19 декабря 2019 г.
Время чтения: 2 минуты

Уязвимости на сайтах, которые приводят к взлому

Ахиллесова пята

Знаете ли вы обо всех уязвимых местах вашего сайта? Существует большое количество лазеек, через которые злоумышленники могут получить доступ к управлению сайтом или раздобыть секретную информацию. И некоторые лазейки устранять довольно сложно. Но помнить о таких и других уязвимостях нужно обязательно. Вот лишь самые распространённые из них.

Уязвимости в CMS или плагинах. Взломщики получают доступ к сайтам, созданным на базе WordPress или других CMS, используя уязвимости в самих системах управления контентом или предлагая пользователям устанавливать взломанные версии плагинов с вредоносным кодом. Также под удар попадают те сайты, где используются устаревшие версии CMS.

Уязвимости в программном обеспечении или операционной системе. Какими бы ни были надёжными ПО и ОС, всегда есть шанс возникновения уязвимости нулевого дня — недостатка в защите, который появился совсем недавно и ещё не был ликвидирован. Взломщики могут мгновенно воспользоваться такой уязвимостью, пока разработчики принимают меры и готовят срочное обновление.

Подверженный атакам исходный код сайта. Те или иные недостатки есть в коде практически любого сайта. И ими пользуются для проведения самых разных атак. Среди них — переполнение буфера, межсайтовый скриптинг, SQL-инъекция, модификация исполняемых команд, внедрение операторов XPath и не только.

Ошибки в настройке прав доступа на сервере. Невнимательность при настройке прав тоже может обернуться взломом. Если у какого-либо важного файла на сайте установлены права 777, которые позволяют любому человеку прочитать, записать и выполнить его, то это хорошая возможность для взломщиков получить контроль над сайтом и сервером.

Чрезмерная доступность сведений о сайте. Здесь имеется в виду служебная информация, которую предоставляют серверы. Опасно, если с помощью этой уязвимости можно узнать используемые дистрибутивы, номера версий клиента, скрытые директории, установленные обновления и не только. Этот пункт подразумевает также и предсказуемое расположение служебных файлов и каталогов.

Титаник и айсберг Даже «Титаник» оказался уязвимым

Недостатки в проверке сессий и аутентификации. Получать данные пользователей злоумышленники могут и без кражи паролей на сайтах. Для этого достаточно перехватить токены и ключи сеансов посещения страницы, что позволяют делать несовершенные системы проверки подлинности и управления сессиями.

Использование небезопасных соединений. Сюда относится и использование FTP вместо SFTP, и работа с сайтом через общественную сеть Wi-Fi. Недостаточно защищённые соединения нередко мониторятся взломщиками с целью перехвата конфиденциальных данных. Для этого, к примеру, применяется метод внедрения shell-кода.

Нарушение политики паролей. Злоумышленники могут войти в административную панель вашего сайта, если пароль от неё легко поддаётся брутфорс-атаке либо перехвату через FTP или SSH. Сохранение логинов и паролей в браузерах и файловых менеджерах также несёт угрозу вашей безопасности.

Недостаточная защита от атак. Кроме проверки соответствия логина и пароля, приложения и API должны обнаруживать, блокировать и протоколировать попытки неверного входа и других подозрительных действий. Иначе атаки взломщиков могут легко достичь своей цели.

Вирусы на компьютерах разработчиков. Владелец сайта может соблюдать все меры кибербезопасности, но он бессилен, когда вирус проникает на сайт с компьютера одного из разработчиков. Увы, не все разработчики достаточно осторожны при работе в Сети и не всё вредоносное ПО удаётся оперативно распознать на устройстве.

С помощью этого краткого обзора мы хотели донести следующую мысль: каждый сайт имеет те или иные уязвимости, поэтому каждому владельцу сайта нужно быть бдительным. Не пренебрегайте всесторонней защитой вашего проекта от угроз, иначе рано или поздно он будет атакован недоброжелателями.

Кстати, в прошлой статье мы рассказали о том, зачем вообще взломщикам нужно взламывать сайты.

13 сентября празднуем День программиста!

Для чего нужны поддомены

Рекомендуем

23 совета по защите сайта от взлома и атак

Сайт атакован: краткое руководство к действию

Нашли ошибку в тексте? Выделите ее и нажмите Ctrl + Enter
© «Джино», 2003–2020. «Джино» является зарегистрированным товарным знаком.
Лицензия на телематические услуги связи № 150549 от 09.03.2017.
Правовая информация Политика конфиденциальности Карта сайта