Перейти к содержанию

Атаки на сайты


Рекомендуемые сообщения

Я и раньше знал, что злоумышленники часто атакуют веб-сайты, чтобы похитить конфиденциальную информацию или просто повредить сайт. Но об истинных масштабах этого бедствия я узнал недавно. Оказывается, только в августе текущего года было зафиксировано и блокировано 16278 атак на сайты, находящиеся на нашем хостинге. Основные виды атак и их количество перечислены в таблице (данные за август 2008 г.)

 

Вид атаки

 

Число атак

 

Более 200 запросов к сайту в течение 2 секунд

 

4348

 

SQL Injection — SQL иньекция

 

3783

 

Cross-Site Scripting — Межсайтовый скриптинг

 

3081

 

Запросы с анонимных прокси-серверов

 

2770

 

Probing — Исследование сайта на известные уязвимости

 

901

 

Encoding — Кодирование запроса

 

712

 

Bad User-Agents Signatures — агенты-сканеры

 

619

 

 

 

 

Поскольку не все читатели нашего блога знакомы с терминологией, которой пользуются специалисты, я кратко расскажу о наиболее опасных атаках, предпринятых против сайтов наших клиентов.

 

 

SQL инъекции

Это одна из самых опасных атак против сайта. Сайт представляет собой программный код, который хранится на веб-сервере с ограниченным доступом (это хранение специалисты предпочитают именовать хостингом). Казалось бы, злоумышленник не может получить доступ к этому коду, если не узнает имя и пароль для доступа к серверу. Но есть один вход, который не закрыт паролем. Для того чтобы войти на сайт, посетитель набирает в адресной строке программы-браузера адрес сайта. Перемещаясь по сайту, заполняя различные формы, посетитель посылает запросы к базе данных, которые выполняются веб-сервером. В этой базе может, например, находиться информация о товарах, предлагаемых в Интернет-магазине, а также о зарегистрированных пользователях. Здесь и находится слабое место в обороне сайта, через которое может проникнуть взломщик. Он формирует такой запрос, который будет воспринят веб-сервером как команда. В результате выполнения этой команды преступник может получить доступ к информации из базы данных или заменить эту информацию на другую. Он может также полностью блокировать работу базы данных.

 

Некоторые владельцы сайтов могут подумать, что такие атаки нацелены, в основном, на сайты банков. Там злоумышленник действительно может найти ценную информацию, касающуюся, например, доступа к счетам клиентов. Но и обычные корпоративные сайты, содержащие всего лишь сведения о компании и её продукции, тоже часто становятся жертвами SQL инъекций. Причины могут быть разными. Самой банальной является обыкновенное хулиганство. Атаку могут организовать конкуренты или, например, один из обиженных сотрудников компании. Если администратор веб-сервера не примет своевременные меры, сайт может выйти из строя. Результат – потеря потенциальных клиентов и партнеров, не нашедших сайт компании или обнаруживших его в неприглядном виде.

 

 

Межсайтовый скриптинг.

Эта атака направлена не против сервера, на котором находится сайт, а против посетителей сайта. Для этого в веб-страницы уязвимого сайта внедряется соответствующий код. После этого зараженный сайт превращается в ловушку для ничего не подозревающих посетителей. Они становятся жертвами взломщиков при просмотре зараженных страниц или после клика по зараженной ссылке. Результатом атаки может быть выполнение вредоносного кода на компьютере пользователя или переадресация посетителя на другой сервер. Тогда работу по взлому компьютера пользователя проведет этот сервер.

 

Но какова цель всех этих сложных манипуляций с кодами? Почему преступники стремятся проникнуть в компьютер несчастного пользователя? Конечно, причина вполне может заключаться в уже упомянутых хулиганских наклонностях взломщиков, но большинство руководствуется корыстными мотивами. Преступники могут похитить информацию с компьютера пользователя и позже использовать ее для взлома этого компьютера. Преступник может подсунуть пользователю сфабрикованную им веб-страницу с измененным кодом и в результате получить логин и пароль пользователя для входа на сайт с конфиденциальной информацией.

 

 

Другие атаки

Есть и много других способов атаковать сайт. Один из самых примитивных – послать большое число запросов к сайту (например, 200 запросов в течение 2 секунд), чтобы перегрузить веб-сервер. Кроме того, злоумышленники сканируют сайты для выявления известных уязвимостей. Эти атаки также фиксируются и блокируются нашим сервером. Блокируются также входы с анонимных прокси-серверов. Если посетитель сайта хочет скрыть свой IP адрес, это уже можно считать признаком готовящейся атаки.

 

Противостояние защиты и атакующих похоже на настоящую войну. Разрабатываются все более сложные методы защиты сайтов, но взломщики отыскивают новые уязвимые места и изобретают новые методы атаки. Конечно, сотрудники компаний, владеющих сайтами, не должны становиться специалистами по компьютерной безопасности. Но им следует знать и помнить, что их корпоративный сайт может быть атакован в любой момент.

 

 

 

Андрей Мусиенко,

кандидат физико-математических наук

аналитик Интернет-агентства Артус

 

Взято отсюда: http://blog.artus.ru/ataki-protiv-sajtov/

 

 

Ссылка на комментарий
Поделиться на другие сайты

Запросы с анонимных прокси-серверов

 

Encoding — Кодирование запроса

 

:smile13: Странный этот автор какой-то. Интересно где он такие атаки нашел?

Ну пришел человек через анонимный прокси - ну и что в этом такого криминального? :smile1:

А уж с encoding и подавно ничего не понятно... Видимо имелись в виду аномальные запросы, с искажениями в URL-кодировании или Unicode-кодировании..

 

Лично я видел обычно другие атаки

-аномальные запросы

-попытки использования известных уязвимых скриптов (как вручную, так и с помощью разнообразных сканеров)

-попытки RFI (удаленного вызова файлов)

-попытки использовать веб-сервер как прокси

 

 

 

Ссылка на комментарий
Поделиться на другие сайты

мне интересно как он статистику собрал

Это-то легко. Стоит сетевая система обнаружения атак (типа Juniper IDP или Cisco IDS или просто Snort) ну или что-то типа mod_security (ил другой WAF) и считаются срабатывания сигнатур :smile3:

 

Плюс некий примитивный анализ 404 ошибок, User-Agent и IP в access_log :smile1:

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.

×
×
  • Создать...