Сіздің веб-хостинг провайдеріңіз қаншалықты осал?

Мақаланы жазған: Джерри Лоу
  • Хостинг гидтері
  • Жаңартылды: Nov 05, 2020

Веб-сайттарды бұзу әрекеттері сіз ойлағаннан әлдеқайда жиі кездеседі.

Біздің көпшілігіміз оларды көрмесек те, желіде әрдайым үнсіз шабуылдар жасалады. Шабуылдардың жақсы бөлігі веб-хостинг шоттарына бағытталған.

Веб-хостингтің осалдықтарының екі кең санаты бар. Біріншісі - жалпы, ал екіншісі - жоспарлы. Мысалы, веб-хостинг жоспарларының түрлерінің арасында ортақ хостинг әдетте осал болып саналады.

Веб-хосттың осалдықтары

Жалпы веб-хосттың осалдықтары

1. Ботлет құру әрекеттері

Зиянды актерлер құру кезінде бүкіл веб-серверлерді бағыттайтыны белгілі болды Ботнеттер. Бұл әрекеттерде жалпы мақсатқа веб-сервердің құрылымы кіреді және жалпыға қол жетімді эксплуатацияны қамтиды. 

Бұл жетілдірілген және шоғырланған күш-жігер веб-хостингтің төзімділігі төмен веб-провайдерін жеңе алады. Бақытымызға орай, ашылғаннан кейін, веб-хосттардың көпшілігінде осалдықтар тез арада түзетіледі.

2. DDoS шабуылдары

DDoS статистикаға шабуыл жасайды
DDoS шабуылдарының ұзақтығы 1 жылдың бірінші тоқсанында және 2020 жылдың бірінші тоқсанында және төртінші тоқсанында. 1 жылдың бірінші тоқсанында DDoS шабуылдарының саны мен сапасының айтарлықтай өсуі байқалды. Шабуылдардың саны алдыңғы есепті кезеңмен салыстырғанда екі есеге, 4 жылдың бірінші тоқсанына қарағанда 2019% -ға өсті. Шабуылдар орташа да, максималды ұзақтықтың да айқын өсуімен ұзарды (қайнар көз). 

Қызметті таратудан бас тарту (DDoS) осалдық емес, бірақ аты айтып тұрғандай, бұл шабуыл түрі. Зиянды актерлер серверді (немесе белгілі бір қызметті) көптеген мәліметтермен толтыруға тырысады.

Бұған дайын емес веб-хостинг қызметтері осы шабуылдармен паралич болуы мүмкін. Ресурстар көбірек жұмсалатындықтан, сервердегі веб-сайттар келушілердің нақты сұрақтарына жауап бере алмайды. 

Ары қарай оқу: Веб-сайтыңызды DDoS шабуылдарынан қорғаудың кәсіби нұсқалары.

3. Веб-сервердегі конфигурациялар

Веб-сайттардың негізгі иелері, әсіресе ортақ хостингтегі адамдар, олардың серверлері дұрыс конфигурацияланған-жасалмағанын жиі біле бермейді. Мәселелердің айтарлықтай саны нашар конфигурацияланған серверлерден туындауы мүмкін. 

Мысалы, жіберілмеген немесе ескірген қосымшалардың іске қосылуы. Орындау кезінде туындайтын техникалық мәселелерге қатысты қателіктерді жою механизмдері болғанымен, кемшіліктер пайдаланылғанға дейін көрінбеуі мүмкін.

Сервердегі дұрыс емес конфигурация сервердің қол жеткізу құқығын дұрыс тексермеуіне әкелуі мүмкін. Шектелген функцияларды немесе URL сілтемелерін жасырудың өзі жеткіліксіз, өйткені хакерлер ықтимал параметрлерді, типтік орындарды болжап, содан кейін қатал түрде қол жеткізе алады.

Бұған мысал ретінде шабуылдаушы серверге әкімшіге кіру үшін қорғалмаған JPEG сияқты кішігірім және қарапайым нәрсені қолдана алады. Олар жүйеде объектіні көрсететін, содан кейін олар болатын қарапайым параметрді өзгертеді.

Сондай-ақ оқыңыз -

Ортақ хостингтің осалдықтары

Ортақ хостинг жағдайында барлығы бірдей қайықта отыр деп айтуға болады. Әрбір сервердің жүздеген қолданушылары бола тұра, бір шабуыл бүкіл кемені батып кетуі мүмкін.

«Бесеуінде де (веб-хостинг қызметтерін жеткізушілерде) пайдаланушының тіркелгісін ұрлауға мүмкіндік беретін кем дегенде бір маңызды осалдық болды» Паулос Йибело, танымал және құрметті қателік аңшысы айтты TechCrunch, онымен ол қоғамға шығар алдында өзінің нәтижелерімен бөлісті.

Йибело көрсеткендей - шабуыл кез-келген шабуыл немесе бұзылған брандмауэр арқылы жасалмайды. Бұл жай сайт иесінің кіреберіс есігі арқылы, қарапайым хакерге аз күш жұмсауды қажет етеді.

4. Тынышталмаған орталар

Ортақ хостинг есептік жазбалары кең бассейндер сияқты. Әрбір есептік жазбаға бірнеше ресурстар бөлінгенімен, олардың барлығы бір ортада орналасқан. Барлық файлдар, мазмұн мен мәліметтер бір кеңістікте жай орналасады, жай файл құрылымына бөлінеді.

Осыған байланысты, хостинг жоспарларындағы сайттар өзара байланысты. Егер хакер негізгі каталогқа кіре алса, барлық сайттарға қауіп төнуі мүмкін. Тіпті бір есептік жазба бұзылса да, ресурстарды кетіретін шабуылдар айтарлықтай әсер етеді.

5. Бағдарламалық жасақтаманың осалдықтары

Бағдарламалық жасақтаманың осалдығы хостингтік есептік жазбалардың барлық түрлері үшін болғанымен, ортақ серверлер әдетте үлкен тәуекелге ұшырайды. Бір сервердегі есептік жазбалардың көптігіне байланысты әртүрлі қосымшалардың саны айтарлықтай көп болуы мүмкін - олардың барлығы үнемі жаңартуды қажет етеді.

6. Зиянды бағдарлама 

Бағдарламалық жасақтаманың осалдығына ұқсас, зиянды бағдарлама ортақ хостинг серверіне қатты әсер етуі мүмкін. Бұл зиянды бағдарламалар көптеген жолдармен хостингтік шоттарға жол таба алады.

Вирустар, трояндар, құрттар және тыңшылық бағдарламалар өте көп, сондықтан бәрі мүмкін. Бірлескен хостингтің сипатына байланысты, егер сіздің көршіңізде болса - сіз оны, ақыр соңында, ұстап алуыңыз мүмкін.

Ұсыныстар: зиянды бағдарламаны ақысыз сканерлейтін веб-хост - A2 хостингHostingerКинста.

7. Ортақ IP

Ортақ хостинг шоттары IP мекен-жайларын да бөліседі. Ортақ хостинг шоттарындағы бірнеше сайттарды бір IP-мекен-жай бойынша анықтау әдеттегідей. Бұл мүмкін көптеген мәселелерді ашады.

Мысалы, веб-сайттардың біреуі өзін-өзі нашар ұстаса (мысалы, спам жіберу және т.б.), IP-мен бөлісетін барлық сайттар қара тізімге еніп кетуі мүмкін. Қара тізімге енгізілген IP-ді алып тастау өте қиын. 

Ары қарай оқу: Қауіпсіз веб-хостинг провайдерін таңдау бойынша кеңестер.

VPS / Cloud Hosting осалдықтары

VPS немесе Cloud табиғаты олардан гөрі қауіпсізірек екенін білдіреді арзан хостинг серверлері.

Алайда, бір-бірімен байланысқан неғұрлым жетілдірілген серверлерге қол жетімділік әлеуеті хакерлер үшін жалақы төлеу күнінің де тиімді екенін білдіреді. Осылайша, енудің жетілдірілген әдістерін күтуге болады.

