Je! Mtoaji wako wa Kukaribisha Wavuti ana hatarini?

Kifungu kilichoandikwa na:
  • Miongozo ya Hosting
  • Iliyasasishwa Septemba 14, 2020

Majaribio ya utapeli kwenye wavuti ni ya kawaida sana kuliko unavyofikiria. Wakati wengi wetu hatuwaoni, mashambulizi ya kimya kila wakati yanaendelea kila mahali kwenye wavu. Sehemu nzuri ya shambulio linalenga akaunti za mwenyeji wa wavuti.

Kuna aina mbili pana za udhaifu wa kukaribisha wavuti. Ya kwanza ni ya jumla, wakati ya pili ni maalum zaidi kwa mpango. Kwa mfano, kati ya aina za mipango ya mwenyeji wa wavuti, mwenyeji wa pamoja kawaida huhesabiwa kuwa hatari zaidi.

Udhaifu wa Jeshi la Wavuti

Udhaifu wa Jeshi la Wavuti

1. Majaribio ya Ujenzi wa Botnet

Wahusika wenye nia mbaya wamejulikana kulenga seva zote za wavuti katika majaribio yao ya kujenga botnets. Katika majaribio haya, malengo ya kawaida ni pamoja na mifumo ya seva ya wavuti na kwa jumla inahusisha ushujaa unaopatikana hadharani.

Jitihada hizi za hali ya juu na zilizojilimbikizia mara nyingi zinaweza kushinda watoa huduma wa mwenyeji wa wavuti wasiostahimili. Kwa bahati nzuri, mara tu ikigundulika, udhaifu kawaida huwekwa viraka haraka na wahudumu wengi wa wavuti.

2. Mashambulizi ya DDoS

DDoS inashambulia takwimu
Muda wa mashambulizi ya DDoS katika Q1 2020 na Q1 na Q4 2019. Katika Q1 2020, kulikuwa na ongezeko kubwa la idadi na ubora wa mashambulio ya DDoS. Idadi ya mashambulio iliongezeka maradufu dhidi ya kipindi cha kuripoti kilichopita, na kwa 80% dhidi ya Q1 2019. Mashambulio hayo pia yalizidi kuwa mrefu na kuongezeka wazi kwa muda wa wastani na kiwango cha juu (chanzo).

Kukataliwa kwa Huduma (DDoS) sio hatari, lakini kama jina linamaanisha, ni aina ya shambulio. Wahusika wenye nia mbaya wanajaribu kufurika seva (au huduma fulani) na idadi kubwa ya data.

Huduma za kukaribisha wavuti ambazo hazijaandaliwa kwa hii zinaweza kupooza na mashambulizi haya. Kama rasilimali nyingi zinatumiwa, tovuti kwenye seva haziwezi kujibu maswali halisi kutoka kwa wageni.

Soma zaidi: Chaguzi za kitaalam za kulinda tovuti yako dhidi ya shambulio la DDoS.

3. Upotoshaji wa Seva ya Wavuti

Wamiliki wa wavuti wa kimsingi, haswa wale walio kwenye ushiriki wa pamoja, mara nyingi hawatambui ikiwa seva zao zimesanidiwa vizuri au la. Idadi kubwa ya maswala inaweza kutokea kutoka kwa seva zilizosanidiwa vibaya.

Kwa mfano, uendeshaji wa programu ambazo hazijapangwa au za zamani. Ingawa kuna njia za utunzaji wa makosa ya maswala ya kiufundi yanayotokea wakati wa utekelezaji, kasoro zinaweza kubaki bila kuonekana hadi zitumike.

Usanidi sahihi katika seva, inaweza kusababisha seva isithibitishe haki za ufikiaji kwa usahihi. Kuficha kazi zilizozuiliwa au viungo vya URL pekee haitoshi kwani wadukuzi wanaweza kudhani vigezo vinavyowezekana, maeneo ya kawaida na kisha kufanya ufikiaji wa nguvu.

Kama mfano wa hii, mshambuliaji anaweza kutumia kitu kidogo na rahisi kama JPEG isiyolindwa kupata ufikiaji wa msimamizi kwenye seva. Wanabadilisha parameter rahisi ambayo inaelekeza kwenye kitu kwenye mfumo na kisha wako ndani.

Uwezo wa Kushiriki Pamoja

Katika mazingira ya kushirikiana, inaweza kusema kuwa kila mtu ameketi kwenye mashua moja. Licha ya kila seva kuwa na mamia ya watumiaji, shambulio moja linaweza kuzamisha meli nzima, kwa kusema.

"Wote watano (watoa huduma za mwenyeji wa wavuti) walikuwa na angalau hatari moja kubwa kuruhusu utekaji nyara wa akaunti ya mtumiaji," Paulos Yibelo, mwindaji anayejulikana na anayeheshimiwa wa mende, aliiambia TechCrunch, ambayo alishiriki matokeo yake kabla ya kwenda kwa umma.

Kama Yibelo alivyoonyesha - Shambulio hilo halipitwi na shambulio lolote la kutatanisha au ukuta wa moto. Ni tu kupitia mlango wa mbele wa mwenyeji wa wavuti, inayohitaji juhudi kidogo kwa mwindaji wa wastani.

4. Mazingira yasiyokuwa na sili

Akaunti zinazoshirikiwa ni kama mabwawa pana ya data. Ingawa kila akaunti imetengewa rasilimali, kwa ujumla zote zinaishi katika mazingira moja. Faili zote, yaliyomo na data kweli hukaa kwenye nafasi moja, imegawanywa tu na muundo wa faili.

Kwa sababu ya hii, tovuti zilizo kwenye mipango ya kukaribisha pamoja zinaunganishwa ndani. Ikiwa hacker angepata saraka kuu, tovuti zote zinaweza kuwa hatarini. Hata kama akaunti moja imeathiriwa, shambulio ambalo linaondoa rasilimali litakuwa na athari kubwa.

5. Ukosefu wa Programu

Ingawa udhaifu wa programu upo kwa kila aina ya akaunti za kukaribisha, seva zinazoshirikiwa kawaida huwa katika hatari kubwa zaidi. Kwa sababu ya idadi kubwa ya akaunti kwa kila seva, kunaweza kuwa na idadi kubwa ya programu tofauti zilizopo - zote ambazo zinahitaji sasisho za kawaida.

6. Programu hasidi

Vivyo hivyo kwa udhaifu wa programu, Malware inaweza kuwa na athari kubwa kwa seva inayoshirikiwa. Programu hizi mbaya zinaweza kupata njia kwenye akaunti za mwenyeji zinazoshirikiwa kwa njia nyingi.

Kuna aina nyingi za virusi, trojans, minyoo, na spyware kwamba kila kitu kinawezekana. Kwa sababu ya hali ya kukaribisha pamoja, ikiwa jirani yako anayo - labda utaipata pia, mwishowe.

Mapendekezo: Mwenyeji wa wavuti na skanning ya bure ya zisizo - A2 Hosting, Hostinger, Kinsta.

7. IP ya pamoja

Akaunti zinazoshirikiwa pia zinashiriki anwani za IP. Ni kawaida kwamba tovuti nyingi kwenye akaunti zinazoshirikiwa za kutambuliwa zinatambuliwa na anwani moja ya IP. Hii inafungua idadi kubwa ya shida zinazowezekana.

Kwa mfano, ikiwa moja ya wavuti itafanya vibaya (kama vile kutuma barua taka, nk) inawezekana kwamba tovuti zingine zote zinazoshiriki IP huishia kuorodheshwa. Kuondoa cna iliyoorodheshwa IP inaweza kuwa changamoto sana.

Soma zaidi: Vidokezo vya kuchagua mtoaji salama wa wavuti.

Uharibifu wa Uendeshaji wa VPS / Cloud

Asili ya VPS au Wingu inamaanisha kuwa kwa ujumla ni salama zaidi kuliko seva za kukaribisha za bei rahisi.

Walakini, uwezekano wa kufikia seva zilizounganishwa zaidi ina maana kwamba siku ya malipo kwa wadukuzi pia ni faida zaidi. Kama hivyo, njia za juu zaidi za kuingilia zinaweza kutarajiwa.

8. Kughushi Usalama wa Tovuti

Pia inajulikana kama kughushi ombi la tovuti (CSRF), kasoro hii kawaida huonekana kuathiri tovuti kulingana na miundombinu isiyolindwa vizuri. Wakati mwingine, watumiaji huhifadhi hati zao kwenye majukwaa fulani na hii inaweza kuwa hatari ikiwa wavuti inayofanana haina miundombinu thabiti.

Hii ni kawaida sana kwenye akaunti za mwenyeji wa wavuti ambazo hupatikana mara kwa mara. Katika hali hizi, ufikiaji unarudiwa kwa hivyo vitambulisho kawaida huhifadhiwa. Kupitia kughushi, watumiaji wanahimizwa kufanya kitendo ambacho hawakupanga hapo mwanzo.

Mbinu hizi zimeelezea katika nyakati za hivi karibuni udhaifu unaowezekana kwa wachukuaji akaunti katika majukwaa anuwai maarufu ya kukaribisha ikiwa ni pamoja na Bluehost, Dreamhost, HostGator, FatCow, na iPage.

Zingatia hii,

Mfano wa hii inaweza kuonyeshwa kama hali ya udanganyifu wa kifedha.

Wavamizi wanaweza kulenga watu walio katika mazingira magumu wa CSRF wanaotembelea URL halali. Kijisehemu cha nambari kilichofichwa kiotomatiki kwenye wavuti hiyo inaweza kuamuru benki ya lengo kuhamisha fedha moja kwa moja.

Kijisehemu cha nambari kinaweza kuzikwa nyuma ya picha labda, kwa kutumia nambari kama zifuatazo:

<img src = http: //example.com/app/transferFunds? amount = 1500 & destinationAccount = 4673243243 upana = 0 urefu = 0 />

*Kumbuka: Huu ni mfano tu na nambari hiyo haitafanya kazi.

9. SQL sindano

Kwa wavuti yoyote au jukwaa la mkondoni, sehemu muhimu zaidi ni data. Inatumika kwa makadirio, uchambuzi na madhumuni mengine anuwai. Pili, ikiwa habari za siri za kifedha kama pini za kadi ya mkopo zinaingia mikononi vibaya, inaweza kusababisha shida kubwa.

Takwimu zilizotumwa na kutoka kwa seva ya hifadhidata lazima zipitie miundombinu ya kuaminika. Wadukuzi watajaribu tuma hati za SQL kwa seva ili waweze kutoa data kama habari ya wateja. Hii inamaanisha unahitaji kuchanganua maswali yote kabla ya kufikia seva.

Ikiwa mfumo salama wa uchujaji haupo, data muhimu ya mteja inaweza kupotea. Ikumbukwe ingawa utekelezaji huo utaongeza wakati uliochukuliwa ili kuchukua rekodi.

10. Unyonyaji wa makosa ya XSS

Hackare kwa kawaida huwa na uwezo mkubwa wa kificho na kuandaa hati za mwisho sio shida. Javascript au lugha zingine za programu zinaweza kutumiwa kuingiza nambari. Mashambulio yaliyofanywa kwa njia hii kawaida hushambulia sifa za mtumiaji.

Hati zenye msingi wa XSS inaweza kupata habari ya siri au kuelekeza wageni kwenye viungo vinavyolengwa na hacker. Katika visa vingine, kampuni pia zinaweza kutumia mbinu kama hii kufanya biashara ya ulaghai.

11. Usalama wa Usalama

Taratibu za usindikaji kawaida hutumia jenereta za nambari bila mpangilio lakini seva zinaendeshwa bila mwingiliano mwingi wa watumiaji. Hii inaweza kusababisha uwezekano wa vyanzo vya chini vya ubakaji. Matokeo yanaweza kuwa nambari za kutafakari kwa urahisi - hatua ya udhaifu kwa usimbuaji.

12. Kutoroka kwa mashine

Mashine nyingi zinazoendeshwa zinaendeshwa juu ya wasaidizi katika seva za mwili. Inawezekana kwamba mshambuliaji anaweza kutumia a mazingira magumu ya hypervisor kwa mbali. Ingawa nadra, katika hali hizi mshambuliaji anaweza kuwa na uwezo wa kupata mashine zingine pia.

13. Udhaifu wa Ugavi

Wakati usambazaji wa rasilimali ni faida kubwa ya wingu hosting, inaweza pia kuwa hatua ya udhaifu. Ikiwa umesikia neno "wewe ni nguvu tu kama kiunga chako dhaifu", hiyo inatumika kikamilifu kwa Wingu.

Shambulio la hali ya juu na hutegemea zaidi watoa huduma wa wingu. Hii sio maalum kwa Wingu na inaweza kutokea mahali pengine popote. Upakuaji kutoka kwa seva za sasisho za moja kwa moja unaweza kuongezwa na utendaji mbaya. Kwa hivyo, fikiria watumiaji wengi ambao wamepakua programu hii. Vifaa vyao vitaambukizwa na mpango huu mbaya.

14. APIs zisizo salama

Maingiliano ya Mtumiaji wa Maombi (APIs) hutumiwa kusaidia kurahisisha michakato ya kompyuta ya wingu. Ikiwa haijalindwa vizuri wanaweza kuacha kituo wazi kwa wadukuzi kutumia rasilimali za Wingu.

Pamoja na vifaa vinavyoweza kutumika tena maarufu, inaweza kuwa ngumu kulinda vya kutosha dhidi ya utumiaji wa API zisizo salama. Kujaribu kuingilia, hacker anaweza kujaribu majaribio ya msingi ya ufikiaji mara kwa mara - wanachohitaji ni kupata mlango mmoja usiofunguliwa.

Kujua zaidi: Wauzaji bora wa VPS / Watoa huduma bora wa Kukaribisha Wingu


Mawazo ya mwisho

Aina tofauti za shambulio la Mtandaoni kwenye wavuti zilizogunduliwa wakati wa nusu ya kwanza ya 2020.
Aina tofauti za shambulio la Mtandaoni kwenye wavuti zilizogunduliwa wakati wa nusu ya kwanza ya 2020 (chanzo).

Wakati wengi wetu tunafikiria tovuti usalama, kawaida ni kutoka kwa pembe ya kushinda udhaifu wa wavuti zetu. Kwa bahati mbaya, kama unaweza kuona, ni jukumu la watoa huduma za wavuti kujilinda dhidi ya mashambulio mengine pia.

Ingawa hakuna mengi unayoweza kufanya kumshawishi mtoa huduma ajilinde, ufahamu huu unaweza kukusaidia fanya uchaguzi bora wa kukaribisha wavuti. Kwa mfano, kwa kuona msisitizo wa mwenyeji wa wavuti huweka usalama, unaweza kupata wazo bora la jinsi wanavyoweka salama zao.

Wamiliki wengine wa wavuti hutumia vizuizi vya usalama sana - ikiwezekana jaribu kuziepuka. Wengine wanaweza kwenda mbali kufanya kazi na mashuhuri cybersecurity chapa au hata kukuza zana za usalama za ndani na suluhisho.

Bei ya kukaribisha wavuti huenda zaidi ya rasilimali ulizopewa - kwa hivyo usawazisha chaguzi zako kwa busara.

Kuhusu Jerry Low

Msanidi wa WebHostingSecretRevealed.net (WHSR) - mapitio ya ushirikiano yanayoaminika na kutumiwa na watumiaji wa 100,000. Zaidi ya uzoefu wa miaka 15 kwenye usambazaji wa wavuti, masoko ya washirika, na SEO. Mchangiaji kwa ProBlogger.net, Biashara.com, SocialMediaToday.com, na zaidi.