Насколько уязвим ваш провайдер веб-хостинга?

Статья написана:
  • Хостинг-гиды
  • Обновлено: сентябрь 14, 2020

Попытки взлома веб-сайтов встречаются гораздо чаще, чем вы думаете. Хотя многие из нас их не видят, в сети всегда происходят тихие атаки. Большая часть атак нацелена на учетные записи веб-хостинга.

Есть две широкие категории уязвимостей веб-хостинга. Первый - общий, второй - более конкретный. Например, среди видов планы веб-хостинга, виртуальный хостинг обычно считается наиболее уязвимым.

Уязвимости веб-хостинга

Типовые уязвимости веб-хостов

1. Попытки создания ботнета

Известно, что злоумышленники нацелены на целые веб-серверы в своих попытках создать ботнеты. В этих попытках общие цели включают фреймворки веб-серверов и обычно включают общедоступные эксплойты.

Эти продвинутые и сконцентрированные усилия часто позволяют преодолеть менее устойчивых провайдеров веб-хостинга. К счастью, после обнаружения уязвимости обычно довольно быстро исправляются большинством веб-хостов.

2. DDoS-атаки

Статистика DDoS-атак
Продолжительность DDoS-атак в первом квартале 1 года, а также в первом и четвертом квартале 2020 года. В первом квартале 1 года наблюдалось значительное увеличение количества и качества DDoS-атак. Количество атак увеличилось вдвое по сравнению с предыдущим отчетным периодом и на 4% по сравнению с первым кварталом 2019 года. Атаки также стали длиннее с явным увеличением как средней, так и максимальной продолжительности (источник).

Распределенный отказ в обслуживании (DDoS) не является уязвимостью, но, как следует из названия, представляет собой форму атаки. Злоумышленники пытаются завалить сервер (или конкретную службу) огромным объемом данных.

Эти атаки могут парализовать службы веб-хостинга, которые не подготовлены к этому. По мере использования большего количества ресурсов веб-сайты на сервере не могут отвечать на реальные запросы посетителей.

Прочитайте больше: Профессиональные варианты защиты вашего сайта от DDoS-атак.

3. Неправильная конфигурация веб-сервера

Базовые владельцы веб-сайтов, особенно те, кто пользуется виртуальным хостингом, часто не знают, правильно ли настроены их серверы или нет. Значительное количество проблем может возникнуть из-за плохо настроенных серверов.

Например, запуск неустановленных или устаревших приложений. Хотя существуют механизмы обработки ошибок для технических проблем, возникающих во время выполнения, недостатки могут оставаться незамеченными до тех пор, пока не будут использованы.

Неточная конфигурация на сервере может привести к тому, что сервер не сможет правильно проверить права доступа. Одного сокрытия ограниченных функций или ссылок на URL-адрес недостаточно, поскольку хакеры могут угадать вероятные параметры, типичные местоположения, а затем выполнить доступ методом перебора.

Например, злоумышленник может использовать что-то столь же маленькое и простое, как незащищенный JPEG, чтобы получить доступ администратора к серверу. Они изменяют простой параметр, который указывает на объект в системе, и затем они находятся внутри.

Уязвимости виртуального хостинга

В среде общего хостинга можно сказать, что все сидят в одной лодке. Несмотря на то, что на каждом сервере потенциально есть сотни пользователей, одна атака может, так сказать, потопить весь корабль.

«Все пять (поставщики услуг веб-хостинга) имели по крайней мере одну серьезную уязвимость, позволяющую взломать учетную запись пользователя», Паулос Ибело, известный и уважаемый охотник за ошибками, рассказал TechCrunch, с которым он поделился своими выводами перед публикацией.

Как показал Ибело, атака осуществляется не за счет каких-либо сложных атак или взлома межсетевых экранов. Это просто через входную дверь хоста сайта, что требует небольших усилий для среднего хакера.

4. Неизолированные среды

Аккаунты общего хостинга похожи на обширные пулы данных. Хотя каждой учетной записи выделяются определенные ресурсы, в целом все они находятся в одной среде. Все файлы, контент и данные фактически находятся в одном пространстве, просто разделенном по файловой структуре.

Из-за этого сайты на общих планах хостинга связаны между собой. Если хакер получит доступ к основному каталогу, все сайты могут оказаться в опасности. Даже если одна учетная запись будет взломана, атаки, истощающие ресурсы, будут иметь значительное влияние.

5. Уязвимости программного обеспечения

Хотя программные уязвимости существуют для всех типов учетных записей хостинга, общие серверы обычно подвергаются гораздо большему риску. Из-за большого количества учетных записей на сервере может быть установлено значительное количество различных приложений, каждое из которых требует регулярных обновлений.

6. Вредоносное

Подобно уязвимостям программного обеспечения, вредоносное ПО может серьезно повлиять на общий хостинг-сервер. Эти вредоносные программы могут проникнуть в учетные записи виртуального хостинга множеством способов.

Существует так много типов вирусов, троянов, червей и шпионских программ, что все возможно. Из-за природы виртуального хостинга, если он есть у вашего соседа, вы, вероятно, тоже его поймаете.

Рекомендации: веб-хостинг с бесплатным сканированием вредоносных программ - A2 хостинг, Hostinger, Kinsta.

7. Общий IP

Учетные записи общего хостинга также имеют общие IP-адреса. Обычно несколько сайтов в учетных записях общего хостинга идентифицируются одним IP-адресом. Это открывает целый ряд потенциальных проблем.

Например, если один из веб-сайтов плохо себя ведет (например, рассылает спам и т. Д.), Возможно, что все другие сайты, использующие IP-адрес, попадут в черный список. Удаление IP-cna из черного списка будет чрезвычайно сложной задачей.

Прочитайте больше: Советы по выбору безопасного провайдера веб-хостинга.

Уязвимости VPS / облачного хостинга

Природа VPS или облака означает, что они в целом более безопасны, чем дешевые сервера виртуального хостинга.

Однако возможность доступа к более продвинутым взаимосвязанным серверам означает, что хакеры получают больше прибыли. Таким образом, можно ожидать более сложных методов вторжения.

8. Подделка межсайтовой безопасности

Также известен как запрос межсайтовый подлог (CSRF), этот недостаток обычно наблюдается на веб-сайтах с плохо защищенной инфраструктурой. Иногда пользователи сохраняют свои учетные данные на определенных платформах, и это может быть рискованно, если соответствующий веб-сайт не имеет сильной инфраструктуры.

Это особенно характерно для учетных записей веб-хостинга, к которым осуществляется регулярный доступ. В этих сценариях доступ повторяется, поэтому учетные данные обычно сохраняются. Посредством подделки пользователям предлагается выполнить действие, которое они изначально не планировали.

Эти методы в последнее время описаны потенциальная слабость для учета поглощений на различных популярных хостинговых платформах, включая Bluehost, Dreamhost, HostGator, FatCow и iPage.

Учти это,

Примером этого может быть типичный сценарий финансового мошенничества.

Злоумышленники могут нацеливаться на CSRF-уязвимых лиц, посещающих действующий URL. Автоматически выполняемый фрагмент замаскированного кода на сайте может указать банку цели на автоматический перевод средств.

Фрагмент кода, возможно, можно скрыть за изображением, используя такие коды, как следующие:

<img src = http: //example.com/app/transferFunds? amount = 1500 & destinationAccount = 4673243243 width = 0 height = 0 />

*Примечание: это просто пример, и код работать не будет.

9. SQL-инъекции

Для любого веб-сайта или онлайн-платформы наиболее важной составляющей являются данные. Он используется для прогнозов, анализа и других целей. Во-вторых, если конфиденциальная финансовая информация, например значки кредитных карт, попадет в чужие руки, это может создать серьезные проблемы.

Данные, отправляемые на сервер базы данных и с него, должны проходить через надежную инфраструктуру. Хакеры попытаются отправлять сценарии SQL к серверам, чтобы они могли извлекать данные, например информацию о клиентах. Это означает, что вам необходимо сканировать все запросы, прежде чем они достигнут сервера.

