TechLila

Bleeding Edge, винаги

LinkedInщифтАкции22
Шпионски съобщения
Следва

Как можете дискретно да прочетете всички текстови съобщения на гаджето си на телефона си

TechLila Сигурност

Атака на уеб приложения: какво е това и как да се защитим от него?

Аватар на Джон Хана
Последна актуализация на:

Атаките на уеб приложения са нарастваща заплаха за киберсигурността през последните няколко години. Има милиарди записани атаки на уеб приложения през 2018 и 2019 г. и се изчислява, че 46% от уебсайтовете имат уязвимости в сигурността на ниво приложение. 

Така че има голяма вероятност вашият уебсайт да е уязвим към този тип атака и ето защо трябва да научите за атаките на уеб приложения и какво можете да направите, за да ги предотвратите. 

Тук ще научим всичко, което трябва да знаете за атаката на уеб приложение и как да се защитите от нея. Нека започнем обаче с обсъждането на основната концепция за атака на уеб приложения. 

Какво е атака на уеб приложение

За да разберем наистина концепцията за атака на уеб приложения, трябва да разберем какво всъщност се има предвид под „уеб приложение“. 

Казано на лаици, уеб приложение или уеб приложение е програма/софтуер, който работи на уеб сървър и е достъпен точно като достъп до уебсайт. Повечето съвременни уебсайтове днес се състоят от два различни аспекта: уеб браузър и поне едно уеб приложение. 

Уеб браузърът, както знаем, е приложение, което позволява на потребителите да взаимодействат с уеб страници и да консумират съдържанието. Уеб приложенията, от друга страна, са компютърни програми, позволяващи на посетителите на уебсайта да изпращат и извличат данни чрез този уеб браузър. 

Един уебсайт може да използва чисто ново уеб приложение, което е създадено от нулата, или може да бъде закупено от доставчик на трета страна. Важното е, че по време на атака на уеб приложение заплахата за киберсигурност е насочена специално към това уеб приложение. 

Атака на уеб приложения

Атаката на уеб приложение, както беше обсъдено, е насочена конкретно към уеб приложението. Уеб приложението често е мост между уеб сървърите и сървърите на база данни. Така че, когато уеб приложение е компрометирано, както уеб сървърите, така и сървърите на база данни също могат да бъдат компрометирани. 

По-често се стартира атака на уеб приложение, насочена към сървърите на бази данни, които може да съдържат ценна информация (банкова информация и лични данни на потребителя). 

Типичната атака на уеб приложение може да бъде описана по следния начин: 

  • Извършителят открива уязвимост в уеб приложението и изпраща атака към уеб сървъра чрез порт 80 (HTTP) и 443 (HTTPS)
  • Уеб сървърът получава злонамерения пакет, но не успява да открие, е като атака, така че сървърът предава пакета към сървъра на уеб приложения
  • Сървърът на уеб приложения получава злонамерения код от уеб сървъра и отново не успява да го открие като злонамерена атака и го изпраща до сървъра на базата данни
  • И накрая, злонамереният код се изпълнява, когато достигне сървъра на базата данни. Кодът, например, инструктира базата данни да връща данни, съдържащи финансова информация на потребителите
  • Сървърът на уеб приложения следва инструкциите на сървъра на базата данни и генерира страница, съдържаща банковата информация от базата данни
  • След това уеб сървърът показва тази страница, съдържаща банкова информация на нападателя

Въпреки това, атаките на уеб приложения могат да бъдат под различни форми и всяка от тях може да изисква различни методи за превенция. 

Често срещани видове атаки на уеб приложения и как да ги предотвратим

1. Скриптиране на различни сайтове (XSS)

Междусайтовите скриптове или XSS са един от най-често срещаните видове атаки на уеб приложения. При XSS атака нападателят крие злонамерен JavaScript в кодове от страна на клиента. Всеки път, когато уеб страницата се зарежда, този JavaScript фрагмент се зарежда. 

