにより、ランダム化のソースが低下する可能性があります。 結果は容易に推測できる数値になる可能性があります。これは暗号化の弱点です。

12.仮想マシンのエスケープ

複数の仮想マシンが物理サーバーのハイパーバイザーの上で実行されます。 攻撃者は、 ハイパーバイザーの脆弱性 リモートで。 まれではありますが、このような状況では、攻撃者は他の仮想マシンにもアクセスできる可能性があります。

13.サプライチェーンの弱点

リソースの配分は、 クラウドホスティング、それはまた、弱点のポイントになる可能性があります。 「あなたはあなたの最も弱いリンクと同じくらい強い」という言葉を聞いたことがあるなら、それはクラウドに完全に当てはまります。

高度な攻撃で、主にクラウドサービスプロバイダーに依存します。 これはクラウドに固有のものではなく、他の場所でも発生する可能性があります。 ライブアップデートサーバーからのダウンロードは、悪意のある機能とともに追加される可能性があります。 このソフトウェアをダウンロードした多くのユーザーを想像してみてください。 彼らのデバイスはこの悪意のあるプログラムに感染します。

14.安全でないAPI

アプリケーションユーザーインターフェイス(API)は、クラウドコンピューティングプロセスを合理化するために使用されます。 適切に保護されていない場合、ハッカーがクラウドのリソースを悪用するためのオープンチャネルを残すことができます。

再利用可能なコンポーネントが非常に人気があるため、安全でないAPIの使用から十分に保護することは困難です。 ハッカーは侵入を試みるために、基本的なアクセス試行を何度も繰り返すことができます。必要なのは、ロックされていないXNUMXつのドアを見つけることだけです。

詳細はこちら: 最高のVPSホスティングプロバイダ / 最高のクラウドホスティングプロバイダー


最終的な考え

2020年前半に検出されたWebサイト上のさまざまなタイプのサイバー攻撃。
2020年前半に検出されたWebサイト上のさまざまなタイプのサイバー攻撃(source).

私たちの大多数が考えるとき Webサイトのセキュリティ、それは通常、私たち自身のウェブサイトの弱点を克服するという観点からです。 残念なことに、ご覧のとおり、他の攻撃から保護することも同様にWebホスティングプロバイダーの責任です。

サービスプロバイダーに自分自身を保護するように説得するためにできることは多くありませんが、この認識はあなたを助けることができます より良いウェブホスティングの選択をする。 たとえば、Webホストがセキュリティに重点を置いていることを確認することで、サーバーが独自のサーバーをどの程度安全に保持しているかをよりよく理解できます。

一部のWebホストは、非常に初歩的なセキュリティ保護手段を実装しています。可能であれば、それらを回避してください。 他の人は注目に値する仕事をするかもしれません サイバーセキュリティー ブランドまたは積極的な社内セキュリティツールとソリューションを開発します。

Webホスティングの価格は、割り当てられたリソースを超えています。そのため、オプションのバランスをうまくとってください。

ジェリーローについて

WebHostingSecretRevealed.net(WHSR)の創設者 - 100,000のユーザによって信頼され、使用されているホスティングレビュー。 15年以上のWebホスティング、アフィリエイトマーケティング、およびSEOの経験。 ProBlogger.net、Business.com、SocialMediaToday.comなどへの貢献者。