Если безопасная система фильтрации отсутствует, важные данные о клиентах могут быть потеряны. Следует отметить, однако, что такая реализация увеличит время, необходимое для извлечения записей.

10. Использование недостатков XSS

Хакеры обычно хорошо разбираются в коде, и подготовка клиентских скриптов не является проблемой. Для внедрения кода можно использовать Javascript или другие языки программирования. Атаки, проводимые таким образом, обычно атакуют учетные данные пользователя.

Вредные скрипты на основе XSS может либо получить доступ к конфиденциальной информации, либо перенаправить посетителей на ссылки, на которые ссылается хакер. В некоторых случаях компании могут также использовать подобные методы для проведения мошеннических бизнес-операций.

11. Небезопасная криптография

Алгоритмы криптографии обычно используют генераторы случайных чисел, но серверы в основном работают без особого взаимодействия с пользователем. Это может привести к уменьшению количества источников рандомизации. Результатом могут быть легко угадываемые числа - слабое место для шифрования.

12. Выход из виртуальной машины

Несколько виртуальных машин запускаются поверх гипервизоров на физических серверах. Вполне возможно, что злоумышленник может использовать уязвимость гипервизора удаленно. В таких ситуациях злоумышленник может получить доступ и к другим виртуальным машинам, хотя и редко.

13. Слабость цепочки поставок

Хотя распределение ресурсов является основным преимуществом Облако хостинг, это также может быть слабым местом. Если вы слышали термин «вы настолько сильны, насколько ваше самое слабое звено», это прекрасно относится к облаку.

Изощренная атака и держится в основном на провайдеров облачных услуг. Это не относится к облаку и может произойти где угодно. Загрузки с серверов обновлений в реальном времени могут содержать вредоносные функции. Итак, представьте, сколько пользователей загрузили это программное обеспечение. Их устройства будут заражены этой вредоносной программой.

14. Небезопасные API

Пользовательские интерфейсы приложений (API) используются для упрощения процессов облачных вычислений. Если они не защищены должным образом, они могут оставить хакерам открытый канал для использования ресурсов облака.

С такой популярностью повторно используемых компонентов может быть сложно обеспечить достаточную защиту от использования небезопасных API. Чтобы попытаться вторгнуться, хакер может просто пробовать простые попытки доступа снова и снова - все, что им нужно, это найти единственную незапертую дверь.

Узнайте больше: Лучшие провайдеры хостинга VPS / Лучшие провайдеры облачного хостинга


Заключительные мысли

Различные типы кибератак на веб-сайты, обнаруженные в первой половине 2020 года.
Различные типы кибератак на веб-сайты, обнаруженные в первой половине 2020 г. (источник).

Когда большинство из нас думает о безопасности веб-сайтов, как правило, это делается с точки зрения преодоления недостатков наших собственных веб-сайтов. К сожалению, как видите, провайдеры веб-хостинга также несут ответственность за защиту от других атак.

Хотя вы мало что можете сделать, чтобы убедить поставщика услуг защитить себя, это знание может помочь вам сделать лучший выбор веб-хостинга. Например, наблюдая за тем, какое внимание веб-хостинг уделяет безопасности, вы сможете лучше понять, насколько безопасны они на своих серверах.

Некоторые веб-хосты реализуют очень элементарные меры безопасности - по возможности старайтесь их избегать. Другие могут пойти так далеко, что будут работать с заметными информационная безопасность бренды или даже разработать агрессивные внутренние инструменты и решения безопасности.

Цена веб-хостинга выходит за рамки выделенных вам ресурсов, поэтому разумно выбирайте варианты.

О Джерри Лоу

Основатель WebHostingSecretRevealed.net (WHSR) - обзора хостинга, которому доверяют и используют пользователи 100,000. Более чем 15-летний опыт в веб-хостинге, партнерском маркетинге и SEO. Вкладчик в ProBlogger.net, Business.com, SocialMediaToday.com и многое другое.

Подключение: