Android

Manji broj poslovnih procesa koji su predstavljali sigurnosne rizike

SCP-713 Click Anywhere Computer | safe class | Computer scp / electronic scp

SCP-713 Click Anywhere Computer | safe class | Computer scp / electronic scp
Anonim

Pokretanje sigurne web stranice znači više nego samo čuvanje protiv cross-site scripting i SQL injection napada. Nedostaci u poslovnim procesima koji se temelje na web stranicama također mogu predstavljati ozbiljne sigurnosne rizike, objavio je CTO web-sigurnosne tvrtke.

Nedostaci u procesima ili poslovnoj logici za web stranice mogu se pokazati visoko profitabilnim hakerima, zahtijevaju malo vještina za iskorištavanje i ponekad tehnički nije ilegalna za iskorištavanje ", rekao je Jeremiah Grossman, direktor CTO WhiteHat Security na burzi Boston Security Showcase." Ovi problemi su česti ako znate što tražiti ", rekao je.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s računala sa sustavom Windows]

Ponudio je nekoliko primjera ovih nedostataka, uključujući one koji se nalaze u dizajnu web mjesta, sustave za provjeru Captcha i korisničke povlastice. Ljudi koji ih iskorištavaju često se jednostavno zabranjuju upotrebom usluge, iako se ponekad gonjenju.

U 2007. žena je optužena za prevare QVC od 412.000 USD iskorištavanjem nedostatka u svojoj poslovnoj logici. Kupila je narudžbe za 1.800 predmeta s kućnom mrežom za kupnju, a zatim otkazala narudžbe na svojoj web stranici. Dobila je odobrenje za vraćanje robe, ali stvari su joj bile poslane i ona ih je prodala na eBayu, izjavio je Department of Justice. QVC je postao svjestan toga kada su korisnici eBaya kontaktirali o primanju predmeta koji su još bili u pakiranju. Žena je na kraju oglašena krivim za prijevaru žice.

Značajke resetiranja zaporke mogu dovesti do neovlaštenog pristupa računu ako traže jasna pitanja i hakeri imaju manje informacija o njihovim žrtvama. Grossman je ponudio primjer koji uključuje bivšeg pružatelja mobilnih usluga Sprint. Da bi poništio lozinke, rekao je, haker je trebao znati samo broj mobitela i osnovni podatak o osobama, primjerice gdje su živjeli ili automobil koji su vozili. To bi moglo omogućiti hakeru da naredi novim telefonima u ime žrtve ili instalira nove usluge na svoj telefon.

E-kuponi predstavljaju rizik za trgovce ako su kuponske brojevi međusobno bliski. Jedan prodavač vidio je neke od svojih visokokvalitetnih artikala koji se prodaju za nekoliko dolara nakon što je haker napisao scenarij za otkrivanje brojeva kupona koji su se razlikovali samo za nekoliko znamenki, rekao je Grossman. Maloprodajnik je otkrio problem kada su dnevnici sustava otkrili obilje narudžbi koje se obrađuju tijekom noći dok je hakerova skripta pokrenuta.

Hakeri mogu nagovoriti druge web surfere da riješe Captcha testove za njih privlačeći ih web stranicama uz obećanje o besplatnom glazbe ili sadržaja za odrasle. Captchas zahtijeva od osobe da dešifrira niz prepletenih znakova kako bi se prijavili za usluge kao što su račun e-pošte na webu. Web surfere rješavaju Captchas, koji se šalju putem proxy poslužitelja hakeru, a zatim ih koriste za prijavu za više računa e-pošte za slanje neželjene pošte ili neke druge aktivnosti.

"Sve dok imate dovoljno korisnika koji dolaze na vašu web stranicu, imate rješenje Captcha ", rekao je Grossman. "Loši dečki žele poraziti ove Captchase kako bi nas mogli spamirati."

Drugi nedostatak daje korisnicima pristup svim dijelovima web stranice kada imaju prijavu ili lozinku za određenu uslugu. Na primjer, zaposlenici u estonskoj tvrtki 2004. godine su se prijavili za službu za tisak Business Wirea. Shvatio je da URL-ovi na web stranici ponekad sadrže informacije o tisakima koje još nisu objavljene. Korištenje programa koji traži URL-ove, zaposlenici tvrtke su mogli otkriti osjetljive poslovne i financijske informacije. Nakon što su kupili i prodavali dionice na temelju tih informacija, zaposlenici su zaradili 7,8 milijuna dolara, ali su također bili pogođeni optužbama za prijevare od strane američkih regulatora.

Istaknuo je da je vjerojatno bilo mnogo sličnih takvih slučajeva koji nikada nisu došli na vidjelo jer su počinitelji bili nikada nije uhvaćen.

Web sigurnost se proteže izvan osiguravanja kvalitete i pravilnog oblikovanja web aplikacija kako bi uključila kako su usluge postavljene za rad, rekao je.