Главное Авторские колонки Вакансии Образование
4 571 11 В избр. Сохранено
Авторизуйтесь
Вход с паролем

Безопасность сайта - полезные сервисы и советы

Бесплатные сервисы и пару советов, которые помогут проверить ваш сайт на уязвимости и сделать его безопаснее.
Мнение автора может не совпадать с мнением редакции

b_56e855d5813a3.jpg

Очередная атака

Причиной написания статьи послужил очередной запрос клиента, который пожаловался на взлом сайт и рассылку спама через аккаунт одного из своих пользователей. Клиент - сервис услуг по рассылке email/sms сообщений. Компаний, которые предоставляют такие услуги на рынке - множество.

Такие сервисы всегда были привлекательны для хакеров по двум причинам:

  1. Возможность взломать базу данных и получить миллионы почтовых ящиков для рассылки спама и других зловредных действий.
  2. Взлом самих аккаунтов пользователей сервиса, для рассылки фишинговых и других писем подписчикам.

Подписчик получает письмо уже со знакомого адреса от известной компании, поэтому переходит по фишинговым ссылкам не задумываясь. Вектор атаки зависит только от фантазии злоумышленника и его целей.

При изучении cервера клиента были обнаружены уязвимости Heartbleed CVE-2014-0160, POODLE SSLv3.0 CVE-2014-3566, OpenSSL CCS CVE-2014-0224, которые можно было выявить простым сканированием через бесплатный сервис, например SSL Server Test от компании Qualys, речь о котором пойдет чуть ниже.Старый враг - Heartbleed

Возможность атаки Heartbleed основана на ложном изменении длины данных в запросе к серверу. В реально длина строки очень мала, а число, которое символизирует ее длину очень велико. Когда уязвимый сервер получает этот пакет, он передает такое же количество данных, скопированное из памяти в ответном пакете, т.е. выдает больше скрытой информации.

Схематично это выглядит так:

b_56d45ee12daa3.jpg

Если ваш сервер уязвим на Heartbleed, то этого уже будет достаточно, чтобы украсть логины, пароли и получить доступ к конфиденциальной информации.

Обнаружить Heartbleed в 2016 году было большим удивлением, так как данная уязвимость открыта еще в 2014 году, когда на тот момент ей были подвержены порядка 30% всех сайтов, использующих OpenSSL, а это более 500 млн. ресурсов. Сейчас уязвимость встречается значительно реже.Чем проверить сайт?

  1. SSL Server Test - бесплатный инструмент от Qualys для анализа конфигурации и обнаружения уязвимостей SSL веб-сервера. Находит Heartbleed и POODLE.
  2. Pentest Tools - частично бесплатный сервис для проверки на ряд уязвимостей, в том числе DNS Zone Transfer, Google Hacking, фаззинг директорий и многое другое.
  3. Securityheaders.io - бесплатный сервис для проверки заголовков страниц. Проверяет наличие Content-Security-Policy, X-Frame-Options, X-XSS-Protection и X-Content-Type-Options для предотвращения XSS и Clickjacking атак.
  4. Acunetix - условно бесплатный сканер уязвимостей сайта, дают 14-дневный триал. Проводит тестирование на уязвимости OWASP Top 10, устаревшие версии ПО по базам CVE, раскрытие важной информации и т.д. Acunetix дает понять, насколько у вас все плохо при простом автоматизированном сканировании и стоит ли прибегать к ручным проверкам. Однозначно MustCheck.
  5. ScanMyServer - бесплатный сканер уязвимостей, проверяет на SQL Injection, Cross Site Scripting, PHP Code Injection, Source Disclosure и другие неприятные вещи.

Пару полезных советов:

  • Постоянно следите за обновлением ПО, повторяю постоянно, большинство из обновлений содержат security fix.
  • Никогда не используйте shared хостинги для своих проектов, вас взломают через ваших же соседей по серверу.
  • Используйте Web Application Firewall, например CloudFlare.
  • Отключайте потенциально опасные функции PHP.
  • Установите и настройте Fail2ban и сетевой экран iptables.
  • Блокируйте популярные сканеры уязвимостей, которые так любят использовать начинающие взломщики - скрипт-кидди.

b_56e82afa5c737.jpgТеперь не взломают!

Наши рекомендации лишь минимизируют риски взлома сайта до определенного уровня. Определенный уровень для большинства компаний не является приемлемым. Если вы всерьез задумались о безопасности - обратитесь к профессионалам, специализирующихся на безопасности веб-приложений. Львиная доля критических уязвимостей выявляется только через многочасовое ручное тестирование, в том числе так называемые концептуальные и уязвимости бизнес-логики приложений.

Безопасность = техническая защита + мониторинг + периодический анализ защищенности

Промыслы хакеров, которые периодически попадают в СМИ - лишь верхушка айсберга. Вам не обязательно быть банком или финансовой организацией, чтобы стать целью злоумышленников. Их цель - любая информация, которую можно впоследствии монетизировать.

СамоPR через взлом и дальнейшую публикацию в СМИ - так же имеет место быть. Хакеры любят "тыкать носом" компаниям и показывать их незащищенность, особенно когда игнорируют их сообщения о найденных уязвимостях.

Достаточно вспомнить недавние взломы сайтов Yota и MegaIndex, хакером w0rm. Самое интересное в этих атаках, что последний был взломан через все тот же Heartbleed. Хакер сделал дамп памяти и получив доступы к панели администратора, смог узнать логины и пароли к десяткам тысячам сайтов, которые являлись клиентами MegaIndex.Итог

Такие истории ещё раз доказывают, что компании ставят безопасность далеко не на первое место при разработке и поддержке своих проектов. В современных реалиях, когда больше важна скорость разработки, компании больше уделяют времени вопросам функциональности приложений, чем аспектам безопасности. Результат — ненадежные, небезопасные, уязвимые веб-приложения.

+7
В избр. Сохранено
Авторизуйтесь
Вход с паролем
Комментарии
Овсянников Александр
Проанализировав парочку своих проектов, в том числе с SSL и прочими плюшками, сказал вслух - ой) т.к. храним большую базу клиентов на серверах. Спасибо за статью, пошел править!
Ответить
Александр Шурыгин
Казалось бы такие очевидные статьи, а они все равно имеют смысл для кого-то. Забавно такое наблюдать, хотя если верить фразе, то есть админы которые еще не делают бекапов и которые уже делают. Почему-то середины нет, так же во всем остальном :)

Бегло пролистал статью, не заметил упоминания таких опасных вещшшей как XSS и SQL Injection банальные, ну и более бесполезные в эксплуатации CSRF тоже ничего так ;)
Ответить
Antihacking
Безопасности информационных систем
Александр Барановский
Статьи очевидные, только вот при разработке игнорируют такие элементарные вещи, как фильтрация полей и входящих запросов.
Результат куча XSS.
Ответить
Александр Шурыгин
Уху, я об этом и говорю. В 2016ом году иметь XSS/SQ Inj это стыд :)
Ответить
Start Fellows
Программа ВКонтакте по поддержке стартапов
Antihacking
Безопасности информационных систем
Кирилл ServiceSpeedUP.com
Первый раз взломали один из моих сайтов, лет пять назад, взломали пропалестинские активисты. Там было дело в необновленном вордпрессе.
Второй раз вломали нашу телефонную систему и ее помощью совершали звонки за границу, в этом случае ответственность на себя взяла телефонная компания, т.к. это была их вина.
А еще мне все время приходят на почту сообщения с вирусами, которые, если их запустить, зашифруют все документы и фотографии на диске, а затем будет требовать выкуп.
Киберпреступность ближе чем многие думают.
Ответить
Antihacking
Безопасности информационных систем
Александр Барановский
Можно просто открыть http://www.zone-h.org/archive и посмотреть статистику взломов и дефейсов сайтов. Сайт обычно используют как точку входа. Далее происходит проникновение в сеть, ip телефонию, компьютер бухгалтера и т.д.
Ответить
Alexander Osipov
Через сайт? Они же на 99% на shared-хостинге, как они к бухгалтеру проникнут?
Ответить
Antihacking
Безопасности информационных систем
Александр Барановский
Здесь не важен тип хостинга, сайт будут использовать для определения внешнего IP корпоративной сети.
Ответить
Виктор Шмелев
Здесь еще забыли упомянуть и про виртуальные серверы, которые вообще практически не имеют нормальной защиты и даже при передачи данных могут с легкостью перехватить. Хотя все думают, что сэкономят неплохо. Я себе нашел в фирме по продаже серверов http://squadra-group.com/ оборудование, которое стоит недорого и всю безопасность сам обеспечиваю как хочу.
Ответить
Выбрать файл
Блог проекта
Расскажите историю о создании или развитии проекта, поиске команды, проблемах и решениях
Написать
Личный блог
Продвигайте свои услуги или личный бренд через интересные кейсы и статьи
Написать

Spark использует cookie-файлы. С их помощью мы улучшаем работу нашего сайта и ваше взаимодействие с ним.