Предотвратяване на XSS: 

  • Валидиране на входа: валидирайте входовете, идващи от уеб приложението, за да държите далеч от ненадеждни фрагменти. Можем да поставим в черен списък известни източници на атаки и да разрешим само надеждни уебсайтове или източници. 
  • Дезинфекция и избягване на въвеждането на потребителя: Sanitizing е модифициране на входове от уеб приложение, за да се гарантира, че е валидно докато бягство защитава данните, преди да ги предаде на сървъра на базата данни или уеб сървъра. 

2. Включване на локални файлове (LFI)

Включването на файлове е техника за включване на скриптове в кодове от страна на сървъра. По този начин LFI се използва от нападателя, за да подмами уеб приложението да разкрие чувствителни файлове на уеб сървър. Успешният LFI може да бъде последван от междусайтови скриптове и други атаки на уеб приложения. 

LFI използва факта, че когато уеб приложение използва път към файла като вход, то винаги се третира като доверено. След това LFI може да бъде инжектиран през този файлов път, когато кодът е уязвим. 

Предотвратяване на LFI: 

  • присвояване на ID: не забравяйте да запазите вашите файлови пътеки в защитена база данни и идентификатор на всеки път към файла. Така че потребителите (и нападателите) могат да видят само идентификатора и не могат да видят пътя
  • Инструкция за оптимизиране на сървъра: уверете се, че сървърът може автоматично да изпраща заглавки за изтегляне, вместо автоматично да изпълнява файлове в определена директория
  • Бели списък: използвайте само проверените и белите файлове 

3. Обхождане на директория

Обхождане на директория или обхождане на пътя е, когато нападателят може да получи достъп до ограничените директории в мрежата извън основната директория на мрежата. След това нападателят може да стартира други атаки на уеб приложения, като осъществява достъп до системни файлове, изпълнява команди на ОС и т.н. 

Предотвратяване на обхождане на директория: 

  • Уеб приложението винаги трябва да проверява въведеното от потребителя, преди да обработва каквато и да е инструкция
  • След валидиране на входа, уеб приложението трябва да добави входа към основната директория и да провери пътя на файла. API трябва да провери дали пътят на файла започва с дясната основна директория

Автоматизиран DDoS на ниво приложение

DDoS (разпределено отказ на услуга) атака може да се извърши на ниво уеб приложение и се извършва главно чрез изпращане на повтарящи се инструкции с помощта на ботове и ботнет. 

Предотвратяване:

  • Правилната защитна стена на уеб приложението, както и CAPTCHA, могат да помогнат при защитата срещу основни дейности на ботове. Въпреки това, усъвършенстваните ботове, както и съществуването на CAPTCHA фермерски услуги могат да направят тези подходи безполезни 
  • Можете да проверите решения и услуги за сигурност на уеб приложения от DataDome който също така предлага решения за откриване на ботове в реално време с възможности за откриване на поведение.

Крайни думи

В днешните непрекъснато развиващи се атаки на уеб приложения е все по-важно за всеки бизнес и онлайн субект да обмисли и приеме ясна стратегия за защита. Бъдете проактивни в намирането на най-добрия подход за защита на вашето уеб приложение и се уверете, че винаги валидирате входовете, идващи от сървъра на уеб приложения.

 Решението за откриване на ботове в реално време може значително да помогне в защитата срещу днешните сложни атаки на уеб приложения и е достойна инвестиция, ако търсите начини да защитите системата си от входящи заплахи за киберсигурността. 

Разкриване на информация Съдържанието, публикувано в TechLila, се поддържа от читатели. Може да получим комисионна за покупки, направени чрез нашите партньорски връзки, без допълнителни разходи за вас. Прочетете нашите Страница за отказ от отговорност за да научите повече за нашето финансиране, редакционни политики и начини да ни подкрепите.
Аватар на Джон Хана

Джон Хана

Джон Хана е блогър на непълно работно време. Обича да пътува много.

категория

Reader Взаимодействия

Няма коментари Лого

Оставете коментар

Имате ли какво да кажете за тази статия? Добавете вашия коментар и започнете дискусията.

Добавете Вашия коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани *