Лучшие статьи и кейсы стартапов
Включить уведомления
Дадим сигнал, когда появится
что-то суперстоящее.
Спасибо, не надо
Вопросы Проекты Вакансии
Безопасность интернет-проектов
Рекомендуем
Продвинуть свой проект
Лучшие проекты за неделю
31
Эбиа

Эбиа

www.ebia.ru

16
Enlite

Enlite

enlited.ru

16
Amarket

Amarket

amarket.io

13
likearea

likearea

smm.li

12
RockinRobin

RockinRobin

www.rockinrobin.co

11
Perezvoni.com

Perezvoni.com

perezvoni.com

10
Cookiezz

Cookiezz

cookiezz.com.ua

10
Битрикс24

Битрикс24

www.bitrix24.ru

10
MuWID

MuWID

muwid.ru

Показать следующие
Рейтинг проектов
Подписывайтесь на Спарк во ВКонтакте

Безопасность сайта - полезные сервисы и советы

3 338 11 В избранное Сохранено
Авторизуйтесь
Вход с паролем
Бесплатные сервисы и пару советов, которые помогут проверить ваш сайт на уязвимости и сделать его безопаснее.

b_56e855d5813a3.jpg

Очередная атака

Причиной написания статьи послужил очередной запрос клиента, который пожаловался на взлом сайт и рассылку спама через аккаунт одного из своих пользователей. Клиент - сервис услуг по рассылке email/sms сообщений. Компаний, которые предоставляют такие услуги на рынке - множество.

Такие сервисы всегда были привлекательны для хакеров по двум причинам:

  1. Возможность взломать базу данных и получить миллионы почтовых ящиков для рассылки спама и других зловредных действий.
  2. Взлом самих аккаунтов пользователей сервиса, для рассылки фишинговых и других писем подписчикам.

Подписчик получает письмо уже со знакомого адреса от известной компании, поэтому переходит по фишинговым ссылкам не задумываясь. Вектор атаки зависит только от фантазии злоумышленника и его целей.

При изучении cервера клиента были обнаружены уязвимости Heartbleed CVE-2014-0160, POODLE SSLv3.0 CVE-2014-3566, OpenSSL CCS CVE-2014-0224, которые можно было выявить простым сканированием через бесплатный сервис, например SSL Server Test от компании Qualys, речь о котором пойдет чуть ниже.

Старый враг - Heartbleed

Возможность атаки Heartbleed основана на ложном изменении длины данных в запросе к серверу. В реально длина строки очень мала, а число, которое символизирует ее длину очень велико. Когда уязвимый сервер получает этот пакет, он передает такое же количество данных, скопированное из памяти в ответном пакете, т.е. выдает больше скрытой информации.

Схематично это выглядит так:

b_56d45ee12daa3.jpg

Если ваш сервер уязвим на Heartbleed, то этого уже будет достаточно, чтобы украсть логины, пароли и получить доступ к конфиденциальной информации.

Обнаружить Heartbleed в 2016 году было большим удивлением, так как данная уязвимость открыта еще в 2014 году, когда на тот момент ей были подвержены порядка 30% всех сайтов, использующих OpenSSL, а это более 500 млн. ресурсов. Сейчас уязвимость встречается значительно реже.

Чем проверить сайт?

  1. SSL Server Test - бесплатный инструмент от Qualys для анализа конфигурации и обнаружения уязвимостей SSL веб-сервера. Находит Heartbleed и POODLE.
  2. Pentest Tools - частично бесплатный сервис для проверки на ряд уязвимостей, в том числе DNS Zone Transfer, Google Hacking, фаззинг директорий и многое другое.
  3. Securityheaders.io - бесплатный сервис для проверки заголовков страниц. Проверяет наличие Content-Security-Policy, X-Frame-Options, X-XSS-Protection и X-Content-Type-Options для предотвращения XSS и Clickjacking атак.
  4. Acunetix - условно бесплатный сканер уязвимостей сайта, дают 14-дневный триал. Проводит тестирование на уязвимости OWASP Top 10, устаревшие версии ПО по базам CVE, раскрытие важной информации и т.д. Acunetix дает понять, насколько у вас все плохо при простом автоматизированном сканировании и стоит ли прибегать к ручным проверкам. Однозначно MustCheck.
  5. ScanMyServer - бесплатный сканер уязвимостей, проверяет на SQL Injection, Cross Site Scripting, PHP Code Injection, Source Disclosure и другие неприятные вещи.

Пару полезных советов:

  • Постоянно следите за обновлением ПО, повторяю постоянно, большинство из обновлений содержат security fix.
  • Никогда не используйте shared хостинги для своих проектов, вас взломают через ваших же соседей по серверу.
  • Используйте Web Application Firewall, например CloudFlare.
  • Отключайте потенциально опасные функции PHP.
  • Установите и настройте Fail2ban и сетевой экран iptables.
  • Блокируйте популярные сканеры уязвимостей, которые так любят использовать начинающие взломщики - скрипт-кидди.

b_56e82afa5c737.jpg

Теперь не взломают!

