Безопасности сайта должно уделяться много внимания и времени. От этого зависит его работоспособность и репутация. Все сайты в сети интернет подвергаются различным атакам, и к ним нужно быть готовым. В этой статье мы вкратце рассмотрим цели и виды атак на интернет-ресурсы, а также часто встречающиеся недоработки при создание сайтов.
Цели атак
1) Снижение работоспособности интернет-ресурса - атаки на сервер, предназначенные для снижения доверия пользователей к сайту и перехода их на другие ресурсы конкурентов.
2) Сбор данных - обход сайта и сбор данных о фирмах, новостях, товарах, объявлениях и другой полезной информации для использования ее в личных и коммерческих целях другой стороной.
3) Заражение сайта - атака на сайт с заражением его вредоносным кодом и превращением его в зомби. Используется для проведения DDOS-атак, рассылке спама, сбора информации, получения Cookies и последующего взлома аккаунтов пользователей.
4) Взлом с получением доступа к БД - атака, направленная на получение конфиденциальной информации о пользователях, счетах, операциях и других данных, имеющих ценность.
5) Взлом с удалением данных - атака, направленная на получение доступа к серверу и последующее удаление данных. При такой атаке данные на сервере могут быть утеряны. Создавайте бекапы баз данных и конфигов, чтобы минимизировать потерю времени на восстановление информации.
Виды атак и методы борьбы с ними
1) DDOS - атака на сервер, размещающий атакуемый сайт, при помощи огромного количества запросов. Эта атака в большинстве случаев применяется для крупных интернет-порталов, торговых площадок, социальных сетей, новостных сайтов. Цель атаки - сделать сайт временно неработоспособным. При таком большом количестве запросов атакуемый сайт начинает медленно работать или вовсе перестает отвечать на запросы. Такие атаки имеют политический или коммерческий характер. Если Ваш сайт находиться на VDS и использует динамические ресурсы сервера, то в результате такой атаки, Вы можете попасть на непредвиденные расходы. Защищаться от DDOS нужно комплексно, а лучше воспользоваться услугами хостинговых компаний или опытных ит-специалистов. Частично защититься от такой атаки поможет правильная настройка iptables и сетевых параметров ядра ОС Linux.
2) XSS - самый распространенный вид атаки, реализующийся с помощью внедрения вредоносного кода в содержимое сайта на клиентской стороне. Цель атаки - получение данных Cookies пользователей и последующего взлома их аккаунтов.
Способы защиты от XSS
Фильтрация данных полей ввода - исключение кавычек, тегов и других символов, которые могут нарушить разметку и позволить внедрить код;
Указание кодировки сайта в начале тега - не указанная кодировка сайта в начале заголовка может привести к внедрению кода в другой кодировке, например utf-7;
Использование флага httponly = true при создание кук - это запретит доступ к получению кук из скриптов;
Фильтрация протоколов javascript: и data: - используя эти протоколы, можно внедрить вредоносный код в атрибуте src;
Проверка типов загружаемых графических файлов - проблема актуальна для старых браузеров, которые не умеют распознавать целостность сфабрикованных jpeg файлов. С помощью специального редактора можно вшить вредоносный код в тело изображения.
3) SQL инъекция - подстановка данных в поля запроса с целью получения ошибки базы данных для анализа ее структуры и последующей вставки вредоносной информации. Экранирование входных данных поможет избежать данную угрозу.
4) Уязвимости ПО сервера - сканирование сервера с целью выявления открытых сервисов и подбора эксплойтов к ним. Данная атака состоит из двух частей. Первоначально проводится сканирование открытых портов, и получение информации о программном обеспечение с помощью сетевых сканеров (nmap, xspider). После того, как известны порты и сервисы, работающие на них, злоумышленник подбирает и тестирует эксплойты. Поэтому чтобы избежать больших неприятностей, регулярно обновляйте программное обеспечение сервера и следите за новыми уязвимостями. Независимо от обновления ПО не забывайте о правах на файлы и области видимости сервисов (например: php).
Обращаем Ваше внимание, что proftpd 1.3.4а имеет большую уязвимость, тем, кто его использует, рекомендуем отключить модуль mod_copy. Данный модуль позволяет злоумышленнику удаленно без авторизации перемещать файлы на Вашем сервере.
Старайтесь скрывать лишние HTTP-заголовки, содержащие версии php, nginx и других сервисов.
Как правило, сканируют не только порты, но и структуру сайта. Если взглянуть в логи веб-сервера, то там можно увидеть множество запросов с поиском файлов phpMyAdmin, cms wordpress и других стандартных путей для доступа в админку. Если используете phpMyAdmin, то лучшее всего изменить доступ к нему на другой адрес.
4) Переполнение буфера - атака направленная на переполнение буфера обмена сервисов для дальнейшего внедрения shell-кода. Цель атаки - внедрить вредоносный код и получить доступ к серверу. Следите за обновлениями сервисов, чтобы избежать подобное.
5) Перехват данных - прослушивание и обработка передаваемой информации в сети или на сервере. Все прекрасно знают, что протокол HTTP является открытым. Поэтому, если злоумышленник получил доступ к каналу связи, он может легко выловить доступы к незащищенным соединениям. Чтобы избежать утечку данных на своем ресурсе, используйте HTTPS соединение.
Мы рассмотрели лишь поверхностно уязвимости и методы борьбы с ними. В реальности каждый вид уязвимости имеет множество вариаций. Чтобы защитить свой сайт от злоумышленников обновляйте регулярно ПО на сервере, следите за новостями и обновлениями, фильтруйте входные данные.
Узнать больше информации об уязвимостях, посмотреть примеры и методы защиты можно на сайтах: securitylab.ru, forum.antichat.ru, xakep.ru.
Адрес обзора: https://soft-arhiv.com/publ/zaschita_sajta