Wykrywaj luki i ataki na stronie internetowej

Zagrożenia w Internecie rosną z dnia na dzień, dlatego posiadanie bezpiecznej strony internetowej jest bardzo ważne dla każdego webmastera. Niektóre ataki to:

  • Mężczyzna w środku atakuje podszywanie się pod MITM
  • Podszywanie się pod DHCP
  • Prosty Shellshock
  • Kradzież portów
  • Keylogger
  • Wstrzyknięcie SQL
itp.

Wiele stron internetowych jest atakowanych w poszukiwaniu luk w zabezpieczeniach, aby zainfekować je trojanami lub zaszyfrowanymi wirusami w celu uruchomienia kodu źródłowego z atakowanej witryny. Ten typ wirusa może pochodzić z kodu javascript, aby program antywirusowy nie mógł go łatwo wykryć w skrypcie w php lub innych językach.

Najbardziej znaną i najczęściej używaną formą jest szyfrowanie skryptu z wykorzystaniem poleceń eval, base64_decode, base64 lub base64_decode. Ten rodzaj kodu jest używany do generowania dużej ilości spamu, atakowania innych serwerów, wyłączania usługi serwera, przejmowania kontroli nad siecią lub dezaktywacji sieci.

Webmaster lub webmaster nie zorientują się, co się stanie, dopóki sieć nie zostanie zablokowana pod kątem spamu lub zawieszona z powodu dużego zużycia zasobów. Jeśli sami zarządzamy serwerem, to możemy sobie z tego uświadomić, patrząc na logi systemu i zapory sieciowej, które pokażą, że dzieje się coś niezwykłego, zwłaszcza jeśli występuje nadmierne zużycie zasobów lub masowe wiadomości e-mail.

Luki w zabezpieczeniach lub braki programistyczne są najczęstszymi przyczynami luk w zabezpieczeniach, dlatego są one atakowane przez wykorzystanie dowolnej z następujących luk:

1. Luki bezpieczeństwa, które narażają witrynę na ryzyko


Wstrzyknięcie kodu
Ta technika polega na wysłaniu kodu przez adres URL i na tym, że dane te nie są sprawdzane podczas wykonywania przez sieć, co jest najczęstszymi wstrzyknięciami sql i php. Aby znaleźć możliwe witryny, należy na przykład przeszukać sieć Google, która zawiera zmienną w swoim adresie URL
 inurl: article.php?id =
Zobaczymy jak wyglądają różne strony internetowe, zmieniając stronę i id znajdziemy potencjalnie podatne strony.

Bierzemy losową sieć z listy dostarczonej przez Google i wysyłamy zmienną „a” w identyfikatorze, wynik jest więcej niż jasny, sieć jest podatna na ataki.

Aby uniknąć tego problemu, należy sprawdzić, czy dane wprowadzone przez adres URL są prawidłowe, a także unikać wyświetlania komunikatów o błędach na wypadek niepowodzenia zapytania SQL i konieczności wysłania go na stronę błędu kontrolowaną przez administratora sieci.

Sesje i pliki cookie
Ten rodzaj luki jest spowodowany niewłaściwym wykorzystaniem sesji, gdy użytkownik korzysta z dzienników lub uwierzytelniania w celu uzyskania dostępu do dowolnej części sieci. Musimy uważać, aby zaszyfrować informacje, które przechowujemy w sekcjach i plikach cookie, aby zapobiec ich odczytaniu i wykorzystaniu przez atakującego.

Skrypty między witrynami (XSS)
Ten rodzaj podatności jest bardzo częsty i podobnie jak poprzednie działa, gdy parametr jest przesyłany przez url i nie jest przeprowadzana poprawna walidacja danych wprowadzonych w parametrach.

Prosty przykład do sprawdzenia, czy nasza strona internetowa jest podatna na ataki XSS lub wstrzykiwanie kodu może być:

 http://www mojadomena.com.com/index.php?variable=
W takim przypadku atak wyświetli jedynie komunikat ostrzegawczy na komputerze użytkownika, który odwiedza sieć, ponieważ do kodu wstrzykujemy tylko JavaScript html z internetu. Dzieje się tak, ponieważ zmienna nie potwierdza, że ​​nie wpisujesz złego kodu.

Przykład, w którym widać lukę, w której można wstrzyknąć pełną stronę logowania html w celu zastąpienia formularza. I przekieruj go na inny serwer:

Złe ustawienia lub złe uprawnienia: Ten rodzaj luki występuje, gdy źle konfigurujemy usługi serwera lub gdy przyznajemy niewłaściwe uprawnienia użytkownikom.

UwagaJeśli jest to VPS lub serwer dedykowany, musimy bardzo uważać na wrażliwe pliki i katalogi systemu operacyjnego

Wszystko, co dotyczy systemu funkcjonalnego serwera, powinno być jak najbardziej ograniczone, administratorem może być tylko użytkownik root. W przypadku tworzenia stron internetowych lub posiadania różnych użytkowników, musimy przypisać uprawnienia dostępu do różnych zasobów, a pliki aplikacji internetowej muszą mieć użytkownika i grupę, która będzie miała dostęp do różnych usług serwera internetowego.

2. Narzędzia do wykrywania


Wirus Suma
Jest to narzędzie do skanowania online dostarczane przez Google, które szybko sprawdza pliki witryny, które ten program antywirusowy znajduje na serwerze, korzysta z kilku najbardziej znanych silników antywirusowych, takich jak Panda ActiveScan, Bit Defender, McAfee FreeScan itp.

To narzędzie jest używane tylko do skanera, a nie do czyszczenia lub dezynfekcji sieci.

Alert czarnej listy
BlackListAlert.org to szeroko stosowane narzędzie online, które oferuje bezpłatne wyszukiwanie, jeśli nasz adres IP lub nasza strona internetowa znajduje się na czarnej liście. Jeśli podczas wyszukiwania według domeny lub adresu IP strona internetowa pojawia się na jakiejś czarnej liście, nie można jej usunąć z listy z BlackListAlert, ale zapewni link Zobacz dlaczego, aby zobaczyć powody, dla których jesteśmy na tej czarnej liście.

POWIĘKSZAĆ

Jeśli pojawimy się na czarnej liście, możemy mieć poważne problemy z pozycjonowaniem. Aby spróbować wydostać się z czarnej listy bez konieczności zmiany domeny lub IP, musimy skontaktować się z administratorem serwisu, który umieszcza nas na czarnej liście. Będziemy musieli wyjaśnić, na czym polegał problem, w ten sposób administrator czarnej listy może zbadać sytuację, aby odblokować sieć i adres IP.

MXToolbox
MXToolbox.com oferuje zestaw narzędzi online do sprawdzania wydajności, działanie i reputacja domeny lub adresu IP. Jeśli za pomocą tego narzędzia zweryfikujemy również, że znajdujemy się na czarnej liście, musimy tego uniknąć przez zaporę ogniową, antyspam lub zawieszenie domeny, aby móc zatrzymać wysyłanie wiadomości spamowych.

ten czarna lista lub RBL (Listy czarnych dziur w czasie rzeczywistym) przechowuje adresy IP serwerów i dostawców usług internetowych, którzy nadmiernie wysyłają wiadomości e-mail i w związku z tym są podejrzani o generowanie spamu, jeśli nasz serwer lub strona internetowa otrzymały atak bombardowania spamem lub jakaś luka umożliwia wysyłanie spamu, możemy również dostać się na czarną listę.

Aby rozwiązać problem, musimy upewnić się, że naprawiliśmy lukę i upewnić się, że nie ma żadnego e-maila ani pliku, którego nadal używałem do tego złośliwego celu, w przeciwnym razie możemy ponownie mieć problemy, ważne jest również anulowanie portu 25, który jest szeroko stosowany do wysyłania spamu i ataków e-mail.

Aby usunąć adres IP z czarnej listy z MXToolbox wykonamy następujące czynności:

  • Wchodzimy na stronę główną i wchodzimy w opcję Czarna lista, wpisujemy adres IP, który chcemy sprawdzić, a następnie klikamy przycisk Sprawdzanie czarnej listy.
  • Aby usunąć adres IP lub domenę z określonej listy, klikamy przycisk Szczegół.
  • Poniżej zobaczysz kliknięcie cbl.abuseat.org/lookup.cgi?ip=mój adres IP

Tutaj wskazane są przyczyny blokady i musimy poprawić, aby wyczyścić nasz adres IP z czarnej listy i złożyć odpowiednie roszczenie, sprawdzą, czy problem został rozwiązany, jeśli nie naprawimy problemu, adres IP pozostanie na czarnym lista na zawsze. Dzięki tym narzędziom możemy również wiedzieć, czy nasza domena znajduje się na czarnej liście, status serwerów DNS, status serwerów pocztowych, analizować kondycję domeny rozumiejąc analizę dns, poczty, problemów z usługami internetowymi itp.

Aby zakończyć samouczek, zostawiam ci ten, który został stworzony, w którym wyjaśniono typowe zagrożenia komputerowe, na które jesteśmy narażeni codziennie: Powszechne zagrożenia i luki.

Podobał Ci się i pomógł ten samouczek?Możesz nagrodzić autora, naciskając ten przycisk, aby dać mu pozytywny punkt
wave wave wave wave wave