Наши рекомендации лишь минимизируют риски взлома сайта до определенного уровня. Определенный уровень для большинства компаний не является приемлемым. Если вы всерьез задумались о безопасности - обратитесь к профессионалам, специализирующихся на безопасности веб-приложений. Львиная доля критических уязвимостей выявляется только через многочасовое ручное тестирование, в том числе так называемые концептуальные и уязвимости бизнес-логики приложений.

Безопасность = техническая защита + мониторинг + периодический анализ защищенности

Промыслы хакеров, которые периодически попадают в СМИ - лишь верхушка айсберга. Вам не обязательно быть банком или финансовой организацией, чтобы стать целью злоумышленников. Их цель - любая информация, которую можно впоследствии монетизировать.

СамоPR через взлом и дальнейшую публикацию в СМИ - так же имеет место быть. Хакеры любят "тыкать носом" компаниям и показывать их незащищенность, особенно когда игнорируют их сообщения о найденных уязвимостях.

Достаточно вспомнить недавние взломы сайтов Yota и MegaIndex, хакером w0rm. Самое интересное в этих атаках, что последний был взломан через все тот же Heartbleed. Хакер сделал дамп памяти и получив доступы к панели администратора, смог узнать логины и пароли к десяткам тысячам сайтов, которые являлись клиентами MegaIndex.

Итог

Такие истории ещё раз доказывают, что компании ставят безопасность далеко не на первое место при разработке и поддержке своих проектов. В современных реалиях, когда больше важна скорость разработки, компании больше уделяют времени вопросам функциональности приложений, чем аспектам безопасности. Результат — ненадежные, небезопасные, уязвимые веб-приложения.

+7
Первые Новые Популярные
IconBird
Поисковая система (каталог) иконок
Овсянников Александр
Проанализировав парочку своих проектов, в том числе с SSL и прочими плюшками, сказал вслух - ой) т.к. храним большую базу клиентов на серверах. Спасибо за статью, пошел править!
Ответить
Александр Шурыгин
Казалось бы такие очевидные статьи, а они все равно имеют смысл для кого-то. Забавно такое наблюдать, хотя если верить фразе, то есть админы которые еще не делают бекапов и которые уже делают. Почему-то середины нет, так же во всем остальном :)

Бегло пролистал статью, не заметил упоминания таких опасных вещшшей как XSS и SQL Injection банальные, ну и более бесполезные в эксплуатации CSRF тоже ничего так ;)
Ответить
AntiHacking
Безопасность интернет-проектов
Александр Барановский
Статьи очевидные, только вот при разработке игнорируют такие элементарные вещи, как фильтрация полей и входящих запросов.
Результат куча XSS.
Ответить
Александр Шурыгин
Уху, я об этом и говорю. В 2016ом году иметь XSS/SQ Inj это стыд :)
Ответить
SPARK
Помогаем стартапам 24х7
AntiHacking
Безопасность интернет-проектов
Кирилл ServiceSpeedUP.com
Первый раз взломали один из моих сайтов, лет пять назад, взломали пропалестинские активисты. Там было дело в необновленном вордпрессе.
Второй раз вломали нашу телефонную систему и ее помощью совершали звонки за границу, в этом случае ответственность на себя взяла телефонная компания, т.к. это была их вина.
А еще мне все время приходят на почту сообщения с вирусами, которые, если их запустить, зашифруют все документы и фотографии на диске, а затем будет требовать выкуп.
Киберпреступность ближе чем многие думают.
Ответить
AntiHacking
Безопасность интернет-проектов
Александр Барановский
Можно просто открыть http://www.zone-h.org/archive и посмотреть статистику взломов и дефейсов сайтов. Сайт обычно используют как точку входа. Далее происходит проникновение в сеть, ip телефонию, компьютер бухгалтера и т.д.
Ответить
Alexander Osipov
Через сайт? Они же на 99% на shared-хостинге, как они к бухгалтеру проникнут?
Ответить
AntiHacking
Безопасность интернет-проектов
Александр Барановский
Здесь не важен тип хостинга, сайт будут использовать для определения внешнего IP корпоративной сети.
Ответить
Виктор Шмелев
Здесь еще забыли упомянуть и про виртуальные серверы, которые вообще практически не имеют нормальной защиты и даже при передачи данных могут с легкостью перехватить. Хотя все думают, что сэкономят неплохо. Я себе нашел в фирме по продаже серверов http://squadra-group.com/ оборудование, которое стоит недорого и всю безопасность сам обеспечиваю как хочу.
Ответить
Выбрать файл
Читайте далее
Загружаем…
Блог проекта
Расскажите историю о создании или развитии проекта, поиске команды, проблемах и решениях
Написать
Личный блог
Продвигайте свои услуги или личный бренд через интересные кейсы и статьи
Написать