Sizning veb-xosting provayderingiz qanchalik zaif?

Maqola muallifi: Jerri Low
  • Xosting qo'llanmalari
  • Yangilandi: Sentyabr 14, 2020

Veb-saytlarni buzish urinishlari siz o'ylaganingizdan ko'ra ancha keng tarqalgan. Ko'pchiligimiz ularni ko'rmayotgan bo'lsak-da, har doim tarmoqning hamma joylarida jimgina hujumlar bo'lib turadi. Hujumlarning yaxshi qismi veb-xost-hisoblarga qaratilgan.

Veb-xostingning ikkita keng toifasi mavjud. Birinchisi umumiy, ikkinchisi rejaga xosdir. Masalan, turlari orasida veb-xosting rejalari, birgalikda xosting odatda eng himoyasiz hisoblanadi.

Veb-xostning zaifliklari

Umumiy veb-xostning zaifliklari

1. Botnet qurishga urinishlar

Zararli aktyorlar butun veb-serverlarni yaratishga urinishlarida maqsad qilib qo'yishgan botnet. Ushbu urinishlarda umumiy maqsadlar veb-server ramkalarini o'z ichiga oladi va umuman olganda ommaviy ekspluatatsiyani o'z ichiga oladi.

Ushbu ilg'or va jamlangan sa'y-harakatlar ko'pincha barqaror bo'lmagan veb-xosting provayderlarini engib chiqishi mumkin. Yaxshiyamki, kashf etilgandan so'ng, zaifliklar odatda ko'plab veb-xostlar tomonidan juda tez tuzatiladi.

2. DDoS hujumlari

DDoS statistikaga hujum qiladi
DDoS hujumlarining davomiyligi 1 yilning birinchi choragida va 2020 yilning birinchi choragida va to'rtinchi choragida. 1 yil 4-choragida DDoS hujumlari miqdori va sifatida sezilarli o'sish kuzatildi. Hujumlar soni o'tgan hisobot davriga nisbatan ikki baravar, 2019 yil 1-choragiga nisbatan esa 2020 foizga ko'paygan. O'rtacha va maksimal davomiylikning aniq ko'tarilishi bilan hujumlar ham uzoqroq davom etdi (manba).

Xizmatni tarqatishni taqiqlash (DDoS) zaiflik emas, lekin nomidan ko'rinib turibdiki, bu hujumning bir turi. Yovuz niyatli aktyorlar serverni (yoki ma'lum bir xizmatni) juda ko'p miqdordagi ma'lumot bilan to'ldirishga urinmoqdalar.

Bunga tayyorlanmagan veb-xosting xizmatlari ushbu hujumlar tufayli paralize bo'lishi mumkin. Ko'proq manbalar iste'mol qilinayotganligi sababli, serverdagi veb-saytlar tashrif buyuruvchilarning haqiqiy so'rovlariga javob berolmay qolmoqda.

Ko'proq o'qing: Veb-saytingizni DDoS hujumlaridan himoya qilish uchun professional imkoniyatlar.

3. Veb-serverdagi noto'g'ri konfiguratsiyalar

Asosiy veb-sayt egalari, ayniqsa, umumiy xostingda bo'lganlar, ko'pincha ularning serverlari to'g'ri tuzilganmi yoki yo'qmi haqida tasavvurga ega bo'lmaydi. Muammolarning katta qismi yomon sozlangan serverlardan kelib chiqishi mumkin.

Masalan, jo'natilmagan yoki eskirgan dasturlarning ishlashi. Ijro etishda yuzaga keladigan texnik muammolar uchun xatolarni ko'rib chiqish mexanizmlari mavjud bo'lsa-da, kamchiliklar ekspluatatsiya qilinmaguncha ko'rinmasligi mumkin.

Serverda noto'g'ri konfiguratsiya, server kirish huquqlarini to'g'ri tekshirmasligiga olib kelishi mumkin. Cheklangan funktsiyalarni yoki URL manziliga havolalarni yashirishning o'zi etarli emas, chunki xakerlar ehtimol parametrlarni, odatdagi joylarni taxmin qilishlari va shafqatsiz kirish huquqini olishlari mumkin.

Bunga misol qilib, tajovuzkor serverga administrator kirish huquqini olish uchun himoyalanmagan JPEG kabi kichik va sodda narsadan foydalanishi mumkin. Ular tizimdagi ob'ektni ko'rsatadigan va keyin ular ichida bo'lgan oddiy parametrni o'zgartiradilar.

Xostingning umumiy zaifliklari

Umumiy xosting muhitida hamma bir qayiqda o'tirgan deb aytish mumkin. Har bir server yuzlab foydalanuvchilarga ega bo'lishiga qaramay, bitta hujum butun kemani cho'ktirishi mumkin.

"Besh kishida ham (veb-xosting provayderlari) foydalanuvchi hisobini o'g'irlashga imkon beradigan kamida bitta jiddiy zaiflik bor edi" Paulos Yibelo, dedi taniqli va hurmatga sazovor bo'lgan bug ovchisi TechCrunch, bu bilan u jamoatchilikka chiqishdan oldin o'z topilmalari bilan o'rtoqlashdi.

Yibelo ko'rsatganidek - Hujum biron bir hujum yoki buzilgan xavfsizlik devorlari orqali sodir bo'lmaydi. Bu oddiygina sayt egasining kirish eshigi orqali, oddiy hacker uchun ozgina kuch sarflashni talab qiladi.

4. Silent bo'lmagan muhitlar

Birgalikda joylashtirilgan xost-akkauntlar keng ma'lumot havzalariga o'xshaydi. Garchi har bir hisob uchun bir nechta resurslar ajratilgan bo'lsa-da, umuman olganda ularning barchasi bitta muhitda joylashgan. Barcha fayllar, tarkib va ​​ma'lumotlar aslida bir xil maydonda joylashgan bo'lib, ular shunchaki fayllar tuzilishiga bo'linadi.

Shu sababli, umumiy xosting rejalaridagi saytlar o'zaro bog'liqdir. Agar xaker asosiy katalogga kirish huquqiga ega bo'lsa, barcha saytlar xavf ostida bo'lishi mumkin. Agar bitta hisob buzilgan bo'lsa ham, resurslarni yo'qotadigan hujumlar sezilarli ta'sirga ega bo'ladi.

5. Dasturiy ta'minotning zaif tomonlari

Dasturiy ta'minotning zaifliklari har qanday xosting qayd yozuvlari uchun mavjud bo'lsa-da, umumiy serverlar odatda juda katta xavfga ega. Bir serverda ko'plab hisob qaydnomalari mavjudligi sababli, juda ko'p sonli turli xil dasturlar mavjud bo'lishi mumkin - bularning barchasi muntazam yangilanishni talab qiladi.

6. Zararli dastur

Dasturiy ta'minotning zaif tomonlariga o'xshash tarzda, zararli dastur birgalikda hosting serveriga katta ta'sir ko'rsatishi mumkin. Ushbu zararli dasturlar ko'p jihatdan umumiy xosting qayd yozuvlariga o'tishlari mumkin.

Viruslar, troyan dasturlari, qurtlar va josuslarga qarshi dasturlarning turlari shunchalik ko'pki, hamma narsa mumkin. Birgalikda xosting tabiati tufayli, agar qo'shningizda bo'lsa - oxir-oqibat, siz ham uni ushlashingiz mumkin.

Tavsiyalar: zararli dasturlarni bepul skanerlash bilan veb-xost - A2 Hosting, Hostinger, Kinsta.

7. Umumiy IP

Umumiy xosting hisoblari, shuningdek, IP-manzillarni baham ko'radi. Birgalikda joylashtirilgan xost-qayd yozuvlaridagi bir nechta saytlar bitta IP-manzil orqali aniqlanishi odatiy holdir. Bu ko'plab mumkin bo'lgan muammolarni ochib beradi.

Masalan, veb-saytlardan biri o'zini yomon tutsa (masalan, spam yuborish va h.k.), IP-ni ulashadigan boshqa barcha saytlar qora ro'yxatga tushishi mumkin. Qora ro'yxatdagi IP-ni olib tashlash juda qiyin.

Ko'proq o'qing: Xavfsiz veb-xosting provayderini tanlash bo'yicha maslahatlar.

VPS / Cloud Hosting zaifliklari

VPS yoki Cloudning tabiati, ular odatda nisbatan xavfsizligini anglatadi arzon umumiy hosting serverlari.

Biroq, yanada rivojlangan o'zaro bog'liq serverlarga kirish salohiyati xakerlar uchun ish haqi to'lash ham ko'proq daromad keltirishini anglatadi. Shunday qilib, tajovuzning yanada ilg'or usullarini kutish mumkin.

8. Saytlararo xavfsizlik soxtalashtirish

Shuningdek, saytlararo soxtalashtirish (CSRF), bu kamchilik odatda xavfsiz ta'minlanmagan infratuzilmaga asoslangan veb-saytlarga ta'sir qiladi. Ba'zida foydalanuvchilar o'zlarining hisobga olish ma'lumotlarini ma'lum platformalarda saqlaydilar va agar tegishli veb-sayt kuchli infratuzilmaga ega bo'lmasa, bu xavfli bo'lishi mumkin.

Bu, ayniqsa, muntazam ravishda kiriladigan veb-xost-qayd yozuvlarida keng tarqalgan. Ushbu stsenariylarda kirish takrorlanadi, shuning uchun odatda hisobga olish ma'lumotlari saqlanadi. Haqiqiy qalbakilashtirish orqali foydalanuvchilar birinchi navbatda rejalashtirmagan harakatlarini bajarishga da'vat etiladi.

So'nggi paytlarda ushbu texnikalar bayon qilingan hisobni olib tashlash uchun potentsial zaiflik in various popular hosting platforms including Bluehost, Dreamhost, HostGator, FatCow, and iPage.

Buni ko'rib chiqing,

Buning misoli odatiy moliyaviy firibgarlik stsenariysi sifatida namoyish etilishi mumkin.

Hujumchilar tegishli URL manziliga tashrif buyuradigan CSRF himoyasi bo'lmagan shaxslarni nishonga olishlari mumkin. Saytda avtomatik ravishda bajarilgan maskalangan kod parchasi maqsadli bankka mablag'larni avtomatik ravishda o'tkazishni buyurishi mumkin.

Kod parchasi, ehtimol quyidagi kodlar yordamida rasm orqasiga ko'milishi mumkin:

<img src = http: //example.com/app/transferFunds? amount = 1500 & destinationAccount = 4673243243 width = 0 height = 0 />

*Izoh: Bu shunchaki misol va kod ishlamaydi.

9. SQL in'ektsiyalari

Har qanday veb-sayt yoki onlayn platforma uchun eng muhim tarkibiy qism ma'lumotlardir. U proektsiyalar, tahlillar va boshqa maqsadlarda qo'llaniladi. Ikkinchidan, agar kredit karta pinlari kabi maxfiy moliyaviy ma'lumotlar noto'g'ri qo'llarga tushib qolsa, bu katta muammolarni keltirib chiqarishi mumkin.

Ma'lumotlar bazasi serveriga va undan yuborilgan ma'lumotlar ishonchli infratuzilma orqali o'tishi kerak. Xakerlar bunga harakat qilishadi SQL skriptlarini yuboring mijozlarga ma'lumot kabi ma'lumotlarni chiqarib olishlari uchun serverlarga. Demak, barcha so'rovlar serverga etib borguncha ularni skanerlashingiz kerak.

Agar xavfsiz filtrlash tizimi mavjud bo'lmasa, mijozning muhim ma'lumotlari yo'qolishi mumkin. Shuni ta'kidlash kerakki, bunday dastur yozuvlarni chiqarish uchun vaqtni ko'paytiradi.

10. XSS kamchiliklarini ekspluatatsiya qilish

Hackerlar odatda yuqori darajadagi malakaga ega va oldingi skriptlarni tayyorlash muammo emas. Kodni kiritish uchun Javascript yoki boshqa dasturlash tillaridan foydalanish mumkin. Ushbu usulda qilingan hujumlar odatda foydalanuvchi hisobga olish ma'lumotlariga hujum qiladi.

XSS-ga asoslangan zararli skriptlar maxfiy ma'lumotlarga kirishi yoki tashrif buyuruvchilarni xaker tomonidan yo'naltirilgan havolalarga yo'naltirishi mumkin. Ba'zi hollarda, firmalar firibgar biznes operatsiyalarini amalga oshirish uchun shu kabi usullardan ham foydalanishlari mumkin.

11. Ishonchsiz kriptografiya

Kriptografiya algoritmlari odatda tasodifiy raqamlar generatorlarini ishlatadi, lekin serverlar asosan foydalanuvchilarning ko'pchiligisiz ishlaydi. Bu tasodifiylashish manbalarining past bo'lishiga olib kelishi mumkin. Natijada osonlikcha taxmin qilinadigan raqamlar bo'lishi mumkin - bu shifrlashning zaif tomoni.

12. Virtual mashinadan qochish

Bir nechta virtual mashinalar jismoniy serverlarda gipervizatorlar ustida ishlaydi. Ehtimol, tajovuzkor a dan foydalanishi mumkin hipervizorning zaifligi masofadan turib. Bu kamdan-kam hollarda bo'lsa ham, tajovuzkor boshqa virtual mashinalarga ham kirish huquqiga ega bo'lishi mumkin.

13. Ta'minot zanjirining zaifligi

Resurslarni taqsimlashning asosiy afzalligi Cloud hosting, shuningdek, zaiflik nuqtasi bo'lishi mumkin. Agar siz "siz o'zingizning eng zaif bog'lanishingiz kabi kuchliroq" degan so'zni eshitgan bo'lsangiz, bu Bulutga juda mos keladi.

Murakkab hujum va asosan bulutli xizmat ko'rsatuvchi provayderlarga tegishli. Bu Bulutga xos emas va boshqa joyda bo'lishi mumkin. Jonli yangilanish serverlaridan yuklab olish zararli funktsiyalar bilan qo'shilishi mumkin. Shunday qilib, ushbu dasturni yuklab olgan ko'plab foydalanuvchilarni tasavvur qiling. Ularning qurilmalari ushbu zararli dastur bilan yuqtiriladi.

14. Xavfsiz API-lar

Ilova interfeyslari (API) bulutli hisoblash jarayonlarini soddalashtirishga yordam beradi. Agar ular xavfsiz tarzda ta'minlanmasa, ular Cloud resurslaridan foydalanish uchun xakerlar uchun ochiq kanal qoldirishlari mumkin.

Qayta foydalaniladigan komponentlar juda mashhur bo'lganligi sababli, xavfli API-lardan foydalanishda etarli darajada himoya qilish qiyin bo'lishi mumkin. Hujumga kirish uchun xakerlar oddiy kirish urinishlarini qayta-qayta sinab ko'rishlari mumkin - ularga bitta ochilgan eshikni topish kifoya.

Qo'shimcha ma'lumot: Eng yaxshi VPS hosting provayderlari / Eng yaxshi Cloud Hosting Provayderlari


final Fikrlar

2020 yilning birinchi yarmida veb-saytlarga kiberhujumlarning aniqlangan turlari.
2020 yilning birinchi yarmida veb-saytlarga kiberhujumlarning aniqlangan turlari (manba).

Ko'pchiligimiz o'ylayotganimizda veb-sayt xavfsizligi, odatda bu bizning veb-saytlarimizning zaif tomonlarini bartaraf etish nuqtai nazaridan. Afsuski, siz ko'rib turganingizdek, boshqa xujumlardan himoya qilish ham veb-xosting provayderlarining javobgarligi.

Xizmat ko'rsatuvchi provayderni o'zini himoya qilishga ishontirish uchun juda ko'p narsa qilmasangiz ham, bu xabardorlik sizga yordam berishi mumkin veb-xostingni yaxshiroq tanlash. Masalan, veb-xostning xavfsizlikka bo'lgan e'tiborini kuzatib, ularning o'z serverlarini qanchalik xavfsiz saqlashlari haqida yaxshiroq ma'lumotga ega bo'lishingiz mumkin.

Ba'zi veb-xostlar xavfsizlik bo'yicha juda oddiy choralarni qo'llaydilar - iloji bo'lsa, ulardan saqlanishga harakat qiling. Boshqalar taniqli bilan ishlashga qadar borish mumkin kiberxavfsizlik brendlar yoki hatto tajovuzkor ichki xavfsizlik vositalari va echimlarini ishlab chiqadi.

Veb-xosting narxi sizga ajratilgan resurslardan yuqori - shuning uchun o'z imkoniyatlaringizni oqilona muvozanatlashtiring.

Jerry Low haqida

WebHostingSecretRevealed.net (WHSR) asoschisi - 100,000 foydalanuvchilari tomonidan ishonchli va foydalanilgan xosting tekshiruvi. 15-dan ortiq veb-tajribasi, affiliate marketing va SEO tajribasi. ProBlogger.net, Business.com, SocialMediaToday.com va boshqa ko'plab ishtirokchilar.

»I ¿