Tato příručka bude sdílet nejběžnější techniky hackování webových stránek, které vám pomohou připravit se na škodlivé útoky.
lukrativní povaha internetu vedla k významnému nárůstu počtu technik hackování webových stránek.
počítačoví zločinci používají mnoho různých nástrojů a technik k získání přístupu k citlivým informacím, které se nacházejí online. Často útočí na webové stránky a síťové zdroje ve snaze vydírat peníze nebo ukrást majetek organizacím.
Chcete-li chránit sebe a své podnikání před počítačovými zločinci, je důležité si uvědomit, jak fungují techniky hackování webových stránek.
SQL Injection attacks
SQL Injection attacks je nejběžnější hackerská technika webových stránek. Většina webových stránek používá k interakci s databázemi strukturovaný dotazovací jazyk (SQL).
SQL umožňuje webové stránce vytvářet, načítat, aktualizovat a mazat záznamy databáze. Používá se pro vše od přihlášení uživatele na web až po ukládání podrobností o transakci elektronického obchodu.
SQL injection attack umístí SQL do webového formuláře ve snaze přimět aplikaci ke spuštění. Například místo psaní prostého textu do pole uživatelského jména nebo hesla může hacker zadat ' OR 1=1
.
pokud aplikace připojí tento řetězec přímo k příkazu SQL, který je navržen tak, aby zkontroloval, zda uživatel v databázi existuje, vždy vrátí true.
to může hackerovi umožnit přístup k omezené části webové stránky. Další útoky SQL injection lze použít k odstranění dat z databáze nebo vložení nových dat.
hackeři někdy používají automatizované nástroje k provádění injekcí SQL na vzdálených webech. Budou skenovat tisíce webových stránek a testovat mnoho typů injekčních útoků, dokud nebudou úspěšné.
SQL injection útokům lze zabránit správným filtrováním vstupu uživatele. Většina programovacích jazyků má speciální funkce pro bezpečné zpracování vstupu uživatele, který bude použit v dotazu SQL.
co je cross-site scripting (XSS)?
Cross-site scripting je hlavní zranitelnost, kterou hackeři často zneužívají k hackování webových stránek. Je to jedna z obtížnějších zranitelností, s nimiž se můžete vypořádat kvůli způsobu, jakým funguje.
některé z největších webových stránek na světě se zabývaly úspěšnými útoky XSS, včetně společností Microsoft a Google.
většina hackerských útoků na webové stránky XSS používá škodlivé skripty Javascript, které jsou vloženy do hypertextových odkazů. Když uživatel klikne na odkaz, může ukrást osobní údaje, unést webovou relaci, převzít uživatelský účet nebo změnit reklamy zobrazené na stránce.
hackeři často vkládají tyto škodlivé odkazy do webových fór, webových stránek sociálních médií a dalších významných míst, kde na ně uživatelé kliknou.
aby se zabránilo útokům XSS, musí vlastníci webových stránek filtrovat vstup uživatele, aby odstranili škodlivý kód.
co je odmítnutí služby (DoS/DDoS)?
útok odmítnutí služby zaplaví webovou stránku velkým množstvím internetového provozu, což způsobí, že její servery budou ohromeny a havarují.
většina útoků DDoS se provádí pomocí počítačů, které byly napadeny malwarem. Majitelé infikovaných počítačů si možná ani neuvědomují, že jejich počítač odesílá žádosti o data na váš web.
útokům odmítnutí služby lze zabránit:
- Rychlost omezení routeru vašeho webového serveru.
- přidání filtrů do routeru k poklesu paketů z pochybných zdrojů.
- upuštění falešných nebo malformovaných paketů.
- nastavení agresivnějších časových limitů na připojeních.
- použití firewallů s ochranou proti DDoS.
- pomocí softwaru pro zmírnění DDoS třetích stran od společností Akamai, Cloudflare, VeriSign, Arbor Networks nebo jiného poskytovatele.
co je to cross-site request forgery (CSRF nebo XSRF)?
padělání žádostí o Cross-site je běžné škodlivé zneužití webových stránek. K tomu dochází, když jsou neautorizované příkazy přenášeny od uživatele, kterému webová aplikace důvěřuje.
uživatel je obvykle přihlášen na web, takže má vyšší úroveň oprávnění, což hackerovi umožňuje převádět finanční prostředky, získávat informace o účtu nebo získat přístup k citlivým informacím.
existuje mnoho způsobů, jak hackeři přenášet kované příkazy, včetně skrytých formulářů, AJAX, a obrazové značky. Uživatel si není vědom, že příkaz byl odeslán, a web se domnívá,že příkaz pochází od ověřeného uživatele.
hlavní rozdíl mezi útokem XSS a CSRF spočívá v tom, že uživatel musí být přihlášen a důvěryhodný webem, aby hackerský útok CSRF fungoval.
majitelé webových stránek mohou zabránit útokům CSRF kontrolou hlaviček HTTP, aby ověřili, odkud požadavek pochází, a zkontrolovali tokeny CSRF ve webových formulářích. Tyto kontroly zajistí, že požadavek přišel ze stránky uvnitř webové aplikace a ne z externího zdroje.
co je DNS spoofing(otrava mezipaměti DNS)?
tato technika hackování webových stránek vstřikuje poškozená doménová systémová data do mezipaměti DNS resolveru, aby přesměrovala, kde je odesílán provoz webových stránek. Často se používá k odesílání provozu z legitimních webů na škodlivé weby, které obsahují malware.
spoofing DNS lze také použít ke shromažďování informací o odkloněném provozu. Nejlepší technikou pro prevenci spoofingu DNS je nastavení krátkých časů TTL a pravidelné vymazání mezipaměti DNS místních počítačů.
techniky sociálního inženýrství
v některých případech je největší slabinou bezpečnostního systému webu lidé, kteří jej používají. Sociální inženýrství se snaží tuto slabost využít.
hacker přesvědčí uživatele nebo správce webových stránek, aby prozradil některé užitečné informace, které jim pomohou zneužít webové stránky. Existuje mnoho forem útoků sociálního inženýrství, včetně:
Phishing
uživatelům webových stránek jsou zasílány podvodné e-maily, které vypadají, jako by pocházely z webových stránek. Uživatel je požádán, aby prozradil některé informace, jako jsou jeho přihlašovací údaje nebo osobní údaje. Hacker může tyto informace použít k ohrožení webu.
návnada
Jedná se o klasickou techniku sociálního inženýrství, která byla poprvé použita v 1970. hacker opustí zařízení poblíž vašeho místa podnikání, možná označené štítkem jako „platy zaměstnanců“.
jeden z vašich zaměstnanců ji může vyzvednout a vložit do svého počítače ze zvědavosti. USB flash disk bude obsahovat malware, který infikuje vaše počítačové sítě a ohrožuje váš web.
Pretexting
hacker vás bude kontaktovat, jednoho z vašich zákazníků nebo zaměstnance a předstírat, že je někdo jiný. Budou požadovat citlivé informace, které používají k ohrožení vašeho webu.
nejlepší způsob, jak eliminovat útoky sociálního inženýrství, je vzdělávat své zaměstnance a zákazníky o těchto druzích útoků.
necílené techniky hackování webových stránek
v mnoha případech hackeři nebudou konkrétně cílit na vaše webové stránky. Jaký druh hackerských technik webových stránek tedy používají?
obvykle se zaměřují na zranitelnost, která existuje pro systém správy obsahu, plugin nebo šablonu.
například mohou vyvinout některé techniky hackování webových stránek, které se zaměřují na zranitelnost v konkrétní verzi WordPress, Joomla nebo jiného systému pro správu obsahu.
budou používat automatizované roboty k nalezení webových stránek pomocí této verze dotyčného systému pro správu obsahu před zahájením útoku. Mohou tuto chybu zabezpečení použít k odstranění dat z vašeho webu, odcizení citlivých informací nebo vložení škodlivého softwaru na váš server.
nejlepší způsob, jak se vyhnout útokům hackerů na webových stránkách, je zajistit, aby váš systém pro správu obsahu, pluginy a šablony byly aktuální.