Firmy zapomínají řešit zabezpečení už při návrhu webu

12. 2. 2009

Sdílet

Velkým problémem zabezpečení firemních webů je dnes skutečnost, že zabezpečení bývá do systému přidáváno až doddatečně. Ve fázi návrhu se mezi jednotlivými částmi webových aplikací nevytvářejí potřebné bariéry a mechanismy pro kontrolu přenášených dat.

Medializované útoky na webové servery, a to včetně serverů velkých firem, nejsou podle společnosti Forrester Research rozhodně poslední. „Jsem přesvědčen, že většinu webů lze hacknout,“ uvedl doslova Khalid Kark, analytik společnosti Forrester.

Organizace OWASP (Open Web Application Security Project) vydala přehled hlavních hrozeb pro firemní weby. Jedná se o následující zranitelnosti:

 

1. Cross site scripting (XSS)
2. Injection flaw, zejména SQL injection
3. Spuštění škodlivého souboru
Hackeři mohou vzdáleně spustit kód, vzdáleně nainstalovat rootkity nebo zcela poškodit systém. Jakýkoli typ webové aplikace je zranitelný, pokud akceptuje názvy souborů nebo soubory od uživatelů. Tato chyba zabezpečení je nejběžnější u PHP, který je široce používaným skriptovacím jazykem pro vývoj webů.

4. Nezabezpečené přímé odkazy na objekty
Problém: Útočník změní přímé odkazy na objekty, aby získal neoprávněný přístup k dalším objektům. To se stává, pokud adresy URL nebo parametry formulářů obsahují odkazy na objekty, jako jsou soubory, adresáře a databázové záznamy či klíče.

5. Podvržení požadavků mezi weby
6. Únik informací a nesprávné zpracování chyb
Chybové zprávy, které aplikace generují a zobrazují uživatelům, jsou rovněž použitelné pro hackery, když narušují soukromí. Tyto zprávy totiž neúmyslně vyzrazují informace o konfiguraci programu i interním zpracování.

ICTS24

7. Porouchané ověřování a správa relací
8. Nezabezpečené kryptografické úložiště
9. Nezabezpečená komunikace
Podobně jako u bodu 8 se jedná o nesplnění požadavku šifrovat kvůli ochraně důvěrné komunikace síťové přenosy. Útočníci mohou přistupovat k nechráněným konverzacím, včetně přenosů pověřovacích dat a důvěrných informací. Z tohoto důvodu například normy pro karetní transakce požadují šifrování informací o kreditních kartách přenášených přes internet.

10. Nefunkční omezení přístupu k adrese URL
U některých webových stránek se očekává omezení přístupu pouze na malou skupinu privilegovaných uživatelů, jako jsou například správci. Často však tyto stránky nemají žádnou skutečnou ochranu a hackeři mohou adresu zjistit pomocí inteligentního hádání. Řekněme, že adresa URL odkazuje na číslo ID „123456“. Hacker si může říci A copak najdu na ID 123457?
Útoky zaměřené na tuto chybu zabezpečení jsou nazývané vynucené prohlížení (forced browsing) a zahrnují hádání odkazů a techniky využití hrubé síly k nalezení nechráněných stránek. Nepředpokládejte, že se uživatelé nedozvědí o tajných adresách URL. Všechny tyto adresy a služby podniku by měly být chráněny účinným mechanizmem pro řízení přístupu, který dostatečně ověří roli a privilegia uživatele.

Podrobný popis jednotlivých zranitelností, příklady zneužití a doporučené způsoby ochrany uvádí rozsáhlý text na našem sesterském serveru Computerworld.