tässä oppaassa jaetaan yleisimmät verkkosivustojen hakkerointitekniikat, jotka auttavat sinua valmistautumaan haitallisiin hyökkäyksiin.
Internetin tuottavuus on johtanut siihen, että verkkosivujen hakkerointitekniikat ovat lisääntyneet merkittävästi.
verkkorikolliset käyttävät monia erilaisia työkaluja ja tekniikoita päästäkseen käsiksi verkosta löytyvään arkaluontoiseen tietoon. He hyökkäävät usein verkkosivustoja ja verkon resursseja vastaan kiristääkseen rahaa tai varastaakseen varoja järjestöiltä.
suojellaksesi itseäsi ja yritystäsi verkkorikollisilta on tärkeää olla tietoinen siitä, miten verkkosivujen hakkerointitekniikat toimivat.
SQL Injection attacks
SQL Injection attack on yleisin verkkosivujen hakkerointitekniikka. Useimmat sivustot käyttävät strukturoitua kyselykieltä (SQL) vuorovaikutuksessa tietokantojen kanssa.
SQL sallii sivuston luoda, hakea, päivittää ja poistaa tietokantatallenteita. Sitä käytetään kaikkeen kirjautumalla käyttäjän verkkosivustolle tietojen tallentamiseen verkkokauppatapahtumasta.
SQL injektio hyökkäys asettaa SQL web-muodossa yrittää saada sovelluksen ajaa sitä. Esimerkiksi sen sijaan, että hakkeri kirjoittaisi pelkkää tekstiä käyttäjätunnus-tai salasanakenttään, hän voi kirjoittaa ' OR 1=1
.
jos sovellus liittää tämän merkkijonon suoraan SQL-komentoon, joka on suunniteltu tarkistamaan, onko tietokannassa käyttäjää, se palaa aina true.
näin hakkeri voi päästä käsiksi verkkosivuston rajoitettuun osioon. Muilla SQL-pistoshyökkäyksillä voidaan poistaa tietoja tietokannasta tai lisätä uusia tietoja.
hakkerit käyttävät joskus automatisoituja työkaluja SQL-pistosten suorittamiseen etäsivustoilla. He skannaavat tuhansia verkkosivustoja ja testaavat monenlaisia pistoshyökkäyksiä, kunnes ne onnistuvat.
SQL-pistoshyökkäykset voidaan estää suodattamalla käyttäjän syöte oikein. Useimmissa ohjelmointikielissä on erityisiä toimintoja, joilla voidaan turvallisesti käsitellä SQL-kyselyssä käytettävää käyttäjän syöttöä.
mitä on cross-site scripting (XSS)?
Cross-site scripting on merkittävä haavoittuvuus, jota hakkerit käyttävät usein hyväksi verkkosivujen hakkeroinnissa. Se on yksi vaikeimmista haavoittuvuuksista käsitellä, koska se toimii.
jotkut maailman suurimmista verkkosivustoista ovat käsitelleet onnistuneita XSS-hyökkäyksiä, kuten Microsoft ja Google.
useimmat XSS-sivuston hakkerointihyökkäykset käyttävät haitallisia Javascript-skriptejä, jotka on upotettu hyperlinkeihin. Kun käyttäjä napsauttaa linkkiä, se voi varastaa henkilökohtaisia tietoja, kaapata web-istunnon, vallata käyttäjätilin, tai muuttaa mainoksia, jotka näkyvät sivulla.
hakkerit lisäävät usein näitä haitallisia linkkejä verkkofoorumeille, sosiaalisen median verkkosivustoille ja muille näkyville paikoille, joissa käyttäjät klikkaavat niitä.
XSS-hyökkäysten välttämiseksi verkkosivuston omistajien on suodatettava käyttäjän syöte haitallisen koodin poistamiseksi.
mikä on palvelunestohyökkäys (dos/DDoS)?
palvelunestohyökkäys tulvii verkkosivulle valtavan määrän internetliikennettä aiheuttaen sen palvelimien hukkumisen ja kaatumisen.
suurin osa DDoS-hyökkäyksistä tehdään tietokoneilla, jotka ovat vaarantuneet haittaohjelmien avulla. Tartunnan saaneiden tietokoneiden omistajat eivät välttämättä edes tiedä, että heidän koneensa lähettää tietopyyntöjä verkkosivustollesi.
palvelunestohyökkäykset voidaan estää:
- hinta rajoittaa web-palvelimen reitittimen.
- lisäämällä reitittimeen suodattimia, joilla voi pudottaa paketteja epäilyttävistä lähteistä.
- väärennettyjen tai epämuodostuneiden pakettien pudottaminen.
- aggressiivisempien aikalisien asettaminen yhteyksille.
- käyttämällä palomuureja, joissa on DDoS-suojaus.
- käyttämällä kolmannen osapuolen palvelunestohyökkäysten lieventämisohjelmistoa akamailta, Cloudflarelta, Verisigniltä, Arbor Networksilta tai toiselta palveluntarjoajalta.
mikä on ristipyyntöväärennös (CSRF tai XSRF)?
Cross-site request forgery on yleinen verkkosivustojen haitallinen hyväksikäyttö. Se tapahtuu, kun luvattomat komennot lähetetään käyttäjältä, johon verkkosovellus luottaa.
käyttäjä on yleensä kirjautuneena sivustolle, joten heillä on suuremmat oikeudet, jolloin hakkeri voi siirtää varoja, hankkia tilitietoja tai päästä käsiksi arkaluontoisiin tietoihin.
hakkereille on monia tapoja lähettää väärennettyjä komentoja, kuten piilotettuja lomakkeita, Ajaxia ja kuvamerkkejä. Käyttäjä ei ole tietoinen, että komento on lähetetty ja sivusto uskoo, että komento on tullut autentikoidulta käyttäjältä.
tärkein ero XSS: n ja CSRF: n hyökkäyksen välillä on se, että CSRF: n verkkosivujen hakkerointihyökkäyksen onnistumiseksi käyttäjän täytyy olla kirjautuneena sisään ja luottaa siihen.
verkkosivujen omistajat voivat estää CSRF: n hyökkäykset tarkistamalla HTTP-otsikoita tarkistaakseen, mistä pyyntö tulee, ja tarkistamalla CSRF: n poletit verkkolomakkeista. Näillä tarkistuksilla varmistetaan, että pyyntö on tullut verkkosovelluksen sisältävältä sivulta eikä ulkoisesta lähteestä.
mitä on DNS-huijaus (DNS-välimuistimyrkytys)?
tämä sivuston hakkerointitekniikka ruiskuttaa korruptoituneen verkkotunnusjärjestelmän tiedot DNS-resolverin välimuistiin uudelleenohjaamaan, minne verkkosivuston liikenne lähetetään. Sitä käytetään usein lähettämään liikennettä laillisilta verkkosivustoilta haitallisille verkkosivustoille, jotka sisältävät haittaohjelmia.
DNS-huijauksella voidaan myös kerätä tietoa ohjattavasta liikenteestä. Paras tekniikka estää DNS huijaus on asettaa lyhyitä TTL kertaa ja säännöllisesti tyhjentää DNS välimuistit paikallisten koneiden.
Social engineering techniques
joissakin tapauksissa verkkosivuston turvajärjestelmän suurin heikkous on sen käyttäjät. Sosiaalinen suunnittelu pyrkii hyödyntämään tätä heikkoutta.
hakkeri suostuttelee verkkosivuston käyttäjän tai ylläpitäjän paljastamaan hyödyllistä tietoa, joka auttaa heitä hyödyntämään sivustoa. Sosiaalisen manipuloinnin hyökkäyksiä on monenlaisia, kuten:
tietojenkalastelu
verkkosivuston käyttäjille lähetetään huijaussähköposteja, jotka näyttävät siltä kuin ne olisivat tulleet verkkosivulta. Käyttäjää pyydetään paljastamaan joitakin tietoja, kuten kirjautumistiedot tai henkilökohtaiset tiedot. Hakkeri voi käyttää näitä tietoja vaarantaakseen sivuston.
Baiting
tämä on klassinen sosiaalinen tekniikka, jota käytettiin ensimmäisen kerran 1970-luvulla. hakkeri jättää laitteen lähelle toimipaikkaasi, ehkä merkittynä kuten ”työntekijöiden palkat”.
joku työntekijästäsi saattaa uteliaisuudesta ottaa sen käteensä ja lisätä sen tietokoneeseensa. USB-tikku sisältää haittaohjelmia, jotka saastuttavat tietoverkkosi ja vaarantavat verkkosivustosi.
teeskentelemällä
hakkeri ottaa yhteyttä sinuun, yhteen asiakkaistasi tai työntekijääsi ja teeskentelee olevansa joku muu. He vaativat arkaluonteisia tietoja, joita he käyttävät sivustosi vaarantamiseen.
paras tapa eliminoida social engineering-hyökkäykset on valistaa työntekijöitä ja asiakkaita tällaisista hyökkäyksistä.
Ei-kohdennetut verkkosivujen hakkerointitekniikat
monissa tapauksissa hakkerit eivät erityisesti kohdistu sivustoosi. Millaisia nettisivujen hakkerointitekniikoita he sitten käyttävät?
ne kohdistavat yleensä haavoittuvuutta, joka on olemassa sisällönhallintajärjestelmää, liitännäistä tai mallia varten.
he ovat esimerkiksi saattaneet kehittää joitakin verkkosivujen hakkerointitekniikoita, jotka kohdistuvat haavoittuvuuteen tietyssä WordPress -, Joomla-tai muussa sisällönhallintajärjestelmässä.
he käyttävät automaattisia botteja etsiäkseen verkkosivustoja käyttämällä kyseistä sisällönhallintajärjestelmän versiota ennen hyökkäyksen käynnistämistä. He saattavat käyttää haavoittuvuutta poistaakseen tietoja verkkosivustoltasi, varastaakseen arkaluonteisia tietoja tai lisätäkseen haittaohjelmia palvelimeesi.
paras tapa välttää verkkosivujen hakkerointihyökkäykset on varmistaa, että sisällönhallintajärjestelmä, liitännäiset ja mallit ovat kaikki ajan tasalla.