Попытки взлома веб-сайтов встречаются гораздо чаще, чем вы думаете.
Хотя многие из нас их не видят, тихие атаки всегда происходят повсюду в сети. Большая часть атак нацелена на веб-хостингa счетов.
Существует две широкие категории уязвимостей веб-хостинга. Первый носит общий характер, а второй более специфичен для плана. Например, среди типов планов веб-хостинга виртуального хостинга обычно считается наиболее уязвимым.
Уязвимости веб-хостинга
- Попытки создания ботнета
- DDoS-атаки
- Неправильная конфигурация веб-сервера
- Неизолированные среды
- Уязвимости программного обеспечения
- вредоносных программ
- Общий IP
- Подделка межсайтовой безопасности
- SQL-инъекции
- Использование недостатков XSS
- Небезопасная криптография
- Выход из виртуальной машины
- Слабость цепочки поставок
- Небезопасные API
Типовые уязвимости веб-хостов
1. Попытки создания ботнета
Известно, что злоумышленники нацелены на целые веб-серверы в своих попытках создать ботнеты. В этих попытках общие цели включают фреймворки веб-серверов и обычно включают общедоступные эксплойты.
Эти продвинутые и сконцентрированные усилия часто позволяют преодолеть менее устойчивых провайдеров веб-хостинга. К счастью, после обнаружения уязвимости обычно довольно быстро исправляются большинством веб-хостов.
2. DDoS-атаки
Распределенный отказ в обслуживании (DDoS) не является уязвимостью, но, как следует из названия, представляет собой форму атаки. Злоумышленники пытаются завалить сервер (или конкретную службу) огромным объемом данных.
Эти атаки могут парализовать службы веб-хостинга, которые не подготовлены к этому. По мере использования большего количества ресурсов веб-сайты на сервере не могут отвечать на реальные запросы посетителей.
Читать далее: Профессиональные варианты защиты вашего сайта от DDoS-атак
3. Неправильная конфигурация веб-сервера
Базовые владельцы веб-сайтов, особенно те, кто недорогом виртуальном хостинге., часто не знают, правильно ли настроены их серверы. Значительное количество проблем может возникнуть из-за плохо настроенных серверов.
Например, запуск неустановленных или устаревших приложений. Хотя существуют механизмы обработки ошибок для технических проблем, возникающих во время выполнения, недостатки могут оставаться незамеченными до тех пор, пока не будут использованы.
Неточная конфигурация на сервере может привести к тому, что сервер не сможет правильно проверить права доступа. Одного сокрытия ограниченных функций или ссылок на URL-адрес недостаточно, поскольку хакеры могут угадать вероятные параметры, типичные местоположения, а затем выполнить доступ методом перебора.
Например, злоумышленник может использовать что-то столь же маленькое и простое, как незащищенный JPEG, чтобы получить доступ администратора к серверу. Они изменяют простой параметр, который указывает на объект в системе, и затем они находятся внутри.
Уязвимости виртуального хостинга
В среде общего хостинга можно сказать, что все сидят в одной лодке. Несмотря на то, что на каждом сервере потенциально есть сотни пользователей, одна атака может, так сказать, потопить весь корабль.
«Все пять (поставщики услуг веб-хостинга) имели по крайней мере одну серьезную уязвимость, позволяющую взломать учетную запись пользователя», Паулос Ибело, известный и уважаемый охотник за ошибками, рассказал TechCrunch, с которым он поделился своими выводами перед публикацией.
Как показал Йибело - Атака не через какую-то замысловатую атаку или взлом. межсетевые экраны. Это просто через парадную дверь хоста сайта, что требует небольших усилий от среднего хакера.
4. Неизолированные среды
Аккаунты общего хостинга похожи на обширные пулы данных. Хотя каждой учетной записи выделяются определенные ресурсы, в целом все они находятся в одной среде. Все файлы, контент и данные фактически находятся в одном пространстве, просто разделенном по файловой структуре.
Из-за этого сайты на общих планах хостинга связаны между собой. Если хакер получит доступ к основному каталогу, все сайты могут оказаться в опасности. Даже если одна учетная запись будет взломана, атаки, истощающие ресурсы, будут иметь значительное влияние.
5. Уязвимости программного обеспечения
Хотя программные уязвимости существуют для все типы учетных записей хостинга, общие серверы обычно подвергаются гораздо большему риску. Из-за большого количества учетных записей на сервере может быть установлено значительное количество различных приложений, каждое из которых требует регулярных обновлений.
6. Вредоносное
Подобно уязвимостям программного обеспечения, вредоносное ПО может серьезно повлиять на общий хостинг-сервер. Эти вредоносные программы могут проникнуть в учетные записи виртуального хостинга множеством способов.
Существует так много типов вирусов, троянские, червей и шпионских программ, что все возможно. Из-за природы виртуального хостинга, если он есть у вашего соседа, вы, вероятно, тоже его поймаете, в конце концов.
Рекомендуемый веб-хостинг с бесплатным сканированием вредоносных программ - A2 Hosting, Interserver
7. Общий IP
Учетные записи общего хостинга также имеют общие IP-адреса. Обычно несколько сайтов на общих учетных записях хостинга идентифицируются одним IP address. Это открывает целый ряд потенциальных проблем.
Например, если один из веб-сайтов плохо себя ведет (например, рассылает спам и т. Д.), Возможно, что все другие сайты, использующие IP-адрес, попадут в черный список. Удаление IP из черного списка может быть чрезвычайно сложной задачей.
Читать далее: Советы по выбору безопасного провайдера веб-хостинга
Уязвимости VPS / облачного хостинга
Природа виртуальный частный сервер (VPS) or облачный хостинг означает, что они, как правило, более безопасны, чем дешевые серверы общего хостинга.
Однако возможность доступа к более продвинутым взаимосвязанным серверам означает, что хакеры получают больше прибыли. Таким образом, можно ожидать более сложных методов вторжения.
В то время как надежная система резервного копирования может творить чудеса, просто невозможно игнорировать некоторые уязвимости, которые подвергают риску целые серверы (виртуальные или нет).
8. Подделка межсайтовой безопасности
Также известный под названием запрос межсайтовый подлог (CSRF), этот недостаток обычно наблюдается на веб-сайтах с плохо защищенной инфраструктурой. Иногда пользователи сохраняют свои учетные данные на определенных платформах, и это может быть рискованно, если соответствующий веб-сайт не имеет сильной инфраструктуры.
Это особенно характерно для учетных записей веб-хостинга, к которым осуществляется регулярный доступ. В этих сценариях доступ повторяется, поэтому учетные данные обычно сохраняются. Посредством подделки пользователям предлагается выполнить действие, которое они изначально не планировали.
Эти методы в последнее время описаны потенциальная слабость для учета поглощений на различных популярных хостинговых платформах, включая Bluehost, Dreamhost, HostGator, FatCow и iPage.
Учти это,
Примером этого может быть типичный сценарий финансового мошенничества.
Злоумышленники могут нацеливаться на CSRF-уязвимых лиц, посещающих действующий URL. Автоматически выполняемый фрагмент замаскированного кода на сайте может указать банку цели на автоматический перевод средств.
Фрагмент кода, возможно, можно скрыть за изображением, используя такие коды, как следующие:
*Примечание: это просто пример, и код работать не будет.
9. SQL-инъекции
Для любого веб-сайта или онлайн-платформы наиболее важной составляющей являются данные. Он используется для прогнозов, анализа и других целей. Во-вторых, если конфиденциальная финансовая информация, например значки кредитных карт, попадет в чужие руки, это может создать серьезные проблемы.
Данные, отправляемые на сервер базы данных и с него, должны проходить через надежную инфраструктуру. Хакеры попытаются отправлять сценарии SQL к серверам, чтобы они могли извлекать данные, например информацию о клиентах. Это означает, что вам необходимо сканировать все запросы, прежде чем они достигнут сервера.
Если безопасная система фильтрации отсутствует, важные данные о клиентах могут быть потеряны. Следует отметить, однако, что такая реализация увеличит время, необходимое для извлечения записей.
10. Использование недостатков XSS
Хакеры обычно хорошо разбираются в коде, и подготовка внешних скриптов не является проблемой. Javascript или другой язык языки могут использоваться для внедрения кода. Атаки, проводимые таким образом, обычно атакуют учетные данные пользователя.
Вредные скрипты на основе XSS может либо получить доступ к конфиденциальной информации, либо перенаправить посетителей на ссылки, на которые нацелен хакер. В некоторых случаях компании также могут использовать подобные методы для ведения мошеннических операций. operaЦИИ.
11. Небезопасная криптография
Алгоритмы криптографии обычно используют генераторы случайных чисел, но серверы в основном работают без особого взаимодействия с пользователем. Это может привести к возможности более низких источников рандомизации. В результате могут получиться легко угадываемые цифры – слабое место для шифрует.
12. Выход из виртуальной машины
Несколько виртуальных машин запускаются поверх гипервизоров на физических серверах. Вполне возможно, что злоумышленник может использовать уязвимость гипервизора удаленно. В таких ситуациях злоумышленник может получить доступ и к другим виртуальным машинам, хотя и редко.
13. Слабость цепочки поставок
Хотя распределение ресурсов является основным преимуществом облачного хостинга, оно также может быть слабым местом.
Если вы слышали термин «вы настолько сильны, насколько ваше самое слабое звено», это прекрасно применимо к Облаку.
Изощренная атака и держится в основном на провайдеров облачных услуг. Это не относится к облаку и может произойти где угодно. Загрузки с серверов обновлений в реальном времени могут содержать вредоносные функции. Итак, представьте, сколько пользователей загрузили это программное обеспечение. Их устройства будут заражены этой вредоносной программой.
14. Небезопасные API
Пользовательские интерфейсы приложений (API) используются для упрощения процессов облачных вычислений. Если они не защищены должным образом, они могут оставить хакерам открытый канал для использования ресурсов облака.
С такой популярностью повторно используемых компонентов может быть сложно обеспечить достаточную защиту от использования небезопасных API. Чтобы попытаться вторгнуться, хакер может просто повторять простые попытки доступа снова и снова - все, что им нужно, - это найти единственную незапертую дверь.
Заключение
Когда большинство из нас думает о безопасности веб-сайтов, как правило, это делается с точки зрения преодоления недостатков наших собственных веб-сайтов. К сожалению, как видите, провайдеры веб-хостинга также несут ответственность за защиту от других атак.
Хотя вы мало что можете сделать, чтобы убедить поставщика услуг защитить себя, эта осведомленность может помочь вам сделать лучший выбор веб-хостинга. Например, наблюдая за тем, какое внимание веб-хостинг уделяет безопасности, вы сможете лучше понять, насколько безопасны они на своих серверах.
Некоторые веб-хосты реализуют очень элементарные меры безопасности - по возможности старайтесь их избегать. Другие могут пойти так далеко, что будут работать с известными кибербезопасности бренды или даже разработать агрессивные внутренние инструменты и решения безопасности.
Цена веб-хостинга выходит за рамки выделенных вам ресурсов, поэтому разумно выбирайте варианты.