8. Тораптар арасындағы қауіпсіздікті қолдан жасау

Сондай-ақ, белгілі сайтқа хирургиялық жолмен сұрау (CSRF), бұл ақаулық әдетте нашар қорғалған инфрақұрылымға негізделген веб-сайттарға әсер етеді. Кейде пайдаланушылар өздерінің тіркелгі деректерін белгілі бір платформаларда сақтайды және егер тиісті веб-сайтта мықты инфрақұрылым болмаса, бұл қауіпті болуы мүмкін. 

Бұл үнемі қол жетімді веб-хостинг шоттарында жиі кездеседі. Бұл сценарийлерде қатынау қайталанатын болғандықтан, тіркелгі деректері сақталады. Жасанды құжаттар жасау арқылы қолданушылар бірінші кезекте жоспарламаған әрекетті орындауға шақырылады. 

Бұл әдістер соңғы кездері сипатталған есептік жазбаларды алу әлеуеті Bluehost, Dreamhost, HostGator, FatCow және iPage сияқты танымал хостинг платформаларында.

Мұны қарастырыңыз,

Бұған мысал ретінде әдеттегі қаржылық алаяқтық сценарийін көрсетуге болады.

Шабуылдаушылар жарамды URL мекенжайына кіретін CSRF-тен осал адамдарды нысанаға алады. Сайтта автоматты түрде орындалатын маска жасырылған код үзіндісі мақсатты банкке ақшаны автоматты түрде аударуға нұсқау бере алады.

Код үзіндісін кескіннің артына келесі кодтар арқылы көмуге болады:

*Ескерту: Бұл тек мысал және код жұмыс істемейді.

9. SQL инъекциялар

Кез-келген веб-сайт немесе онлайн-платформа үшін ең маңызды құрылғы деректер болып табылады. Ол проекцияларға, талдауларға және басқа да әртүрлі мақсаттарға қолданылады. Екіншіден, егер несиелік картаның штыры сияқты құпия қаржылық ақпарат қолыңызға тиіп кетсе, ол үлкен проблемалар тудыруы мүмкін.

Деректер базасының серверіне және одан жіберілген мәліметтер сенімді инфрақұрылымнан өтуі керек. Хакерлер тырысады SQL сценарийлерін жіберу серверлерге клиент туралы ақпарат сияқты деректерді шығара алатындай етіп жіберіңіз. Бұл дегеніміз, барлық сұраныстар серверге жетпес бұрын оларды қарап шығу керек.

Егер қауіпсіз сүзгілеу жүйесі болмаса, тұтынушының маңызды деректері жоғалуы мүмкін. Мұндай іске қосу жазбаларды шығаруға кететін уақытты көбейтетіндігін атап өткен жөн. 

10. XSS кемшіліктерін пайдалану

Әдетте хакерлер кодқа өте құзыретті және алдыңғы сценарийлерді дайындау қиын емес. Кодты енгізу үшін Javascript немесе басқа бағдарламалау тілдерін пайдалануға болады. Осындай тәсілмен жасалған шабуылдар әдетте пайдаланушының тіркелгі деректеріне шабуыл жасайды. 

XSS негізіндегі зиянды сценарийлер не құпия ақпаратқа қол жеткізе алады, не келушілерді хакерлікке бағытталған сілтемелерге бағыттай алады. Кейбір жағдайларда, компаниялар жалған кәсіпкерлік операцияларды жүзеге асыру үшін осы сияқты әдістерді қолдануы мүмкін.

11. Қауіпсіз криптография

Криптографиялық алгоритмдер әдетте кездейсоқ сандар генераторларын пайдаланады, бірақ серверлер негізінен пайдаланушының көп қарым-қатынасынсыз жұмыс істейді. Бұл рандомизация көздерінің төмендеуіне әкелуі мүмкін. Нәтижесінде оңай болжауға болатын сандар болуы мүмкін - бұл шифрлаудың әлсіздігі.

12. Виртуалды машинадан қашу

Бірнеше виртуалды машиналар физикалық серверлердегі гипервизорлардың үстінде жұмыс істейді. Мүмкін, шабуылдаушы а гипервизордың осалдығы қашықтан. Сирек болса да, мұндай жағдайларда шабуылдаушы басқа виртуалды машиналарға да қол жеткізе алады.

13. Жабдықтау тізбегінің әлсіздігі

Ресурстарды бөлу басты артықшылығы болып табылады Cloud хостинг, бұл сондай-ақ әлсіздік нүктесі болуы мүмкін. Егер сіз «сіз өзіңіздің әлсіз сілтемеңіз сияқты күшті болсаңыз» деген сөзді естіген болсаңыз, бұл бұлтқа толықтай сәйкес келеді.

Талғампаз шабуыл және негізінен бұлт қызметтерін жеткізушілерге сүйенеді. Бұл Бұлтқа тән емес және кез келген жерде болуы мүмкін. Тікелей жаңарту серверлерінен жүктеуді зиянды функционалдылықпен қосуға болады. Сонымен, осы бағдарламалық жасақтаманы жүктеген көптеген қолданушыларды елестетіп көріңіз. Олардың құрылғыларына осы зиянды бағдарлама жұқтырылады.

14. Қауіпсіз API

Қолданбалы қолданушы интерфейстері (API) бұлтты есептеу процестерін оңтайландыру үшін қолданылады. Егер дұрыс қамтамасыз етілмеген болса, олар бұлттық ресурстарды пайдалану үшін хакерлерге ашық арнаны қалдыра алады.

Осындай танымал қайта пайдалануға болатын компоненттермен қауіпті API-ді қолданудан жеткілікті дәрежеде қорғану қиынға соғады. Басып кіруге тырысу үшін хакер қарапайым кіру әрекеттерін бірнеше рет қайталап көре алады - оларға тек ашылмаған есікті табу керек.

Қосымша мәлімет: Үздік VPS хостинг-провайдерлері / Үздік бұлтты хостинг провайдерлері


Қорытынды ой

2020 жылдың бірінші жартысында анықталған веб-сайттарға кибершабуылдардың әр түрлі түрлері.
2020 жылдың бірінші жартысында анықталған веб-сайттарға кибершабуылдардың әр түрлі түрлері (қайнар көз).

Біздің көпшілігіміз ойлаған кезде веб-сайт қауіпсіздігі, әдетте бұл өз веб-сайттарымыздың әлсіз жақтарын жоюға бағытталған. Өкінішке орай, өздеріңіз көріп отырғандай, веб-хостинг провайдерлерінің жауапкершілігі басқа шабуылдардан да сақталады.

Қызмет көрсетушіні өзін-өзі қорғауға сендіру үшін сіз көп нәрсе жасай алмасаңыз да, бұл хабардарлық хостингті таңдауға көмектеседі. Мысалы, веб-хосттың қауіпсіздікке баса назар аударуын қадағалап, олардың өз серверлерін қаншалықты қауіпсіз сақтайтындығы туралы жақсы түсінік алуға болады.

Кейбір веб-хосттар өте қарапайым қауіпсіздік шараларын қолданады - мүмкін болса, ондайлардан аулақ болыңыз. Басқалары танымал адамдармен жұмыс істеуге дейін баруы мүмкін киберқауіпсіздік брендтер немесе тіпті агрессивті қауіпсіздік құралдарын және шешімдерін дамытады.

Веб-хостингтің бағасы сізге бөлінген ресурстардан асып түседі, сондықтан өз параметрлеріңізді ақылмен теңестіріңіз.

Джерри Лоу туралы

WebHostingSecretRevealed.net негізін қалаушы (WHSR) - 100,000 пайдаланушыларына сенімді және пайдаланылатын хостинг шолу. Веб-хостинг, еншілес маркетинг және SEO-дағы 15 жыл тәжірибесі. ProBlogger.net, Business.com, SocialMediaToday.com және тағы басқалар.